Agent Smith un nuevo malware detectado para Android y que ya infecto a millones

Investigadores han descubierto recientemente una nueva variante de malware para dispositivos móviles que ha infectado silenciosamente a unos 25 millones de dispositivos sin que los usuarios lo noten.

Disfrazada como una aplicación asociada con Google, la parte central del malware explota varias vulnerabilidades conocidas de Android y reemplaza automáticamente las aplicaciones instaladas en el dispositivo por versiones maliciosas sin la intervención de los usuarios. Este enfoque llevó a los investigadores a nombrar el malware Agent Smith.

Este malware actualmente está accediendo a los recursos del dispositivo para mostrar anuncios fraudulentos y obtener ganancias financieras. Esta actividad es similar a vulnerabilidades anteriores como Gooligan, HummingBad y CopyCat.

Hasta ahora, las principales víctimas están en la India, aunque otros países asiáticos como Pakistán y Bangladesh también se han visto afectados.

En un entorno de Android mucho más seguro, los autores de “Agent Smith” parecen haberse movido al modo más complejo de buscar constantemente nuevas vulnerabilidades, como Janus, Bundle y Man-in-the-Disk, para crear un proceso de Infección en tres etapas y construir una botnet que genere beneficios.

Agent Smith es probablemente el primer tipo de fallo que ha integrado todas estas vulnerabilidades para usarlas juntas.

Si Agent Smith se usa para obtener ganancias financieras a través de anuncios maliciosos, podría usarse fácilmente para propósitos mucho más intrusivos y dañinos, como robar identificaciones bancarias.

De hecho, su capacidad de no revelar su icono en el lanzador e imitar las aplicaciones populares existentes en un dispositivo, le brinda innumerables oportunidades para dañar el dispositivo del usuario.

Sobre el ataque de Agent Smith

Agent Smith tiene tres fases principales:

  1. Una aplicación de inyección anima a una víctima a instalarla voluntariamente. Contiene un paquete en forma de archivos encriptados. Las variantes de esta aplicación de inyección suelen ser utilidades fotográficas, juegos o aplicaciones para adultos.
  2. La aplicación de inyección descifra e instala automáticamente el APK de su código malicioso principal, que luego agrega correcciones maliciosas a las aplicaciones. El malware principal suele estar disfrazado de un programa de actualización de Google, Google Update para U o “com.google.vending”. El icono de malware principal no aparece en el iniciador.
  3. El malware principal extrae una lista de aplicaciones instaladas en el dispositivo. Si encuentra aplicaciones que son parte de su lista de presas (codificadas o enviadas por el servidor de comando y control), extrae el APK base de la aplicación en el dispositivo, agrega módulos y anuncios maliciosos a la APK, reinstalan y reemplazan al original, como si fuera una actualización.

Agent Smith vuelve a empaquetar las aplicaciones dirigidas a nivel smali / baksmali. Durante el proceso de instalación de la actualización final, se basa en la vulnerabilidad de Janus para eludir los mecanismos de Android que verifican la integridad de un APK.

El módulo central

Agent Smith implementa el módulo central con el objetivo de propagar la infección:

Se utiliza una serie de vulnerabilidades “Bundle” para instalar aplicaciones sin que la víctima se dé cuenta.

La vulnerabilidad de Janus, que permite al hacker reemplazar cualquier aplicación con una versión infectada.

El módulo central se pone en contacto con el servidor de comando y control para intentar obtener una nueva lista de aplicaciones para buscar o en caso de falla, utiliza una lista de aplicaciones predeterminadas:

  • com.whatsapp
  • com.lenovo.anyshare.gps
  • com.mxtech.videoplayer.ad
  • com.jio.jioplay.tv
  • com.jio.media.jiobeats
  • com.jiochat.jiochatapp
  • com.jio.join
  • com.good.gamecollection
  • com.opera.mini.native
  • in.startv.hotstar
  • com.meitu.beautyplusme
  • com.domobile.applock
  • com.touchtype.swiftkey
  • com.flipkart.android
  • cn.xender
  • com.eterno
  • com.truecaller

El módulo central busca una versión de cada aplicación en la lista y su hash MD5 correspondiente entre las aplicaciones instaladas y las que se ejecutan en el espacio del usuario. Cuando se cumplen todas las condiciones, el “Agente Smith” intenta infectar una aplicación encontrada.

El módulo central utiliza uno de los dos métodos siguientes para infectar la aplicación: descompilar o binario.

Al final de la cadena de infecciones, secuestra las aplicaciones de los usuarios comprometidos para mostrar anuncios.

Según información adicional las aplicaciones de inyección de Agent Smith están proliferando a través de “9Apps”, una tienda de aplicaciones de terceros dirigida principalmente a usuarios indios (hindi), árabes e indonesios.


Sé el primero en comentar

Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: Miguel Ángel Gatón
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.