HummingWhale: Check Point entdeckt erneut gefährliche Apps im Play Store

Sie verteilen einen Nachfolger der Malware HummingBad. Er wird ebenfalls für die Verbreitung gefälschter Werbeanzeigen benutzt. HummingWhale kann jedoch auch ohne Root-Rechte weitere gefährliche Apps herunterladen und installieren.

Der Sicherheitsanbieter Check Point hat eine neue Schadsoftware für Android entdeckt, die zuletzt auch über den offiziellen Google Play Store vertrieben wurde. Wichtigste Aufgabe der HummingWhale genannten Malware ist die Verbreitung betrügerischer Werbeanzeigen. Der Nachfolger von HummingBad, das im vergangenen Jahr mehr als 10 Millionen Geräte infizierte, soll dies den Forschern zufolge sogar noch effektiver erledigen.

App-Malware (Bild: Shutterstock)Die mehr als 20 mit HummingWhale infizierten Apps wurden im Play Store mehrere Millionen Mal heruntergeladen. Der Schadcode war unter anderem in Kamera-Apps für Android integriert. Allen Apps gemeinsam waren falsche chinesische Entwickler. Inzwischen sind sie nicht mehr in Googles Marktplatz erhältlich.

Aufmerksam wurde Check Point auf die Apps durch ihr fragwürdiges Verhalten beim Start. Eine genauere Analyse förderte schließlich eine mit 1,3 MByte ungewöhnlich große verschlüsselte Grafik-Datei namens „assets/group.png“ zutage. Sie enthält den eigentlichen Schadcode.

Die Installationsdatei der gefährlichen Apps wiederum dient nur als sogenannter Dropper, der weitere Apps herunterlädt und installiert. Der Dropper wiederum verwendet ein ursprünglich von Qihoo 360 entwickeltes Plug-in, um betrügerische Apps auf eine virtuelle Maschine zu laden. Das erlaubt es laut Check Point, weitere Apps auf einem Android-Geräte zu installieren, ohne zusätzliche Rechte einzufordern oder – wie HummingBad – ein Rootkit einzurichten. Zudem würden die gefährlichen Aktivitäten getarnt, was es den Hintermännern von HummingWhale erlaubt habe, die Sicherheitsvorkehrungen des Play Store zu umgehen. Außerdem könne HummingWhale so eine nahezu unbegrenzte Zahl von Apps installieren, ohne ein Gerät zu überlasten.

Umfrage

Welchen Stellenwert hat Nachhaltigkeit für IT-Anschaffungen Ihres Unternehmens?

Ergebnisse anzeigen

Loading ... Loading ...

Von HummingBad übernommen haben die Cyberkriminellen das Einblenden betrügerischer Werbeanzeigen. In welchem Umfang sie damit erfolgreich waren, teilte Check Point nicht mit. HummingBad soll seinem Entwickler, dem Anzeigennetzwerk Yingmob, monatlich 300.000 Dollar eingebracht haben.

„Das ist ein erstklassiges Beispiel dafür, dass Malware-Entwickler voneinander lernen, da von einem eingeführten Taktiken vom anderen übernommen werden“, heißt es im Check-Point-Blog. Da HummingWhale auch seine Bewertungen im Play Store manipuliert habe, könnten sich Nutzer von Google Play auch nicht mehr auf Bewertungen verlassen, um mögliche Betrugsversuche zu erkennen.

ANZEIGE

Kabellose Vernetzung: Freie Fahrt für Fahrzeuge der nächsten Generation

Die Vernetzung von Fahrzeugen ist in den letzten 20 Jahren zu einem Mittel für allgemeine Sicherheitsmeldungen und Verkehrsmanagement geworden. Aber heutzutage werden Autos mit neuen Sensoren ausgestattet, um ein noch besser vernetztes und sichereres Fahren zu ermöglichen.

