Chinesisches Unternehmen verdient sich Zubrot mit Adware

Die kriminelle Bande, die hinter dem im letzten Jahr entdecken iOS-Schädling steckt, hat ihr Zielspektrum offensichtlich ausgeweitet und greift nun auch Android-User an. Nach Angaben von Check Point bringt die Gruppe Yingmob bereits seit fünf Monaten Software zum unerwünschten Anzeigen von Werbung in Umlauf. Die Adware wird als HummingBad bezeichnet und hat bereits 10 Millionen Android-Geräte infiziert, hauptsächlich in China und in Indien, und sie bringt den Hintermännern 300.000 US-Dollar im Monat ein.

Die Forscher bringen die Aktivität von Yingmob mit einer legitimen chinesischen Business-Struktur aus dem Bereich Werbeanalyse in Verbindung. Sie bestätigen, dass die Schadkampagne dieselben Ressourcen und Technologien nutzt und parallel zu den gewöhnlichen Geschäftsvorgängen läuft und dem Unternehmen so eine zusätzliche Einnahmequelle beschert.

Der Android-Schädling HummingBad wurde im vergangenen Februar von den Experten bei Check Point entdeckt. Er funktioniert wie Adware, und um sich nachhaltig festzusetzen, installiert er ein Rootkit. Bemerkenswert ist, dass HummingBad dieselben C&C-Server benutzt wie auch YiSpecter, eine analoge, potentiell gefährliche iOS-App, die seit dem vergangenen Jahr bekannt ist. Die Forscher förderten auch noch andere Züge zutage, die auf eine Verwandtschaft dieser Schädlinge schließen lassen: die Verwendung eines Zertifikats eines korporativen Entwicklers zum Signieren des Codes, die Fähigkeit andere betrügerische Anwendungen zu installieren, sowie das Vorhandensein von Daten über den Mediaplayer QVOD – für den sich auch YiSpecter interessierte – im Repositorium von HummingBad.

Das Marketingunternehmen, das eine so ungewöhnliche Art gefunden hat, etwas dazuzuverdienen, ist in Peking registriert, doch das Nebengeschäft befindet sich etwa 400 km von der Hauptstadt entfernt in der Provinz Ghongqing. Wie sich herausstellte, arbeiten in dieser Spezialabteilung 25 Angestellte in drei unterschiedlichen Bereichen: Entwicklung der Schadkomponenten von HummingBad, Verwaltung der Analyseplattform des Kontextwerbung-Servers und Beaufsichtigung der Verteilung des APK vom Server. HummingBad versendet Benachrichtigungen an das chinesische Marketingunternehmen Umeng, auf deren Grundlage die Betreiber des Schädlings die Aktualisierung des Status verfolgen können.

Den Forschern ist es gelungen, einen Blick in den Umeng-Account von Yingmob zu werfen. „Der Schädling versucht, sich auf hunderten, wenn nicht gar tausenden Geräten pro Tag festzusetzen“, erklärte Dan Wiley, Leiter der Abteilung für Sicherheitsvorfälle bei Check Point, gegenüber Threatpost. „Manchmal klappt das Rooten dieser infizierten Geräte nicht, aber weitaus nicht immer.“

Was die betrügerische Adware-Kampagne betrifft, so lässt sie keine Wünsche offen: HummingBad zeigt Werbung an, und zwar täglich mehr als 20 Millionen Mal, der Schädling generiert über 2,5 Millionen Klicks und installiert mehr als 50.000 zweifelhafte Programme. Die Forscher haben ausgerechnet, dass Yingmob an den Werbeklicks täglich über 3.000 Dollar verdient, an jeder betrügerischen App, die an den User gebracht wird, noch einmal 7.500 Dollar.

Die große Population von HummingBad – 85 Millionen, von denen allerdings nur ein geringer Anteil über Rootrechte verfügt – schafft ein großes Potential zur Fortentwicklung der laufenden Kampagne, die zum Beispiel den Aufbau eines Botnetzes und die Durchführung von zielgerichteten Attacken auf Geschäftsstrukturen und Regierungsorganisationen beinhalten könnte. „Die offensichtliche Selbstständigkeit und die organisatorische Struktur von Yingmob haben gute Voraussetzungen für andere Geschäftsmodelle geschaffen“, heißt es in dem Bericht von Check Point, „unter anderem für die Kommerzialisierung des Zugriffs auf 85 Millionen Android-Geräte, die sich unter der Kontrolle der Gruppe befinden.“

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.