צ'ק פוינט: התגלתה גרסה חדשה של נוזקה בעשרות אפליקציות

מיליוני מכשירי אנדרואיד (Android) נדבקו בנוזקה שהופצה על ידי גרסה חדשה של תוכנה זדונית סינית שנקראת HummingBad – כך על פי צ'ק פוינט (Check Point).

חוקרי ענקית האבטחה הישראלית גילו גרסה חדשה של הנוזקה, שהוחבאה ביותר מ-20 אפליקציות ב-Google Play, ומשתמשי אנדרואיד ברחבי העולם הורידו אותן בתקופת פעילותן כמה מיליוני פעמים. צ'ק פוינט דיווחה על האפליקציות הנגועות ליחידת האבטחה של גוגל (Google), שהסירה אותן מהחנות.

הגרסה החדשה של הנוזקה, שזכתה לכינוי HummingWhale, מכילה טכנולוגיות חדשות המאפשרות לה לייצר הונאות פרסום מתוחכמות.

הנוזקה המקורית של Hummingbad התגלתה על ידי החוקרים בפברואר 2016. ביולי האחרון חשפה צ'ק פוינט את התשתית שמאחורי הנוזקה וכן את קבוצת Yingmo, שעומדת מאחוריה. הנוזקה התקינה אפליקציות פרסום למכשירי המשתמשים – בלא אישורם. היא הופצה תחילה דרך חנויות אפליקציות לא רשמיות וכך הגיעה למכשיריהם של יותר מ-10 מיליון משתמשים. היא השיגה שליטה מלאה במכשירים במטרה לייצר רווח מהונאות פרסום ואף הניבה למפתחיה כ-300 אלף דולר בחודש.

כעת, הנוזקה הופיעה שנית – והפעם בחנות הרשמית של גוגל. הגרסה החדשה התגלתה לאחר שביצעה פעולות חשודות במכשירים שאליהם הורדה אחת האפליקציות הנגועות בעת הכיבוי שלהם. לאחר מכן גילו חוקרי צ'ק פוינט שורה של אפליקציות המבצעות פעולות דומות, כשהמשותף לרובן הוא מבנה שם הקובץ שניתן להן על ידי המפתחים, שכולל את הרצף com.XXXXXXX.camera. כל האפליקציות הועלו בשמות מזויפים של מפתחים סיניים.

כיצד פועלת תרמית הפרסום?

תחילה, שרת הפיקוד והשליטה (C&C) של הנוזקה שולח לאפליקציה את הפרסומות המזויפות שהיא מציגה למשתמש. כשהמשתמש מנסה לסגור אותן, מייצרת הנוזקה הקלקה מזויפת, שמניבה רווח לעומדים מאחוריה. כמו כן, היא מאפשרת לתוקפים להתקין אפליקציות מזויפות למכונות וירטואליות, מבלי לבקש אישור. בגרסה החדשה, הצליחו התוקפים לייצר את אותה הונאה – מבלי להזדקק ליכולות שליטה במכשיר, על ידי שימוש במכונה הווירטואלית המריצה את האפליקציות שהותקנו.

מכיוון שפעילותה מוסווית בתוך אפליקציות שנראות לגיטימיות לכאורה, היא הצליחה למצוא את דרכה לחנות האפליקציות הרשמית של גוגל. כדי להסוותה, יצרו העומדים מאחוריה גם ביקורות מזויפות ב-Google Play, והעניקו לאפליקציות הנגועות דירוגים גבוהים והמלצות.

מה שהפך את HummingBad – הנוזקה המקורית – למעניינת במיוחד הוא הקבוצה שניצבת מאחוריה: לפי צ'ק פוינט, מדובר בצוות של מפתחים מ-Yingmob – סוכנות פרסום סינית לגיטימית, שפועלת מבייג'ינג. הצוות האחראי לפיתוח הרכיבים הזדוניים נקרא "צוות הפיתוח עבור הפלטפורמה בחו"ל" והוא כולל ארבע קבוצות שבהן מועסקים יחד 25 עובדים – כך לפי ענקית האבטחה הישראלית.