[mit Material von Roland Moore-Colyer, Silicon.co.uk]

Tipp: Was wissen Sie über Mobile Apps? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Android, Check Point, Malware, Security, Sicherheit, Smarthpone

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

24 Kommentare zu HummingWhale: Check Point entdeckt erneut gefährliche Apps im Play Store

Kommentar hinzufügen
  • Am 25. Januar 2017 um 13:27 von DoN

    Was an der Geschichte ist nun gefährlich, so für mich als User? Ich lade eine App, die lädt (ohne mein Wissen) andere Apps, die Werbung simulieren, damit sie die Gelder für ausgespielte Werbung bekommen. Ich merk davon nix, mich kostet es nix. Was ist also daran „gefährlich“ und für wen?
    Es ist schon seltsam, je mehr man sich mit dem Thema befasst, umso erschreckender empfindet man die – ich nutze jetzt mal ganz absichtlich ein provokantes Wort – Panikmache. Mein Vorschlag für die Redaktion: Wie wäre mal ein Artikel, bitte ordentlich recherchiert, darüber welche Schadensgrößen (monetär, dateien oder what ever) es je gab. Was ist bis Dato wirklich an Schaden durch Apps (auf allen Systemen) angerichtet worden, und was musste dafür vom Nutzer getan werden?
    Es geht gar nicht darum, einen sorglosen Umgang zu fördern, aber darum dem User (und zwar dem Otto-Normal-User) zu zeigen wo man tatsächlich sein Augenmerk hin richten sollte. Denn dieses permanente „Gefahr hier, Gefahr da“ verunsichert nur. Entweder ignorieren die Menschen so etwas dann völlig, oder sind in einer Schreckstarre und wittern nur noch Gefahren. Arbeitet dieses Thema doch mal sauber auf.

    • Am 25. Januar 2017 um 15:21 von Ein Hoffender

      Hoffentlich erinnerst Du Dich noch an diese weisen Worte, wenn mal wieder irgend etwas bei Apple passiert. Dann nämlich, wenn das bei Apple-Usern genauso wenig schädlich ist.

    • Am 25. Januar 2017 um 16:20 von Pitty Platsch

      Oder sie verharmlosen das, wie ein DoN das gerade tut.
      Mal kurz nachdenken: wenn jemand 1 GB Download Volumen hat, und dann werden etliche Apps heruntergeladen, die ihm große Teile seines Volumens rauben. Freut das den Nutzer?
      Und wenn ihm dann Fake Werbung eingeblendet wird, und wenn er draufklickt und dadurch weitere Schadsoftware einkassiert. Ist das für ihn gut?
      Und wenn dadurch sein Gerät komplett von Kriminellen kontrolliert wird, und sie ihn komplett ausschnüffeln können, beispielsweise, wenn er Online Banking macht. Ist das so gewollt?
      Und wenn von seinem Gerät ausgehend Netzwerke kompromittiert werden, das eigene und die von Bekannten? Klasse?
      Mich nervt diese Verharmlosung enorm, insbesondere, wenn dann dem Autor „Panikmache“ vorgeworfen wird, man selber aber unverschämt weichzeichnet.
      Und ja, wie ‚Ein Hoffender‘ so treffend anmerkte: dieses messen mit zweierlei Maß ist dann schon ziemlich bedenklich. Da werden dann irgendwelche kruden Theorien an den Haaren herbeigezogen, weil es um eine Frucht geht. Obwohl diese Lücken nach kurzer Zeit geschlossen werden. Bei Android/Google kommen kaum Updates an, das ist dann ‚Panikmache‘.
      Ätzend, nur ätzend.

      • Am 25. Januar 2017 um 19:45 von DoN

        Ach Peer, wenn du das „ätzend“ findest, kannst du doch ganz einfach mit Fakten auftrumpfen. Nenn mir die Schäden. Kein könnte, wäre, wenn.. Was haben die ganzen ach so gefährlichen Apps an Schäden angerichtet? Was? Sag es mir, sag es der Welt. Ich zeichne nicht weich, ich will nur Belege für die ganzen gefährdeten Leute da draußen. Quatsch also nicht rum, nenne Fakten.

