HummingBad : le nouveau fléau de l’année 2016… pour les smartphones !

Le malware HummingBad a déjà infecté 85 millions de terminaux mobiles Android. Comment une petite société basée en Chine est-elle parvenue à infecter autant d'appareils, et engranger des millions d'euros ?

Vous avez un smartphone ou une tablette Android ? Il se peut que votre appareil contribue à l'économie des logiciels malveillants mobiles, comme l'un des 85 millions d'appareils infectés par HummingBad dans le monde entier. Cette campagne d'attaque furtive génère plus de 300 000 de dollars par mois de revenus pour le groupe qui l'exploite, et permet de financer d'autres activités criminelles. Comment une petite société basée en Chine est-elle parvenue à infecter autant d'appareils parmi les 1,4 milliard d'appareils Android dans le monde entier, et engranger des millions d'euros de revenus frauduleux par an ?

Depuis le début de l'année 2016, nos chercheurs ont eu accès aux coulisses de cette campagne. Ils ont ainsi pu étudier le profil et les activités des criminels responsables de l’attaque, ainsi qu’analyser le comportement du logiciel malveillant qu’ils utilisent avec succès. Ils ont découvert un groupe très organisé, focalisé (comme toute entreprise légitime) sur son développement et la croissance de ses revenus, et ont identifié d'autres signes avant-coureurs inquiétants illustrant le potentiel d’évolution de cette économie souterraine des logiciels malveillants.

Le logiciel malveillant HummingBad a été découvert en février 2016. Pour résumer, il installe un rootkit persistant sur les appareils Android afin de générer des revenus frauduleux de publicité mobile, et installer des applications frauduleuses. Le nombre d'infections augmentant, il a fallu remonter jusqu'à la source de la campagne d'attaque. Cette source s'est avérée être Yingmob, une entreprise chinoise légitime de publicité mobile, qui avait déjà été liée au développement de logiciels malveillants ciblant des appareils iOS. L'équipe de Yingmob responsable du logiciel malveillant compte 25 employés côtoyant l'activité légitime d'analyses publicitaires de l'entreprise, et partageant ses technologies et ses ressources.

L'analyse du code de HummingBad a révélé qu'il communique avec le tableau de bord de suivi et d'analyse de Yingmob, qui sert également aux agresseurs à gérer la campagne, avec notamment près de 200 applications mobiles dont environ 25 % sont malveillantes. Pendant plusieurs mois, HummingBad et les applications malveillantes associées ont silencieusement infecté 85 millions d'appareils, dont la majorité en Chine, en Inde et dans les pays de l'Est, et en nombre significatif dans le reste du monde. Par exemple, les États-Unis comptent près de 300 000 appareils compromis.

Les téléchargements automatiques à partir de différents sites web infectés étaient la première méthode d'infection constatée. HummingBad utilise alors une chaîne d'attaque sophistiquée à plusieurs étapes avec deux composants principaux. Le premier est de tenter d'obtenir un accès root sur les appareils en exploitant plusieurs vulnérabilités. En cas de réussite, les agresseurs ont un accès complet aux appareils.

En cas d’échec, un second composant utilise une fausse notification de "mise à jour du système" pour inciter les utilisateurs à octroyer des autorisations de niveau système à HummingBad. Que le rootage soit réussi ou non, HummingBad télécharge des applications frauduleuses sur l'appareil. L'infection est persistante et très difficile à éliminer complètement.

Une fois installé sur les appareils, HummingBad exploite un ensemble de services payants, dont l'affichage de publicités mobiles, les clics frauduleux à partir des appareils des utilisateurs, et l'installation d'applications frauduleuses supplémentaires. Ces tactiques illégitimes génèrent beaucoup plus de revenus pour les développeurs de HummingBad que s'ils menaient une activité légitime. Les agresseurs mesurent l'efficacité des applications dans chaque catégorie, et les modifient pour améliorer encore plus leur efficacité. En quelques chiffres : les applications affichent plus de 20 millions de publicités par jour, et Yingmob génère plus de 2,5 millions de clics publicitaires par jour.

Cela se traduit par des revenus importants : le chiffre d'affaires moyen de Yingmob par clic (RPC) est de 0,00113 €, ce qui revient à des recettes quotidiennes cumulées de plus de 2 700 €. Les revenus des téléchargements d'applications frauduleuses dépassent 6 800 € par jour. Yingmob gagne ainsi plus de 9 000 € par jour, soit plus de 270 000 € par mois.

La campagne HummingBad est certes une question de chiffres, mais l'argent qu'elle génère n'est que la pointe de l'iceberg. L'attaque infecte des milliers de nouveaux appareils Android chaque jour, en plus des 85 millions d'appareils déjà compromis. L'accès à ces appareils permet à une organisation autonome et structurée comme Yingmob de créer un botnet, de mener des attaques ciblées sur des entreprises ou des organismes gouvernementaux, ou de louer l'accès à des appareils infectés à d'autres groupes criminels, ce qui lui apporte une source lucrative de revenus supplémentaires.

Les données présentes sur ces appareils sont également menacées, y compris les données d'entreprise présentes sur les tablettes et les téléphones personnels utilisés en entreprise. Sans possibilité de détecter ni d'arrêter les comportements suspects, ces millions d'appareils Android et leurs données restent aujourd'hui exposés. Avec un tel potentiel de génération de revenus, et la possibilité de vendre ou louer l'accès à ces appareils infectés à d'autres criminels, HummingBad illustre parfaitement la manière dont le paysage des menaces mobiles se développera au cours des deux prochaines années. Le crime organisé tirera des leçons de l'exemple donné par Yingmob, et trouvera des façons de transformer la fraude mobile en une affaire lucrative.

Pour les utilisateurs, la meilleure façon d'éviter d'être infecté par des logiciels malveillants persistants tels que HummingBad consiste à télécharger des applications à partir de Google Play seulement, et de déployer une solution réputée de prévention des logiciels malveillants sur les appareils Android. Pour les entreprises permettant à leurs employés d'utiliser leurs propres appareils, l'approche la plus efficace consiste à déployer des mesures de sécurité sur les appareils mobiles afin de détecter les applications malveillantes ainsi que les tentatives de rootage des appareils. La solution devrait être en mesure d'inspecter et de mettre en quarantaine des applications suspectes dans le Cloud, avant qu'elles ne soient téléchargées sur les appareils. De cette façon, les menaces peuvent être neutralisées avant qu'elles ne puissent s'implanter.

Une chose est certaine cependant : l'économie des logiciels malveillants mobiles est en plein essor et nous avons besoin de trouver des moyens de l'empêcher de se développer davantage.