Hablar de olas de virus o malware en los dispositivos móviles no es algo demasiado extraño por desgracia, pero no siempre se logran unas cifras de efectividad como las de HummingBad, y sobre todo de ingresos. Más allá de la toma de datos personales, este virus de Android ha generado miles de dólares en ingresos para sus creadores, desde hace poco identificados por Check Point.
Esta empresa especializada en ciberseguridad suele informar de las infecciones de software, y en este caso además ha hecho una investigación que nos llegaba de la mano de Manu Contreras, la cual destripa tanto la procedencia como de los impactos a nivel de usuarios y al de los bolsillos de Yingmob, la agrupación que según Check Point está detrás de todo. ¿El resultado? Millones de usuarios afectados y, como decíamos, millones de dólares recaudados tras meses de actividad.
Unos responsables nada escondidos
Hablamos aquí de un trabajo de profesionales, tanto los que hicieron el virus como por parte de los de Check Point que dieron con la fuente correcta hasta determinar incluso su ubicación física (en Yuzhong, Chongqing, China). Para ello se siguió la pista cuando el malware empezó a detectarse en febrero hasta dar con los repositorios del atacante, en este caso Yingmob, una compañía china dedicada al análisis y al software de móviles. Al menos de cara al público y para operar de manera legal, con su sede y sus empleados.
Lo que hallaron en Check Point fueron nexos comunes entre Yinspecter (un malware de iOS) y HummingBad (comparten servidores de comando y control, C&C), y de hecho ambos tienen el mismo mecanismo de acción: la instalación de apps fraudulentas para recaudar dinero. La clave para la efectividad de HummingBad es, en primer lugar, los sistemas de acceso a los dispositivos, intentando un acceso root (que permite un acceso completo al dispositivo) o una falsa actualización, de modo que logra que el usuario dé permisos.
Tras esto HummingBad descarga todas las apps fraudulentas posibles. Aplicaciones que ya tienen los componentes maliciosos o bien éstos son descargados tras la instalación de la app, y que se activan con acciones como apagar o encender la pantalla o un cambio en la conectividad. Entre ellos encontramos por ejemplo SSP, que se encarga a su vez de seguir instalando apps así como de mostrar ads.
Una caja registradora virtual que no para de sonar
A priori se puede pensar que la consecuencia directa de esto es que nuestro terminal se sature de aplicaciones que ni conocemos ni hemos instalado o que nuestra experiencia se vea gravemente penalizada por los persistentes e irritantes ads característicos del malware. Pero aquí hablamos de una importante campaña de recaudación; como decíamos al principio, aquí hablamos de profesionales y de millones de dólares.
Según las investigaciones de Check Point, hablamos de una instalación de más de 50.000 apps fraudulentas diarias y un total de 2,5 millones de clicks recogidos por métodos ilegales (con una tasa de clicks del 12,5%) en los más de 20 millones de ads mostrados en un día. ¿En qué se traduce esto? En 3.000 dólares diarios de ingresos por clicks y 7.500 dólares por la instalación furtiva de apps, llegando a una media de 10.000 dólares diarios y 300.000 dólares de ingresos al mes. Se sabe que este virus está activo al menos desde agosto de 2015 y a día de hoy aún hay dispositivos afectados, hagan sus cuentas.
Estas cifras vienen de los 0,00125 dólares que se obtiene por cada click y los 0,15 dólares por cada app. Cifras que parecen pequeñas pero que crecen exponencialmente si hablamos de algo tan infeccioso que de hecho ha llegado a afectar a unos 85 millones de usuarios. Actualmente se estima que 10 millones de personas usan alguna de las 200 apps maliciosas, y que los países con más casos son (como cabe imaginar por población) China e India.
Y sonó la fragmentación
Éste es otro toque a la fragmentación de Android
No ayuda tampoco el hecho de que las versiones antiguas de los sistemas operativos perduren. Como ocurre con otros malware, éste es otro toque a la fragmentación de Android viendo que KitKat y JellyBean se llevan un 90% de las infecciones (50% y 40% respectivamente). Si consultamos [el gráfico de adopción de Android](android marsmallow adoption) correspondiente a junio, vemos que un 31,6% de los usuarios tiene KitKat y un 22,9% está con JellyBean o alguna versión anterior.