        • Am 26. Januar 2017 um 8:45 von Ein schon leicht Resignierender

          Fakten?
          – gestohlener Traffic
          – potentielle gefährliche Apps
          – mögliche Übernahme der Geräteadministrastion
          – mögliche finanzielle Schäden durch Premium-SMS-Versand
          – mögliche finanzielle Schäden durch Banking-Spionage
          – Kompromittierung fremder Netze

          • Am 26. Januar 2017 um 11:38 von DoN

            Nicht ein Fakt…
            Traffic, woher weist Du, dass das nicht nur bei WLAN funzt und wie hoch der war/ist. Der Rest ist genau das was ich hinterfrage. „potentielle“ „mögliche“
            Nenn mir die Folgen, ganz einfach.
            Jedes Fahrzeug ist „potentiell“ gefährlich, gibt aber Zahlen über art der Schäden, die Verusacher etc. was ist bei den Apps?
            „mögliche finanzielle Schäden“ – tja, wie hoch waren die finanziellen Schäden bisher? Wieviele Konten haben in welcher Höhe einen Schaden erlitten durch Banking-Spionage?
            Du kannst absolut nix beitragen außer dem gleichen theoretischen Gefasel. Alles was ich will sind mal klare Ansagen. Keine hätte wäre wenn.
            Als Yahoo gehackt wurde, wusste man wieviele Accountdaten weg waren, das war schon mal eine erste Zahl, zwar nicht wieviele davon noch aktiv waren etc. aber schon mal ne Zahl.
            Als die Bilder gemopst wurden, wusste man wieviele.
            Wenn also echte Diebstähle etc. passieren weiß man um die Schadenshöhe. Sag mir also wie hoch der bisherige Schaden durch Apps ist? Nicht was bei Servern gemopst wurde, was die Apps angerichtet haben die auf Smartphones geladen wurden, aus welchen Quellen die stammten, was der User machen musste?
            Einfache Fragen, wenn man Schäden hat.

          • Am 26. Januar 2017 um 12:39 von Endgültig Resignierender

            Wie schön, dass Du die möglichen Gefahren ganz einfach nur weich zeichnest. Jedenfalls, wenn es gerade mal NICHT um Apple geht. Welche Fakten hattest Du denn?

          • Am 26. Januar 2017 um 12:48 von DoN

            Super Fakten ;-(
            Der Kugelschreiber, die potentiell gefährliche Waffe für mögliche Verbrecher.
            – Möglichkeit ins Auge gestochen werden
            – Möglichkeit des transports von potentiell gefährlichen Stoffen
            – Mögliche finanzielle Schäden durch unterzeichnung eines gefälschten Checks
            – Niederschrift von Schmähgedichten
            – kann verloren im Auto zu Unfällen führen bei der möglichen Suche danach während der Fahrt.
            Klar ist das lächerlich, zeigt aber die Absurdität von „potentiell und mögliche“ ohne eine Konkretisierung ohne einen Kontext.
            Das überqueren einer Straße ist potentiell gefährlich (da fahren Autos und Mopeds und LKWs und Busse und Bahnen..) Die Möglichkeit dabei verletzt zu werden ist gegeben. Dennoch überqueren wir täglich die Straßen. Warum? Weil die Wahrscheinlichkeit gering ist, dass was passiert wenn man die Regeln befolgt die sich aus der Erfahrung mit echten Schäden ergeben. Wir wissen um die Unfälle, können sie analysieren und Strategien entwickeln. Warum aber sollte ich Angst vor jedem Kugelschreiber haben nur weil die theoretische Möglichkeit besteht, dass da was drinn ist, was mir schaden „könnte“, wenn bei zig Milliarden Kulis noch nie was passiert ist und immer nur von den Herstellern von Kugelschreiber Schutzmänteln zu hören ist, wie gefährlich die Kugelschreiber doch sind?
            Es gibt aber keine Schadensberichte, keine Statistiken, keine Analysen über Schäden nur über „mögliche“ Gefährdungen.
            Daher meine Bitte an alle Journalisten mit den Ressourcen zur Recherche: Arbeitet dieses Thema doch mal ernsthaft auf. Damit Wahrheit und Dichtung mal getrennt werden können.

