Check Point veröffentlichte kürzlich einen Hintergrundbericht über den Android-Schädling HummingBad. Fast 40.000 Android-Geräte sind aktuell mit HummingBad Malware in Deutschland infiziert – insgesamt wurden mehr als 13 Millionen Angriffe in Deutschland festgestellt.
HummingBad erstellt einen permanenten Rootzugriff auf dem Endgerät des Opfers und kreiert Einnahmen durch manipulierte Klicks auf Bannerwerbung. Zusätzlich kann durch die Malware weiterer Schadcode eingeschleust werden, um beispielsweise Informationen auch aus geschützten Bereichen zu extrahieren.
Hinter der Schadsoftware soll die chinesische Gruppe Yingmob stehen. Neben einem legitimen Werbeanalyseunternehmen soll die Organisation auch Schadsoftware entwickeln. Das Unternehmen gilt als gut organsiert und verfügt über 25 Mitarbeiter in vier Abteilungen. Die Hinweise dazu kommen von mehreren Forschungsunternehmen.
Es gibt zusätzlich Anzeichen, das Yingmob ebenfalls für die iOS Malware Yispecter verantwortlich ist:
- Yispecter nutzt Zertifikate von Yingmob, um sich auf Endgeräten zu installieren
- HummingBad und Yispecter teilen sich einen C&C Server
- Verzeichnisse von HummingBad enthalten QVOD Documentation, einen iOS Player für pornografische Inhalte, welche von Yispecter angesteuert werden
Yingmob nutzt HummingBad und kontrolliert momentan 85 Millionen Geräte weltweit und generiert damit ungefähr 300.000 Dollar Umsatz pro Monat. In Deutschland sind aktuell 39.719 Endgeräte infiziert, insgesamt wurden 13.063.572 Angriffe in der Bundesrepublik registriert. In Relation zu den Attacken weltweit sind das 11,57 Prozent aller Angriffe bisher.
Besonders gefährlich ist, dass die Angriffswellen noch potenziell ausbaubar sind. Yingmob und andere Gruppen könnten ihren Zugriff auf die Geräte nutzen, um riesige Botnetze aufzubauen und durch gezielte Attacken immensen Schaden anrichten bzw. diese Fähigkeiten an den meistbietenden verkaufen.