Video: Android malware 'HummingBad' infects millions (CNET News) (November 2024)
Mobiel beveiligingsbedrijf Lookout heeft vandaag een rapport uitgebracht bij DefCon dat de verbazingwekkende omvang, reikwijdte en complexiteit van Android-malwarebewerkingen in Rusland onthult. Het rapport ontdekte dat het grootste deel van deze Russische malware niet afkomstig was van alleenstaande personen in kelders, maar goed geoliede malware producerende machines.
Senior onderzoeker en reactie-ingenieur Ryan Smith, die met SecurityWatch sprak, legde uit dat de interesse van Lookout gewekt was toen ze merkten dat sms-fraude malware uit Rusland goed was voor 30 procent van alle malware die het bedrijf detecteerde. In de loop van zes maanden ontdekte het bedrijf een cottage-industrie die was opgegroeid met het produceren en distribueren van Android-malware.
De zwendel
Lookout ontdekte dat 10 organisaties verantwoordelijk zijn voor ongeveer 60 procent van de Russische SMS-malware die er is. Deze waren gecentreerd rond "Malware HQ's" die eigenlijk de kwaadaardige apps produceren. Na het downloaden maken deze apps gebruik van sms-shortcodes die slachtoffers factureren via hun draadloze netwerkaanbieder. In de VS zien we deze vaak verbonden aan liefdadigheidsorganisaties zoals het Rode Kruis.
Dit is hoe de zwendel werkt: de Malware HQ maakt kwaadaardige applicaties die kunnen worden geconfigureerd om er zo ongeveer alles uit te zien. Ze registreren en onderhouden de shortcodes ook bij draadloze providers. Partners of mensen die namens het Malware-hoofdkantoor werken, passen de malware aan en verkopen deze via hun websites en sociale media.
Slachtoffers vinden de aangesloten website of spam op sociale media en downloaden de kwaadaardige toepassingen. Eenmaal op het Android-apparaat van het slachtoffer, verstuurt de malware een of meer premium sms-berichten - meestal kost het slachtoffer tussen de $ 3 en $ 20 USD.
Omdat het hoofdkantoor van Malware de shortcodes bezit, krijgen ze het geld van de koerier van het slachtoffer. Ze nemen een deel en geven de rest aan de filialen, die blijkbaar worden betaald als normale werknemers op basis van hun prestaties. Smith zegt dat Lookout heeft vastgesteld dat sommige filialen gedurende meer dan vijf maanden $ 12.000 USD per maand verdienen, wat suggereert dat dit een lucratief en stabiel 'bedrijf' is.
Enorm in schaal en complexiteit
Het is een vrij eenvoudige zwendel en waarschijnlijk de meest directe manier om geld te verdienen met Android-malware. Wat de ontdekking van Lookout opmerkelijk maakt, is de omvang en het vreemde bedrijfskarakter van de activiteiten.
Het hoofdkwartier van de malware heeft het bijvoorbeeld verbluffend eenvoudig gemaakt om de malware aan te passen. Smith zei dat het hoofdkantoor van Malware verschillende thema's produceerde om het voor filialen gemakkelijk te maken om de malware aan te passen. "Ze kunnen het doen lijken op Skype, Google Play, alles om een gebruiker te verleiden het te downloaden en te geloven dat het echt is", aldus Smith.
Smith zei dat de malware-hoofdkwartierorganisaties ook elke één tot twee weken updates en nieuwe code pushten "zoals elke andere flexibele startup". Veel van deze updates zijn specifiek ontworpen om beveiligingsbedrijven te ontwijken, en gaan zelfs zo ver dat ze "delen van het programma coderen die worden gedecodeerd voordat ze worden gebruikt".
Aan de andere kant van de operatie zijn filialen zeer betrokken bij hun werk, maar ook wispelturig. Er zijn, zei Smith, forums en websites waar filialen de werking van verschillende Malware HQ's vergelijken. Hoewel de regelmaat van betaling een grote zorg was, was klantenservice - in feite affiliate technische ondersteuning - van cruciaal belang. Als de partners niet tevreden zijn met een bepaald hoofdkantoor van Malware, zullen ze migreren naar een ander.
De hoofdkantoren van Malware doen er alles aan om ook hun filialen succesvol te maken. Smith zegt dat de leiders van de ring de partners zouden motiveren met geldprijzen voor hoge prestaties - sommige zo groot als $ 300.000 USD. Ze creëerden zelfs advertentieplatforms voor filialen om betere informatie te bieden over welke oplichting beter presteerde in welke regio's.
De zilveren voering
Hoewel het angstaanjagend is om misdaad op zo'n grote schaal te zien gebeuren, en met alle attributen van normaliteit, is er hier goed nieuws. Lezers in de VS kunnen gemakkelijk rusten, omdat de meeste van deze oplichting specifieke korte codes gebruiken die niet werken buiten Rusland en de omliggende landen.
Belangrijker nog, Smith legde uit dat door de volledige omvang van deze zwendel te ontrafelen, ze een betere bescherming kunnen bieden. "We kunnen nu terugvallen op hun distributie, " zei Smith. Het bedrijf kan nu kennelijk meer blokkeren dan alleen de code - die vaak wordt gewijzigd - maar ook servers, IP-adressen en andere markeringen uitsluiten.
Dit zal de oplichters niet zonder meer stoppen. Immers, als ze slim genoeg zijn om hun code te wijzigen, zijn ze slim genoeg om te weten dat de beveiligingsbedrijven ze door hebben. Toch zegt Smith dat dit op de lange termijn een overwinning zou kunnen zijn: "Om de wijzigingen aan te brengen die ze moeten aanbrengen, zal het hen kostbaar zijn."
En we weten dat voor de portemonnee zorgen een geweldige manier is om malware te bestrijden.
Klik om de volledige afbeelding te zien
