News

Chinesisches Unternehmen verdient sich Zubrot mit Adware

Die kriminelle Bande, die hinter dem im letzten Jahr entdecken iOS-Schädling steckt, hat ihr Zielspektrum offensichtlich ausgeweitet und greift nun auch Android-User an. Nach Angaben von Check Point bringt die Gruppe Yingmob bereits seit fünf Monaten Software zum unerwünschten Anzeigen von Werbung in Umlauf. Die Adware wird als HummingBad bezeichnet und hat bereits 10 Millionen Android-Geräte infiziert, hauptsächlich in China und in Indien, und sie bringt den Hintermännern 300.000 US-Dollar im Monat ein.

Die Forscher bringen die Aktivität von Yingmob mit einer legitimen chinesischen Business-Struktur aus dem Bereich Werbeanalyse in Verbindung. Sie bestätigen, dass die Schadkampagne dieselben Ressourcen und Technologien nutzt und parallel zu den gewöhnlichen Geschäftsvorgängen läuft und dem Unternehmen so eine zusätzliche Einnahmequelle beschert.

Der Android-Schädling HummingBad wurde im vergangenen Februar von den Experten bei Check Point entdeckt. Er funktioniert wie Adware, und um sich nachhaltig festzusetzen, installiert er ein Rootkit. Bemerkenswert ist, dass HummingBad dieselben C&C-Server benutzt wie auch YiSpecter, eine analoge, potentiell gefährliche iOS-App, die seit dem vergangenen Jahr bekannt ist. Die Forscher förderten auch noch andere Züge zutage, die auf eine Verwandtschaft dieser Schädlinge schließen lassen: die Verwendung eines Zertifikats eines korporativen Entwicklers zum Signieren des Codes, die Fähigkeit andere betrügerische Anwendungen zu installieren, sowie das Vorhandensein von Daten über den Mediaplayer QVOD – für den sich auch YiSpecter interessierte – im Repositorium von HummingBad.

Das Marketingunternehmen, das eine so ungewöhnliche Art gefunden hat, etwas dazuzuverdienen, ist in Peking registriert, doch das Nebengeschäft befindet sich etwa 400 km von der Hauptstadt entfernt in der Provinz Ghongqing. Wie sich herausstellte, arbeiten in dieser Spezialabteilung 25 Angestellte in drei unterschiedlichen Bereichen: Entwicklung der Schadkomponenten von HummingBad, Verwaltung der Analyseplattform des Kontextwerbung-Servers und Beaufsichtigung der Verteilung des APK vom Server. HummingBad versendet Benachrichtigungen an das chinesische Marketingunternehmen Umeng, auf deren Grundlage die Betreiber des Schädlings die Aktualisierung des Status verfolgen können.

Den Forschern ist es gelungen, einen Blick in den Umeng-Account von Yingmob zu werfen. „Der Schädling versucht, sich auf hunderten, wenn nicht gar tausenden Geräten pro Tag festzusetzen“, erklärte Dan Wiley, Leiter der Abteilung für Sicherheitsvorfälle bei Check Point, gegenüber Threatpost. „Manchmal klappt das Rooten dieser infizierten Geräte nicht, aber weitaus nicht immer.“

Was die betrügerische Adware-Kampagne betrifft, so lässt sie keine Wünsche offen: HummingBad zeigt Werbung an, und zwar täglich mehr als 20 Millionen Mal, der Schädling generiert über 2,5 Millionen Klicks und installiert mehr als 50.000 zweifelhafte Programme. Die Forscher haben ausgerechnet, dass Yingmob an den Werbeklicks täglich über 3.000 Dollar verdient, an jeder betrügerischen App, die an den User gebracht wird, noch einmal 7.500 Dollar.

Die große Population von HummingBad – 85 Millionen, von denen allerdings nur ein geringer Anteil über Rootrechte verfügt – schafft ein großes Potential zur Fortentwicklung der laufenden Kampagne, die zum Beispiel den Aufbau eines Botnetzes und die Durchführung von zielgerichteten Attacken auf Geschäftsstrukturen und Regierungsorganisationen beinhalten könnte. „Die offensichtliche Selbstständigkeit und die organisatorische Struktur von Yingmob haben gute Voraussetzungen für andere Geschäftsmodelle geschaffen“, heißt es in dem Bericht von Check Point, „unter anderem für die Kommerzialisierung des Zugriffs auf 85 Millionen Android-Geräte, die sich unter der Kontrolle der Gruppe befinden.“

Quelle: Threatpost

Chinesisches Unternehmen verdient sich Zubrot mit Adware

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach