He leído un poco en los últimos días sobre HummingBad , un virus de Android que intenta obtener acceso de root. Parece que usa el acceso de raíz para mostrar anuncios e instalar aplicaciones. Las distintas estimaciones sitúan a los dispositivos afectados entre 10 y 80 millones. Al parecer, los delincuentes detrás de este virus pueden ganar millones de dólares al año con estos anuncios.
Al parecer, este malware funciona al obtener acceso de root. (¿O puede seguir haciendo daño incluso si no logra obtener la raíz?)
Si tuviera que adivinar, asumiría que el proceso es algo como esto:
- HummingBad se incluye en alguna aplicación aparentemente inocua (juego, etc.) que el usuario instala sin darse cuenta.
- Cuando el usuario ejecuta la aplicación, la aplicación inmediatamente intenta hacer algo similar a lo que son las aplicaciones de sombrero blanco como KingoRoot y Towelroot do, intentando rootear el dispositivo sin la necesidad de una computadora externa. Sin embargo, en lugar de instalar Super SU y otorgarle al usuario el control sobre el acceso a la raíz, el control se dirige a un servidor remoto controlado por los delincuentes, con el objetivo de que el propietario del dispositivo ni siquiera se dé cuenta de lo que ha sucedido.
- Los delincuentes utilizan el acceso de raíz para lo que quieran (mostrar anuncios de ingresos, instalar aplicaciones, criptomoneda minera, nodo de red de botnets, propagar el virus aún más, etc.)
- Beneficio.
¿Son correctas mis suposiciones aquí? Particularmente en relación con el punto 2. ¿Es esto una especie de versión de Black Jack / KingoRoot de sombrero negro?