Check Point Software Technologies Ltd. ha informado de que desde hace cinco meses, sus investigadores de amenazas móviles han tenido un acceso sin precedentes a los procesos internos de Yingmob, el grupo de cibercriminales chinos que está detrás del malware HummingBad. HummingBad es un malware descubierto por Check Point que establece un rootkit persistente en dispositivos Android, genera ingresos publicitarios fraudulentos e instala apps peligrosas.
Yingmob funciona como una empresa de análisis dentro de la legalidad china, y comparte sus recursos y su tecnología. Está formada por 25 empleados que se organizan en cuatro grupos independientes, todos ellos responsables de crear componentes maliciosos para HummingBad.
Investigaciones anteriores ya habían relacionado a Yingmob con un malware para iOS llamado Yispecter, pero las evidencias encontradas por los investigadores de Check Point confirman que este mismo grupo está también detrás de HummingBad:
• Yispecter utiliza los certificados de empresa de Yingmob para instalarse en los dispositivos
• HummingBad y Yispecter comparten direcciones de servidor C&C
• Los repositorios de HummingBad contienen documentación de QVOD, un reproductor de videos pornográficos para iOS creado por Yispecter
• Ambos instalan apps fraudulentas para obtener ingresos
Yingmob usa HummingBad para controlar a 85 millones de dispositivos en todo el mundo, lo que genera ingresos publicitarios fraudulentos por un valor de 300.000 dólares al mes. Este flujo constante de dinero, junto a una estructura organizativa concentrada, es la prueba de lo fácil que les resulta a los cibercriminales ser económicamente autosuficientes.
Gracias a esta independencia, Yingmob y grupos similares pueden centrarse en perfeccionar sus habilidades para llevar las campañas de malware a un nuevo nivel, una tendencia que, según los investigadores de Check Point, será cada vez más común. Por ejemplo, estos grupos pueden reunir recursos para crear potentes redes de bots, crear bases de datos de dispositivos para lanzar ataques a objetivos relevantes, o idear nuevas fuentes de ingresos vendiendo acceso a dispositivos móviles al mejor postor.
Los millones de dispositivos Android que no son capaces de detectar y detener comportamientos sospechosos, y todos los datos que contienen, están en peligro permanente.
