Zespół badawczy firmy Check Point odkrył w sklepie Google Play serię nowych ataków w postaci szkodliwego oprogramowania na Androida, zwaną Hordą Wikingów (ang. Viking Horde). Horda Wikingów służy do publikowania nieuczciwych reklam, ale może być wykorzystywana także do innych celów – ataków DDoS, wysyłania spamu i nie tylko. Według doniesień Check Pointa, firmy specjalizującej się w zabezpieczeniach sieciowych, aplikacje zawierające malware Viking Horde mogą tworzyć wirusa –
botneta, który używa adresów IP za proxy do ukrywania kliknięć w reklamy, generując przychody dla atakującego. Innymi słowy tworzy sieć urządzeń kontrolowanych przez hakerów bez wiedzy ich posiadaczy! Boty są używane z różnych powodów, bazując na rozproszonych możliwościach obliczeniowych wszystkich zainfekowanych urządzeń. Im większy jest botnet, tym ma większe możliwości.
Co więcej, na zrootowanych urządzeniach Horda Wikingów pobiera dodatkowe złośliwe oprogramowanie, które może zrealizować zdalnie dowolny kod, potencjalnie mogący zagrozić bezpieczeństwu danych zapisanych na urządzeniu. Ponadto korzysta z uprawnień roota, aby utrudnić – a nawet uniemożliwić – usunięcie wirusa ręcznie!
Obecnie najpopularniejszą aplikacją powiązaną z Hordą Wikingów jest Viking Jump, która została dodana do sklepu Google Play 15 kwietnia i ma między 50 000 a 100 000 pobrań. Na niektórych rynkach Viking Jump jest najpopularniejszą darmową aplikacją w Google Play. Najstarszą wersją Hordy Wikingów jest z kolei aplikacja Wi-Fi Plus, którą dodano do sklepu Google Play 29 marca. Inne aplikacje powiązane z Hordą Wikingów to między innymi Memory Booster, Parrot Copter i Simple 2048.
Wszystkie zainfekowane aplikacje mają stosunkowo niskie oceny, co według ekspertów może wynikać z faktu, że użytkownicy zauważyli ich niepokojące działania, takie jak prośby o zezwolenie na korzystanie z uprawnień administratora.
Zespół badawczy firmy Check Point zgromadził dane dotyczące lokalizacji ofiar z jednego z wielu serwerów C&C (ang. Command & Control – zarządzaj i kontroluj), używanych przez atakujących. Według tych danych, botnet stworzony przez hakerów rozprzestrzenił się już po całym świecie, a największą jego część stanowią urządzenia Rosyjskie (44%), Hiszpańskie (12%) i Libańskie (10%).
Firma Check Point Software Technologies poinformowała Google o zagrożeniu 5 maja 2016 roku.