HummingWhale est un malware très pernicieux qui s’est glissé dans vingt applications factices sur Google Play Store. Ce dernier aurait touché deux à douze millions de smartphones Android. Son but est d’afficher un maximum de publicités sur les terminaux pour faire gagner de l’argent aux hackers.

En juillet 2016, 10 millions d’appareils Android étaient touchés par HummingBad, un malware particulièrement vicieux, intelligent et difficile à détecter, car chiffré. Celui-ci pouvait accéder aux droits root d’un téléphone. Une fois confortablement installé, le fichier indésirable affichait des campagnes de publicité et téléchargeait des fichiers APK.  HummingBad était même en mesure de changer l’IMEI du terminal du téléphone pour améliorer le nombre d’affichage de publicité et d’installation d’applications.

Depuis peu, une nouvelle version de ce logiciel malveillant fait son grand retour sous le nom de HummingWhale qui toucherait 2 à 12 millions d’appareils, selon Ars Technica. C’est en effet ce que révèle Check Point, une entreprise spécialisée dans la sécurité qui suit de près cette famille de malwares. Cette variante ne fonctionne pas tout à fait de la même manière que son prédécesseur.

Un malware très efficace

HummingBad — supprimé depuis quelques mois par les équipes de Google — exploitait des failles de sécurité ou envoyait une fausse notification de mise à jour système. HummingWhale, quant à lui, a réussi à se glisser dans une vingtaine d’applications sur le Play Store. Grâce à des techniques très poussées utilisant, entre autres des machines virtuelles, ce dernier peut réaliser des fraudes encore plus efficaces.

L’utilisation d’une machine virtuelle permet notamment de ne pas nécessiter la moindre autorisation de la part de l’utilisateur pour installer des applications. Le malware peut d’ailleurs en télécharger presque autant qu’il veut sans surcharger l’appareil infecté.

Pour profiter de sa machine virtuelle, le logiciel malveillant utilise DroidPlugin. Il s’agit d’une extension qui, à la base, a été créée par l’entreprise chinoise Qihoo 360. HummingWhale va même jusqu’à générer des posts positifs sur la page Google Play des applications infectées. Autrement dit, la bonne note desdites applications ne permet pas de garantir la qualité du service qu’elle propose.

Comment se protéger ?

Le but de HummingWhale est le même que celui de son prédécesseur : générer des profits grâce aux publicités affichées. À titre d’information, HummingBad avait permis aux hackers de gagner 300 000 dollars par mois.

Pour savoir si votre téléphone est contaminé, vous pouvez télécharger l’application Check Point ou, l’un de ses concurrents tels que Lookout.

SandBlast Mobile Protect Check Point Software Technologies, Ltd.