Istraživači su nedavno otkrili novu varijantu zlonamjernog softvera za mobilne uređaje Tiho je zarazio oko 25 miliona uređaja, a da to korisnici nisu primijetili.
Prerušen u aplikaciju povezanu s Googleom, srž zlonamjernog softvera iskorištava nekoliko poznatih Android ranjivosti i automatski zamjenjuje instalirane aplikacije na uređaju zlonamjernim verzijama bez intervencije korisnika. Ovaj pristup naveo je istraživače da imenuju malware Agent Smith.
Ovaj malware trenutno pristupa resursima uređaja za prikazivanje oglasa lažne i pribaviti finansijsku dobit. Ova aktivnost slična je prethodnim ranjivostima kao što su Gooligan, HummingBad i CopyCat.
Do sada glavne žrtve su u Indiji, iako su to pogođene i druge azijske zemlje poput Pakistana i Bangladeša.
U mnogo sigurnijem Android okruženju, autori "Agent Smith" čini se da su prešli u složeniji način rada stalno tražiti nove ranjivosti, poput Janusa, Bundlea i Man-in-the-Disk, stvoriti trostepeni proces zaraze i stvoriti profitnu botnet mrežu.
Agent Smith je vjerovatno prva vrsta greške koja je integrirala sve ove ranjivosti za upotrebu zajedno.
Ako se agent Smith koristi za financijsku dobit putem zlonamjernih oglasa, mogao bi se lako koristiti u mnogo nametljivije i štetnije svrhe, poput krađe bankovnih isprava.
Zapravo, njegova sposobnost da ne otkrije svoju ikonu u pokretaču i oponaša popularne aplikacije koje postoje na uređaju, pruža mu nebrojene mogućnosti da ošteti korisnički uređaj.
Na napad agenta Smitha
Agent Smith ima tri glavne faze:
- Aplikacija za injekciju potiče žrtvu da je dobrovoljno instalira. Sadrži paket u obliku šifriranih datoteka. Varijante ove aplikacije za ubrizgavanje obično su uslužni programi za fotografije, igre ili aplikacije za odrasle.
- Aplikacija za ubrizgavanje automatski dešifrira i instalira APK svog osnovnog zlonamjernog koda, koji zatim dodaje zlonamjeran popravak u aplikacije. Glavni zlonamjerni softver obično je maskiran kao Googleov program za ažuriranje, Google Update za U ili "com.google.vending". Glavna ikona zlonamjernog softvera ne pojavljuje se u pokretaču.
- Glavni zlonamjerni softver izdvaja listu aplikacija instaliranih na uređaju. Ako pronađe aplikacije koje su dio vašeg popisa plijena (kodirane ili poslane od strane naredbenog i kontrolnog poslužitelja), izvlači osnovni APK aplikacije na uređaju, dodaje zlonamjerne module i oglase u APK, ponovno instalira i zamjenjuje originalni, kao da je ažuriranje.
Agent Smith prepakira ciljane aplikacije na smali / baksmali nivou. Tijekom postupka instalacije konačnog ažuriranja, oslanja se na Janus ranjivost kako bi zaobišla Android mehanizme koji provjeravaju integritet APK-a.
Centralni modul
Agent Smith implementira osnovni modul u svrhu širenja zaraze:
Niz ranjivosti "Bundle" koristi se za instaliranje aplikacija bez da žrtva to primijeti.
Janus ranjivost, koja omogućava hakeru da zamijeni bilo koju aplikaciju zaraženom verzijom.
Centralni modul kontaktira naredbeni i upravljački server kako bi pokušao dobiti novu listu aplikacija za pretraživanje ili u slučaju kvara, koristi listu zadanih aplikacija:
- com WhatsApp
- com.lenovo.anyshare.gps
- com.mxtech.videoplayer.ad
- com.jio.jioplay.tv
- com.jio.media.jiobeats
- com.jiochat.jiochatapp
- com.jio.join
- com.good.gamecollection
- com.opera.mini.native
- in.startv.hotstar
- com.meitu.beautyplusme
- com.domobile.applock
- com.touchtype.swiftkey
- com.flipkart.android
- cn.xender
- com.eternal
- com.truecaller
Osnovni modul traži verziju svake aplikacije na popisu i njen MD5 hash odgovara između instaliranih aplikacija i onih koje se izvode u korisničkom prostoru. Kada su ispunjeni svi uvjeti, "Agent Smith" pokušava zaraziti pronađenu aplikaciju.
Osnovni modul koristi jednu od sljedeće dvije metode za zarazu aplikacije: dekompilirati ili binarno.
Na kraju lanca zaraza otima aplikacije ugroženih korisnika za prikazivanje oglasa.
Prema dodatnim informacijama, aplikacije za injekcije Agent Smith se širi putem «9Apps», nezavisna trgovina aplikacija koja prvenstveno cilja indijske (hindske), arapske i indonezijske korisnike.