Der israelische Security-Software-Hersteller Checkpoint beobachtet die Verbreitung der gefährlichen Software schon seit ihrer Entdeckung im Februar. Laut ihrer Analyse blieb die Zahl der Infektionen lange Zeit überschaubar, wuchs dann aber ab Mitte Mai explosionsartig an. Bemerkenswert ist die Quelle dieser unter dem Namen HummingBad bekannt gewordenen Schadsoftware. Yingmob ist eigentlich eine große Werbefirma, die reguläre Marketing-Strategien verfolgt. Das für die Malware verantwortliche Team soll 25 Mitarbeiter umfassen.
Diese Yingmob unterstehende Gruppe soll zwischenzeitlich mehr als 10 Millionen Android-Geräte kontrolliert haben. Die Apps, in denen sich HummingBad verbarg, wurden entweder aus Googles Play Store oder von manipulierten App-Anbieter-Seiten heruntergeladen. Checkpoint zufolge sind die Programme derzeit auf etwa 85 Millionen Endgeräten zu finden — allerdings soll lediglich ein Teil davon HummingBad enthalten. Im Übrigen sind die erschlichenen Werbeeinnahmen nicht der einzige Gewinn, den die Schadsoftware abwirft.
Um seine Löschung zu verhindern, installiert HummingBad ein Rootkit auf dem betroffenen Gerät. Das wiederum bedeutet, dass sich die Malware nur durch eine vollständige Neuinstallation des Betriebssystems entfernen lässt. Die mit der Software generierten Werbeeinnahmen sind aber nur die Spitze des Eisbergs: Das Yingmob-Team ist darüber hinaus in der Lage, den Zugang zu den Smartphones an Dritte zu verkaufen. In Deutschland sollen rund 40.000 Geräte betroffen sein. Der HummingBad-Befall lässt sich nicht ohne Weiteres erkennen. Nutzer sollten bei App-Downloads also extrem vorsichtig sein.
+++ Mehr von WIRED täglich ins Postfach? Hier für den Newsletter anmelden +++