اكتشف الباحثون مؤخرًا نوعًا جديدًا من البرامج الضارة للأجهزة المحمولة لقد أصاب نحو 25 مليون جهاز بصمت دون أن يلاحظ المستخدمون ذلك.
متنكرا في شكل تطبيق مرتبط بـ Google ، جوهر البرمجيات الخبيثة يستغل العديد من نقاط الضعف المعروفة في Android ويستبدل التطبيقات المثبتة تلقائيًا على الجهاز بواسطة إصدارات ضارة دون تدخل المستخدم. قاد هذا النهج الباحثين إلى تسمية البرنامج الضار Agent Smith.
هذه البرامج الضارة يدخل حاليًا إلى موارد الجهاز لعرض الإعلانات احتيالية والحصول على مكاسب مالية. يشبه هذا النشاط الثغرات الأمنية السابقة مثل Gooligan و HummingBad و CopyCat.
وحتى الآن، والضحايا الرئيسيون هم في الهند ، على الرغم من تضرر دول آسيوية أخرى مثل باكستان وبنغلاديش.
في بيئة Android أكثر أمانًا ، فإن مؤلفي "الوكيل سميث" يبدو أنه انتقل إلى الوضع الأكثر تعقيدًا لـ البحث باستمرار عن نقاط ضعف جديدة ، مثل Janus و Bundle و Man-in-the-Disk، لإنشاء عملية عدوى من ثلاث مراحل وبناء روبوتات مربحة.
ربما يكون العميل سميث هو النوع الأول من العيوب التي دمجت كل هذه الثغرات الأمنية لاستخدامها معًا.
إذا تم استخدام Agent Smith لتحقيق مكاسب مالية من خلال الإعلانات الضارة ، فيمكن استخدامه بسهولة لأغراض أكثر تدخلاً وضارًا ، مثل سرقة معرفات البنوك.
في الواقع ، فإن قدرته على عدم الكشف عن رمزه في المشغل ، وتقليد التطبيقات الشائعة الموجودة على الجهاز ، يمنحه فرصًا لا حصر لها لإتلاف جهاز المستخدم.
على هجوم العميل سميث
للوكيل سميث ثلاث مراحل رئيسية:
- يشجع تطبيق الحقن الضحية على تثبيته طواعية. يحتوي على حزمة في شكل ملفات مشفرة. عادةً ما تكون أشكال تطبيق الحقن هذا هي أدوات مساعدة للصور أو ألعاب أو تطبيقات للبالغين.
- يقوم تطبيق الحقن تلقائيًا بفك تشفير وتثبيت APK لرمزه الخبيث الأساسي ، والذي يضيف بعد ذلك إصلاحات ضارة إلى التطبيقات. عادةً ما يتم إخفاء البرامج الضارة الرئيسية في صورة برنامج تحديث Google أو Google Update for U أو "com.google.vending". لا يظهر رمز البرنامج الضار الرئيسي في المشغل.
- يستخرج البرنامج الضار الرئيسي قائمة بالتطبيقات المثبتة على الجهاز. إذا عثرت على تطبيقات تشكل جزءًا من قائمة الفرائس (المشفرة أو المرسلة بواسطة خادم الأوامر والتحكم) ، فإنها تستخرج ملف APK الأساسي للتطبيق على الجهاز ، وتضيف وحدات وإعلانات ضارة إلى APK ، وتعيد تثبيت النسخة الأصلية ، كما لو كان تحديثًا.
يستهدف Agent Smith إعادة حزم التطبيقات على مستوى smali / baksmali. أثناء عملية تثبيت التحديث النهائي ، يعتمد على ثغرة Janus لتجاوز آليات Android التي تتحقق من سلامة APK.
الوحدة المركزية
يقوم العميل سميث بتنفيذ الوحدة الأساسية لنشر العدوى:
يتم استخدام عدد من ثغرات "الحزمة" لتثبيت التطبيقات دون أن يلاحظ الضحية.
ثغرة جانوس ، والتي تسمح للمتسلل باستبدال أي تطبيق بإصدار مصاب.
تتصل الوحدة المركزية بخادم الأوامر والتحكم لمحاولة الحصول على قائمة جديدة من التطبيقات للبحث أو في حالة الفشل ، يستخدم قائمة التطبيقات الافتراضية:
- com.whatsapp
- com.lenovo.anyshare.gps
- com.mxtech.videoplayer.ad
- com.jio.jioplay.tv
- com.jio.media.jiobeats
- com.jiochat.jiochatapp
- com.jio.join
- com.good.gamecollection
- com.opera.mini.native
- in.startv.hotstar
- com.meitu.beautyplusme
- com.domobile.applock
- com.touchtype.swiftkey
- com.flipkart.android
- cn.xender
- com.eterno
- com.truecaller
تبحث الوحدة الأساسية عن إصدار من كل تطبيق في القائمة وتجزئة MD5 الخاصة به المطابقة بين التطبيقات المثبتة وتلك التي تعمل في مساحة المستخدم. عند استيفاء جميع الشروط ، يحاول "Agent Smith" إصابة تطبيق تم العثور عليه.
تستخدم الوحدة الأساسية إحدى الطريقتين التاليتين لإصابة التطبيق: فك التحويل البرمجي أو الثنائي.
في نهاية سلسلة الإصابات ، يقوم باختطاف تطبيقات المستخدمين المعرضين للخطر لعرض الإعلانات.
وفقا لمعلومات إضافية ، فإن تطبيقات الحقن العميل سميث يتكاثر من خلال «9Apps»، وهو متجر تطبيقات تابع لجهة خارجية يستهدف بشكل أساسي المستخدمين الهنود (الهندية) والعرب والإندونيسيين.