Les experts en sécurité de Check Point ont repéré un nouveau malware sévissant au sein d'une vingtaine d'applications présentes sur le portail Google Play. Cousin de la famille HummingBad qui avait sévi l'an dernier bien cachés au sein d'applications mobiles hors Google Play, HummingWhale en est une variante dissimulée dans des logiciels anodins et qui aurait touché environ 12 millions d'utilisateurs, selon les estimations de téléchargements.
HummingBad exploitait des vulnérabilités sur des appareils mobiles embarquant de vieilles versions d'Android non patchées pour tenter d'obtenir des privilèges root, permettant d'installer des applications tierces et d'afficher des publicités. Le malware aurait permis de générer 300 000 dollars par mois grâce à une base de 10 millions d'utilisateurs contaminés.
HummingWhale change de tactique et cherche pour sa part à exploiter des technologies de machines virtuelles pour tenter d'installer des applications et afficher des publicités, toujours dans le but de générer des revenus. Ces machines virtuelles fabriquent de faux identifiants pour continuer de capter des revenus publicitaires, avec l'avantage de ne pas nécessiter de prendre le contrôle complet du smartphone.
Le tout se fait très discrètement et les utilisateurs peuvent très bien ne pas savoir que leur smartphone constitue un nid douillet pour HummingWhale. Plus gênant, les experts de Check Point suggèrent que la présence des applications sur un portail officiel comme le Google Play ne constitue pas forcément une garantie totale de sécurité, malgré les gros efforts déployés par Google pour écarter les applications dissimulant des malwares.
De plus, le malware profite de faux commentaires positifs pour tenter de monter dans les classements et de se diffuser à un plus grand nombre d'utilisateurs, trompés par ces fausses données de bonne réputation, à l'image de Gooligan, répéré en novembre 2016 et qui aurait compromis plus d'un million de comptes Google.
Check Point propose une application Android (Check Point Detect) permettant de détecter la présence éventuelle de HummingWhale sur un appareil mobile. Les 20 applications infectées ont déjà été retirées du portail Google Play.