          • Am 26. Januar 2017 um 14:21 von Peter Pan

            Er hat Alternative Fakten. Wie immer.

        • Am 26. Januar 2017 um 14:20 von Peter Pan
  • Am 26. Januar 2017 um 13:47 von DoN

    @resignierenden Peer
    Wenn es um Apple ging, ging es um Apple und Applefans. Vorwurf an die immer wieder plappernden „Apple ist sicher, iOS ist sicher, es gibt keine Schadware, keine Viren“. Das war immer das Thema, seltenst der Vorfall an sich. Also mit der Nase darauf stupsen, dass iOS oder OSX eben nicht per se sicher sind – und immer im Kontext mit den wüsten Beschimpfungen in Richtung MS, Samsung, Google etc.
    Das ist ein Himmelweiter Unterschied zu dieser Diskussion. Aber außer einem schwülstigen Vorwurf der Weichzeichnung kommt da ja nix von Dir. Wie auch… wahrscheinlich suchst Du seit zwei Tagen verzweifelt nach einem einzigen Bericht über einen Schadensfall der beziffert werden konnte, zur Rechtfertigung. Scheint schwer zu sein, was zu finden?

    • Am 26. Januar 2017 um 14:25 von Peter Pan

      Diese Aussage trifft kein Apple Fan, diese allgemein falsche Aussage treffen Leute wir Du, um sich hinterher daran abzuarbeiten. Das ist quasi der Ur-Vater aller Alternativen Fakten und Fake Kommentare: man schreibt Mist, um dann laut Mist zu schreien, und sich zu freuen, dass man Mist mal als solchen erkannt hat.

      90% Deiner Apple-kritischen Kommentare fallen in diese Schublade. Der Rest sind Weichzeichner Kommentare, die sich mit den Wettbewerbern beschäftigen, und bei denen die Scheuklappen fest aufgesetzt werden.
      Dieser oftmals angesprochene Peer muss Dich ja arg in der Denkweise beschädigt haben, dass Du so oft an ihn denkst. Hat er Dir einen Spiegel vorgehalten? Gut gemacht.

      • Am 26. Januar 2017 um 15:49 von DoN

        „Dieser oftmals angesprochene Peer“ gottchen wie lächerlich. Du kennst meine Kommentare, Du antwortest auf an Peer gerichtete Kommentare und sprichst dann von dir in der dritten Person? Alter, ist Dir das nicht zu blöde? Schön, mir egal, wenn’s Dich glücklich macht.
        Nein, dieser Peer hält sich ständig selbst den Spiegel vor. Denn seine Vorwürfe sind immer das, was ER macht.
        Ne, korrigiere mich. Ist mir nicht egal. Ist völlig bescheuert. Schreib als Peer oder lass es.

      • Am 26. Januar 2017 um 16:20 von C

        @Peter Pan

        Du hast mich der – angeblich – alternativen Fakten beschuldigt, im Rahmen der iOS 10.3 News-Meldung. Jetzt beschuldigst Du hier nun @DoN.
        Fällt Dir nicht auf, dass alle außer Du angeblich alternative Fakten vortragen sollen?

        Ein Tipp:
        Wenn im Radio ein Geister-Fahrer gemeldet wird – und Du genau auf dieser Strecke fährst und meinst, es ist nicht ein Geister-Fahrer sondern Hunderte/Tausende unterwegs – spätestens dann sollte das NACHDENKEN mal einsetzen.