Es decir, más del 50% de usuarios tienen sistemas de dos años o más de antigüedad. Algo que puede que no importe demasiado en la experiencia de uso pero que a nivel de seguridad significa un problema al estar completamente obsoleta y suponer de este modo un acceso más fácil para estos softwares maliciosos.
Así, los de Check Point enfatizan el hecho de que las agrupaciones como Yingmob gozan de independencia (o inmunidad en la práctica) que les permite perfeccionar estas campañas de malware, tendencia que desde la firma creen que irá a más. Apuntan a la creación de redes de bots que construyan bases de datos de los dispositivos vulnerables, de modo que se creen nuevas fuentes de ingresos.
Por nuestra parte sólo queda ser cuidadosos a la hora de instalar cualquier app, actualización o ante cualquier aviso que aparezca en nuestros dispositivos, así como a la hora de dar permisos a un tercero. Unos segundos de atención en estos puntos nos pueden ahorrar horas y días de disgustos, y como vemos incluso dinero.
Más información | Check Point
En Xatakamovil | Un troyano de Android está generando más de medio millón de dólares a base de anuncios
Ver 53 comentarios
53 comentarios
whisper5
Creo que es hora de volver a pedir a Google que ponga orden en su casa. Android está muy fragmentado y su seguridad muy desatendida.
Google dice que si los fabricantes modifican Android (Android Open Source Project) ellos sean responsables. Los fabricantes quieren vender teléfonos y tienden a abandonarlos para que compres uno nuevo. También echan la culpa al hardware diciendo que queda obsoleto como para instalar nuevas versiones de Android. Lo cierto es que ni Google, con el proyecto Android One, garantiza más de dos años de actualizaciones. Como se suele decir, el uno por el otro la casa sin barrer.
Creo que quien más culpa tiene es Google. Su gran negocio es la publicidad y por tanto ha querido conquistar rápidamente el mundo móvil con un sistema operativo propio y sus Google Apps. Esto le permite obtener mucha información de sus usuarios (mejorando la publicidad dirigida) y tener un vehículo omnipresente (los móviles) a través del cuál mostrar la publicidad por la que cobra y obtiene la casi totalidad de ingresos. Sería falso decir que no le preocupa la seguridad, pero esta claro que antepone el negocio a la seguridad.
anzonic87
Creo que a la gente se le olvida que lo que lleva en el bolsillo es un ordenador. Y creo también que se debería hacer algo para que periódicamente se recibieran actualizaciones de seguridad independientemente de la versión, un soporte por algunos años al menos. Si yo tengo en PC alguna distribución GNU/Linux con un kernel de unos cuantos años de antigüedad sigo recibiendo parches de seguridad, ¿por qué no lo hacen en android también?
fr0gdev
El artículo tiene algunas imprecisiones, y por lo que veo en los comentarios la desinformación es muy grande.
En primer lugar, y debo decir que me he leído el informe de CheckPoint entero, el tal HummingBad no es un virus, es MALWARE. Como tal, requiere que el usuario se descargue y ejecute, consciente o inconscientemente, el primer apk malicioso. Para esto no hay parche o antídoto posible, ni en Android, ni en Windows ni en Linux ni en MacOS. Si os leeís el informe original veréis que la mayoría de infecciones de HummingBad se dan en países donde el gusto por la piratería es muy grande (China e India, sí, pero también otros menos poblados y que son países con economías deprimidas), es decir, mucha gente instalando aplicaciones chungas de cualquier store o de terceros. Para poder instalar aplicaciones pirateadas, los usuarios han tenido que relajar las opciones de seguridad del dispositivo a posta. Luego el primer paso para prevenir la infección es no ser egoista y no ser tonto. Si se deja el teléfono con la configuración QUE YA TRAE DE FÁBRICA para que sólo se puedan instalar aplicaciones de Google Play el riesgo se reduce muchísimo.
