Агент Смит, нов зловреден софтуер, открит за Android, който вече е заразил милиони

Darkcrizt

4 Minutos

Изследователите наскоро откриха нов вариант на зловреден софтуер за мобилни устройства Той инфектира безшумно около 25 милиона устройства, без потребителите да забележат.

Преоблечен като приложение, свързано с Google, ядрото на зловредния софтуер експлоатира няколко известни уязвимости на Android и автоматично замества инсталираните приложения на устройството от злонамерени версии без намеса на потребителя. Този подход накара изследователите да назоват злонамерения софтуер Agent Smith.

Този зловреден софтуер в момента има достъп до ресурсите на устройството за показване на реклами измамни и да получат финансова печалба. Тази дейност е подобна на предишни уязвимости като Gooligan, HummingBad и CopyCat.

До сега, основните жертви са в Индия, въпреки че други азиатски страни като Пакистан и Бангладеш също са засегнати.

В много по-сигурна среда за Android, авторите на "Агент Смит" изглежда са преминали в по-сложния режим на постоянно търсете нови уязвимости, като Janus, Bundle и Man-in-the-Disk, за да създадете тристепенен процес на заразяване и да изградите ботнет за печалба.

Агент Смит е може би първият тип недостатък, който е интегрирал всички тези уязвимости за използване заедно.

Ако агент Смит се използва за финансова печалба чрез злонамерени реклами, той може лесно да се използва за много по-натрапчиви и вредни цели, като кражба на банкови идентификатори.

Всъщност способността му да не разкрива иконата си в стартера и да имитира популярни приложения, съществуващи на дадено устройство, му предоставя безброй възможности да повреди устройството на потребителя.

На атаката на агент Смит

Агент Смит има три основни фази:

  1. Приложението за инжекция насърчава жертвата да го инсталира доброволно. Той съдържа пакет под формата на криптирани файлове. Вариантите на това приложение за инжектиране обикновено са помощни програми за снимки, игри или приложения за възрастни.
  2. Приложението за инжектиране автоматично дешифрира и инсталира APK на основния си злонамерен код, който след това добавя злонамерени корекции към приложенията. Основният злонамерен софтуер обикновено е маскиран като програма за актуализация на Google, Google Update за U или „com.google.vending“. Основната икона на злонамерен софтуер не се появява в стартера.
  3. Основният зловреден софтуер извлича списък с приложения, инсталирани на устройството. Ако намери приложения, които са част от вашия списък с плячка (кодирани или изпратени от сървър за командване и управление), той извлича основния APK на приложението на устройството, добавя злонамерени модули и реклами към APK, преинсталира и замества оригиналния, сякаш е актуализация.

Агент Смит преопакова целевите приложения на ниво smali / baksmali. По време на окончателния процес на инсталиране на актуализацията той разчита на уязвимостта на Janus, за да заобиколи механизмите на Android, които проверяват целостта на APK.

Централният модул

Агент Смит прилага основния модул, за да разпространи заразата:

Поредица от уязвимости „Bundle“ се използват за инсталиране на приложения, без жертвата да забележи.

Уязвимостта на Janus, която позволява на хакера да замени всяко приложение със заразена версия.

Централният модул се свързва със сървъра за управление и управление, за да се опита да получи нов списък с приложения за търсене или в случай на отказ, използва списък с приложения по подразбиране:

  • com.whatsapp
  • com.lenovo.anyshare.gps
  • com.mxtech.videoplayer.ad
  • com.jio.jioplay.tv
  • com.jio.media.jiobeats
  • com.jiochat.jiochatapp
  • com.jio.join
  • com.good.gamecollection
  • com.opera.mini.native
  • in.startv.hotstar
  • com.meitu.beautyplusme
  • com.domobile.applock
  • com.touchtype.swiftkey
  • com.flipkart.android
  • cn.xender
  • com.eternal
  • com.truecaller

Основният модул търси версия на всяко приложение в списъка и неговия хеш MD5 съответстващи между инсталираните приложения и тези, работещи в потребителско пространство. Когато всички условия са изпълнени, "Агент Смит" се опитва да зарази намерено приложение.

Основният модул използва един от следните два метода за заразяване на приложението: декомпилиране или двоичен.

В края на веригата от инфекции той отвлича приложенията на компрометирани потребители, за да показва реклами.

Според допълнителна информация приложенията за инжектиране на Агент Смит се разпространява чрез «9Apps», магазин за приложения на трети страни, насочен основно към индийски (хинди), арабски и индонезийски потребители.


Оставете вашия коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *

*

*

  1. Отговорен за данните: Мигел Анхел Гатон
  2. Предназначение на данните: Контрол на СПАМ, управление на коментари.
  3. Легитимация: Вашето съгласие
  4. Съобщаване на данните: Данните няма да бъдат съобщени на трети страни, освен по законово задължение.
  5. Съхранение на данни: База данни, хоствана от Occentus Networks (ЕС)
  6. Права: По всяко време можете да ограничите, възстановите и изтриете информацията си.