Después de una investigación de varios meses la firma de seguridad informática Check Point asegura que la compañía china Yingmob es la responsable del malware HummingBad. Este software malicioso establece un rootkit persistente en dispositivos Android, genera ingresos publicitarios fraudulentos e instala aplicaciones peligrosas.
Según estimaciones de Check Point, HummingBad habría logrado infectar a más de 85 millones de dispositivos, a los que sirve más de 20 millones de anuncios al día con una tasa de clics del 12,5%, lo que equivale a 2,5 millones de clics por día. Además, HummingBad instala más de 50.000 aplicaciones fraudulentas por día.
Con estos números Check Point afirma que Yingmob gana más de 3.000 dólares al día con clics y otros 7.500 dólares por las aplicaciones. Esto representa unos ingresos publicitarios fraudulentos superiores a los 300.000 dólares al mes o 3,6 millones de dólares al año. La mayoría de usuarios infectados se encuentran en China, India, Filipinas, Indonesia y Turquía.
Yingmob funciona como una empresa de análisis dentro de la legalidad china. Sus 25 empleados se organizan en cuatro grupos independientes que comparten sus recursos y su tecnología con el fin de crear el código malicioso de HummingBad. En esta ocasión el malware tiene como objetivo generar ingresos fraudulentos por publicidad, pero con los móviles infectados también se puede crear una red de bots al servicio del mejor postor.
"Este flujo constante de dinero, junto a una estructura organizativa concentrada, es la prueba de lo fácil que les resulta a los cibercriminales ser económicamente autosuficientes", afirma Check Point. Esta independencia financiera les permitiría "centrarse en perfeccionar sus habilidades para llevar las campañas de malware a un nuevo nivel", añaden desde la compañía.
Anteriormente se había relacionado al grupo Yingmob con Yispecter, un malware para iOS (con o sin Jailbreak) que afectó principalmente a usuarios de China y Taiwan. Su objetivo era el mismo que HummingBad, instalar aplicaciones maliciosas que se apoderaban de de otras con el fin de mostrar sus propios anuncios. En su momento Apple dijo que el malware no había salido de la AppStore y afirmó que iOS 8.4.1 y iOS 9 son inmunes a este tipo de código malicioso.
