De acuerdo con los investigadores de Check Point, las aplicaciones infectadas fueron descargadas varias millones de veces por los usuarios confiados antes de que el equipo de seguridad de Google las quitara de Google Play.

El servidor Command and control de HummingWhale (C & C) proporciona anuncios y aplicaciones falsas para el malware instalado, que son presentadas al usuario. Una vez que el usuario intenta cerrar el anuncio, la aplicación, que ya se ha descargado por el malware, se carga en la máquina virtual y se ejecuta como si se tratara de un dispositivo real. Esta acción genera el identificador de remitente falso que el malware utiliza para generar ingresos para los autores.

HummingWhale también lleva a cabo otras actividades maliciosas, como la publicación de anuncios ilegítimos en un dispositivo, y ocultar la aplicación original después de la instalación, un rasgo que fue observado por varios usuarios. HummingWhale también trata de elevar su reputación en Google Play a través de las calificaciones y comentarios fraudulentos, similar a la del malware Gooligan y CallJam.

HummingBad fue descubierto por primera vez por Check Point en febrero pasado; usa táctica cadena-ataque y un rootkit para obtener el control total sobre un dispositivo infectado. Yingmob de China fue identificado más tarde como el grupo detrás de la campaña. Durante la primera mitad de 2016 alcanzó el cuarto lugar en la lista de "el malware más frecuente en todo el mundo", y dominó el panorama de las amenazas móviles con más de 72% de los ataques. Afectó a más de 10 millones de víctimas, rooteo miles de dispositivos cada día y generó al menos $ 300,000 dólares por mes.

HummingWhale comparte algunas características con el original HummingBad, que incluye un archivo de 1.3 MB grande y cifrado llamado "assets/group.png” -a. Las nuevas muestras de HummingWhale también coinciden con varios rasgos vistos en muestras anteriores, tales como el registro de ciertos eventos y algunas cadenas idénticas en su código y certificados.

"Probablemente fue solo cuestión de tiempo antes de que HummingBad evolucionara y se abriera camino en Google Play de nuevo", dijeron los investigadores de Check Point, en una publicación. "Permite al malware instalar aplicaciones sin obtener elevación de privilegios en primer lugar, a continuación, se disfraza la actividad maliciosa, lo que le permite infiltrarse en Google Play. También permite al software malicioso dejar a su rootkit embebido, ya que puede lograr el mismo efecto incluso sin él. Se puede instalar un número infinito de aplicaciones fraudulentas sin sobrecargar el dispositivo".