En segundo lugar, el problema de la fragmentación en este caso concreto no viene a cuento, ya que HummingBad usa un conjunto de técnicas para ganar acceso root y entre esas técnicas hay algunas que funcionan incluso en Marshmallow. El gráfico de sectores de víctimas por versión del OS donde KitKat y Jelly Bean son los mayoritarios sólo refleja la distribución de versiones en el parque de dispositivos actual.
En tercer lugar, veo fanboys en los comentarios diciendo que porque el sistema operativo sea libre no es más seguro. Esto no es cierto. Siempre el código abierto es más seguro que el código cerrado. ¿Cuántos exploits de iOS se están usando en estos momentos y no se conocen por esto mismo?
josemicoronil
Me parece bien que los de Google quieran que cada empresa se encargue de su versión personalizada de Android que le instalen a sus terminales, pero hay cosas como el kernel que usen, además de ciertas aplicaciones que puedan tener que, siempre y cuando se pueda, se actualicen en cuanto salga algún parche, aunque no modifique lo demás.
Vale que si mi móvil tiene 256mb de ram y 1 gb de interna no lo haga, lo veo normal, pero a día de hoy es muy raro tener un terminal con menos de 1 GB de RAM y 4 o más GB de interna, que dan perfectamente, al menos en software nuclear del móvil, para que se pueda actualizar sin problemas.
Un saludo.
noe.castro
Si esto lo han logrado hacer unas cuantas personas con un virus. . . imaginar cuanto logra obtener google con la obtención de datos de su sistema. . .
Usuario desactivado
Google deberia añadir una clausula: "El fabricante se compromete a distribuir las actualizaciones de Android en un tiempo no mayor a 6 meses para todos los dispositivos de la marca que cumplan con los requisitos de hardware, de lo contrario perdera los derechos para distribuir Android".
Con esto obligariamos a los fabricantes a darnos calidad
alexis vega
Y luego hay personas como david2200 que insisten en que android es lo mejor, otras que quieren que cambies tu telefono solo porque no tiene tal SO. Menos mal que con windows mobile y windows phone esto no me ha pasado. Estuve a punto de ir otra vez a android solo que los equipos son mas caros y aon muy inferiores en hardware por el precio que ofrecen.
man_chester
Que bien.. como mola Android!!
el sistema más seguro, no? porque claro, como es libre...
Menuda tomadura de pelo...
Usuario desactivado
Google perdió el control de android hace muchísimos años, buscar justificaciones absurdas es ponerse una venda en los ojos.
La propia Google no es ajena a este problema y sabe perfectamente que esta jugando a una ruleta rusa en cuanto a seguridad y lo es por 2 motivos: porque Android se ha convertido en mastodonte de 1200 millones de usuarios activos con presencia en casi todos los países, cuya información y datos personales cada vez son mas sensibles y segundo, porque es incapaz de dar respuesta rápida y real a todas las amenazas que surgen, paradójicamente tiene las manos atadas en su propia plataforma. Esto es un asunto extremadamente grave porque el nombre que esta en juego no es el de Samsung, Xiaomi o HTC, es el de Android y Google.
Los rumores sobre un mayor control y hasta crear un Android privativo fabricado al 100% por google serán una realidad más pronto que tarde y me parece una respuesta acertada imitar el modelo de Apple con el iPhone, aunque en mi opinión llega demasiado tarde y como una medida desesperada. De esta forma Google, como marca, se podrá desmarcar del resto con su propia solución y al menos recuperará el control absoluto de la plataforma, incluido el hardware y diseño del terminal.
isaacrodriguez
Con windows 10 mobile en mi mano, de momento estoy curado de virus. Ya casi no uso mi pc ni mi table ara hacer mis gestiones de trabajo y de mi hogar.
Prefiero tener pocas apps buenas y productivas que apps chorras y con virus de serie.