        @PeerH hat hier viel Apfel-Prosa berichtet – die nun zusammenfällt anhand der News & Fakten. Nutz doch mal die Such-Funktion bei zdnet.de
        Viele Deiner Apfel-Freunde machen den gleichen Fehler: posten OHNE sich vorher zu informieren… scheint typisch zu sein.

        • Am 26. Januar 2017 um 18:32 von Zutiefst Resignierender

          Nach des DoNs Verständnis dürfte ein Falschfahrer keine Gefahr darstellen. Es könnte schließlich nur „möglicherweise“ ein Unfall passieren, muss aber nicht.
          Also, gar kein Problem.

          • Am 27. Januar 2017 um 10:57 von C

            Ich teile überwiegend die Ansichten von @DoN, aber nicht immer. Hier sind wir divergent.

            SW-Lücken sind kurzfristig zu schließen. Bei Google-Android ist zu kritisieren, dass
            a) Google kein richtiges Zentrales Update installiert hat
            b) die Hersteller hier (aus Verkaufs-Absicht) ihre Geräte nicht lange genug Supporten und den Kunden im Regen stehen lassen

            Hieraus folgt die Erkenntnis, bei Android auf ein Alternativ-ROM zu gehen, dass aktuell und zeitnah ist. Früher CM, jetzt Linage OS.

            Selbst ein Geister-Fahrer ist schon einer zu viel.

          • Am 27. Januar 2017 um 12:12 von C

            NACHTRAG:

            Die wichtigsten Argumente für ein Alternativ-ROM habe Ich ausgelassen gehabt:
            c) aktuelle SW-Version, incl. Patches
            d) keine Daten-Spionage und Telemetrie-Übertragung

            a) und b) sind die Crux, aber c) und d) das Entscheidende.

          • Am 27. Januar 2017 um 14:19 von Peter Pan

            Und Du hast vergessen, dass für deutlich über 80% der Androiden keine alternativen ROMs existieren, die man einsetzen könnte. Geschweige denn, ob dann 100% des Gerätes funktionieren. Es gibt welche, aber es ist sehr oft Glückssache, was man erwischt.
            Auch das ist Schönsprech, indem man wichtige Randbedingungen einfach vergisst.
            So bleibt dem Nutzer unter dem Strich einfach nur die Wahl zwischen Pest und Cholera. Entweder ist das Gerät aicher, funktioniert dann mitunter nicht 100%ig, oder aber es funktioniert soweit, ist aber nicht sicher.
            Na, und natürlich die Frage, wer das von den normalen Nutzern überhaupt installiert kriegt.

          • Am 27. Januar 2017 um 23:12 von DoN

            Dummes Zeug, und wenn du das nicht verstehst ist Hopfen und Malz verloren.
            Das ist eben genau nicht meine Ansicht, nicht meine Logik. Wie gefährlich Falschfahrer sind weiß mann, weil es schon unzählige Unfälle, also echte Schäden gab. Bezifferbar, also real.
            Nichts mehr als das möchte ich über Apps wissen um das echte Gefahrenpotenzial ermitteln zu können damit man sich um echte Gefahren kümmern kann.
            @C
            Ich sage nicht, dass Softwarelücken nicht geschlossen werden sollen, nur sollen die Leute, die sich informieren, nicht verängstig werden, nur weil Jemand „Sicherheitslücke“ schreit, es aber ein rein theoretisches Szenario ohne Realbezug ist.

          • Am 28. Januar 2017 um 0:38 von C

            Und da spricht wieder der „Verwöhnte“ der neben viel Geld auch noch mit all seinen Daten bezahlt…und auf diesem Niveau Äpfel (1.200 EUR iPhone) mit Birnen (100 EUR China-Androide) vergleicht.

            Wer einen (günstigen) Androiden mit Alternativ-ROM sucht, sollte zuvor sich über die Unterstützung seines Gerätes (ehemals CM, jetzt Lineage OS oder bei den XDA Foren schlau machen, BEVOR er seine Kauf-Entscheidung trifft. Es ist doch allgemein bekannt, dass i. d. R. die Spitzen-Modelle gewisser Hersteller supportet werden.

