Los procesos internos de Yingmob, un grupo de cibercriminales chinos estaría detrás de este malware llamado y que ha sido descubierto por descubierto por Check Point, que señala lo que lleva a cabo este malware es establecer un rootkit persistente en dispositivos Android, generar ingresos publicitarios fraudulentos e instalar apps peligrosas.
Las investigaciones, que se vienen llevando a cabo desde hace cinco meses dan cuenta de que “Yingmob funciona como una empresa de análisis dentro de la legalidad china, y comparte sus recursos y su tecnología. Está formada por 25 empleados que se organizan en cuatro grupos independientes, todos ellos responsables de crear componentes maliciosos para HummingBad.”
Según análisis anteriores, ya se había relacionado a Yingmob con un malware para iOS bautizado como Yispecter. Y entre ambos malwares, llevan a cabo las siguientes actividades:
- Yispecter utiliza los certificados de empresa de Yingmob para instalarse en los dispositivos
- HummingBad y Yispecter comparten direcciones de servidor C&C
- Los repositorios de HummingBad contienen documentación de QVOD, un reproductor de videos pornográficos para iOS creado por Yispecter
- Ambos instalan apps fraudulentas para obtener ingresos
Según señalan desde Check Point, “Yingmob usa HummingBad para controlar a 85 millones de dispositivos en todo el mundo, lo que genera ingresos publicitarios fraudulentos por un valor de 300.000 dólares al mes. Este flujo constante de dinero, junto a una estructura organizativa concentrada, es la prueba de lo fácil que les resulta a los cibercriminales ser económicamente autosuficientes.”
Gracias a esta independencia, Yingmob y grupos similares pueden centrarse en perfeccionar sus habilidades para llevar las campañas de malware a un nuevo nivel, una tendencia que, según los investigadores de Check Point, será cada vez más común. Por ejemplo, estos grupos pueden reunir recursos para crear potentes redes de bots, crear bases de datos de dispositivos para lanzar ataques a objetivos relevantes, o idear nuevas fuentes de ingresos vendiendo acceso a dispositivos móviles al mejor postor.
Los dispositivos Android que son incapaces de detectar y detener comportamientos sospechosos, así como todos los datos que contienen, estarían en peligro permanente, según señalan los expertos informáticos de Check Point.