感染数百万人的恶劣安卓恶意软件返回谷歌Play商店

嗡嗡作响– 一个基于安卓系统的恶意软件，去年在全世界感染了1000多万台安卓设备，使其团伙在高峰期每月估计达到30万美元–；已经卷土重来。

安全研究人员在谷歌Play Store上的20多个Android应用程序中发现了一种新的HummingBad恶意软件变种。

在谷歌安全团队将这些受感染的应用从Play Store中删除之前，已有超过1200万毫无戒备的用户下载了这些应用。

配音蜂鲸安全公司Check Point的研究人员表示，这种新的恶意软件利用了新的尖端技术，使这种恶劣的软件比以往任何时候都更好地进行广告欺诈，并为其开发者创造收入。

Check Point的研究人员表示，这些感染了蜂鲸的应用程序是以假冒中国开发者的名义发布在名为com的Play Store上的。[姓名]。摄像头，但有可疑的启动行为。

Check Point的研究人员在周一发布的一篇博客文章中说：“它在开机时记录了几个事件，例如TIME_TICK、SCREEN_OFF和INSTALL_Referer，在这种情况下，这些事件[是]可疑的”。

HummingWhale在虚拟机中运行恶意应用程序

HummingWhale恶意软件比HummingBad更狡猾，因为它使用了一个伪装的Android应用程序包（APK）文件，充当下载器，在受害者的智能手机上下载并运行更多应用程序。

如果受害者注意到并关闭其进程，APK文件就会自动放入虚拟机，以使其更难检测。

dropper利用中国流行的安全供应商奇虎360（Qihoo 360）创建的安卓插件将恶意应用上传到虚拟机，允许HummingWhale在无需提升权限的情况下进一步安装其他应用，并伪装其恶意活动以进入Google Play。

研究人员说：“这个.apk就像一个滴管，用来下载和执行额外的应用程序，类似于以前版本的HummingBad所采用的策略”。“然而，这个滴管走得更远。它使用了一个名为DroidPlugin的Android插件，最初由奇虎360开发，用于在虚拟机上上传欺诈应用”。

HummingWhale运行时无需安装Android设备

多亏了虚拟机（VM），HummingWhale恶意软件不再需要像HummingBad那样根植Android设备，并且可以在受害者的设备上安装任意数量的恶意或欺诈应用程序，而不会使他们的智能手机过载。

一旦受害者被感染，指挥与控制（C&C）服务器就会向用户发送虚假广告和恶意应用，该用户在虚拟机中运行，生成一个虚假的推荐人ID，用于为广告欺诈目的欺骗唯一用户，并产生收入。

与最初的HummingBad一样，HummingWhale的目的是通过广告欺诈和虚假应用程序安装来赚大钱。

除了所有这些恶意功能之外，HummingWhale恶意软件还试图通过欺诈评级和评论来提高其在Google Play Store上的声誉，这种策略类似于Gooligan恶意软件所使用的策略。