            Alles haben wollen – aber nichts dafür tun oder zahlen wollen – das klingt nach Unerfahrenheit & Manager-Gehabe (mit Bonus-Anspruch für Nichtigkeiten – siehe VW und Heizung für den Koi-Teich). Zur Not muss es eben „Hey Joe“ tun. Da muss man eben raus aus der DAU-Ecke, auf die eine oder andere Weise. Bequem im Sessel und nur klicken ist nicht.

          • Am 28. Januar 2017 um 12:28 von C

            @DoN

            Dank Deiner klärenden Aussage sind wir wieder beieinander.
            SW-Lücken sind generell zeitnah zu schließen.
            Aber – die konkrete Bedrohungslage sollte auch detaillierter als bisher erfolgen.

            Manche (Linux-)Lücken sind ja einschränkender Natur, wo neben der Lücke auch noch physischer Zugriff auf das Gerät erfolgen muss. Da ist die echte Bedrohungslage viel niedriger als es die SW-Lücke erscheinen lässt. Geschlossen werden muss sie trotzdem.

            Gruß & schönes WE

            P.S.: Mein Beitrag vom 28. Januar 2017 um 0:38h galt natürlich @Peter Pan als Antwort.

          • Am 28. Januar 2017 um 14:47 von Peter Pan

            Was macht C nur glauben, ich hätte ein 1.200€ iPhone? Und was drängt ihn dazu mir „Managergehabe“ anzudichten? Manager magst Du nicht, hmm?
            Wirkt auf mich nach einem irgendwie beruflich zu kurz gekommenen, der sich immer falsch verstanden fühlt, der meint immer alles zu wissen, und deswegen ziemlich verbittert ist. So verbittert, dass er andere meint abwerten zu müssen, und dann auch noch mittels CAPS zu brüllen. Wer hat solche genialen noch Kollegen nicht kennengelernt. Sie wollen, können aber nicht. Schuld sind Manager, Apple, der fehlende Weltfrieden und eben jeder, der bessere Argumente hat.
            Psychologisch sollte Dir klar sein, dass Menschen dann brüllen, wenn sie im Unrecht sind, sich das aber nicht eingestehen wollen.
            Nun aber adieu, diese Hasstiraden können einem echt den Tag vermiesen. Dein Problem ist, dass Du Dich nicht einfach ausklinken kannst. Ohne Feindbilder keine Existentberechtigung.
            Und dann tretet ihr auch no im Doppelpack (Die frustrierten Zewi“?) auf, harte Welle.
            Und dabei scheint draußen die Sonne.

          • Am 28. Januar 2017 um 14:54 von Leicht Irritierter

            Für den DoN ist eine potentielle Gefahr also erst dann gefährlich, wenn etwas passiert IST!? Das halte ich für eine potentiell gefährliche Einstellung aber hey – dem DoN kann ja nichts geschehen.

          • Am 30. Januar 2017 um 13:18 von C

            @Peter Pan

            Neben fehlenden IT-Kenntnissen, ebenso der fehlenden Wahrnehmung von Tatsachen & Fakten fehlt Dir auch noch jegliches, psychologisches Verständnis. Ablenken ist nicht!

            Hättest Du alles mit der SuFu vorab klären können.
            Hast Du aber nicht.

            Wenn Foren-Teilnehmer Deine Lieblings-Firma kritisieren, steigst Du reflexartig ein – und beschuldigst jeden der falschen Behauptungen. Außer Dir – natürlich.
            Deine Geister-Fahrt bemerkst Du aber nicht.

            Wenn Du hier – auf Augenhöhe – diskutieren willst, mach Dich zuvor Sachkundig. So ist es nur ein Nachplappern von Marketing-Parolen (DP) und hat einen sehr schlechten Beigeschmack. Das kennen wir hier im Forum schon von anderen Apfel-Freunden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *