Agent Smith un nou malware detectat per Android i que ja infecte a milions

Darkcrizt

4 minuts

Investigadors han descobert recentment una nova variant de codi maliciós (malware) per a dispositius mòbils que ha infectat silenciosament uns 25 milions de dispositius sense que els usuaris ho notin.

Disfressada com una aplicació associada amb Google, la part central del codi maliciós explota diverses vulnerabilitats conegudes d'Android i reemplaça automàticament les aplicacions instal·lades al dispositiu per versions malicioses sense la intervenció dels usuaris. Aquest enfocament va portar els investigadors a nomenar el codi maliciós Agent Smith.

aquest malware actualment accediu als recursos del dispositiu per mostrar anuncis fraudulents i obtenir guanys financers. Aquesta activitat és semblant a vulnerabilitats anteriors com Gooligan, HummingBad i CopyCat.

Fins ara, les principals víctimes són a l'Índia, encara que altres països asiàtics com el Pakistan i Bangla Desh també s'han vist afectats.

En un entorn d'Android molt més segur, els autors de Agent Smith semblen haver-se mogut a la manera més complexa de cercar constantment noves vulnerabilitats, com Janus, Bundle i Man-in-the-Disk, per crear un procés d'infecció en tres etapes i construir una botnet que generi beneficis.

Agent Smith és probablement el primer tipus de fallada que ha integrat totes aquestes vulnerabilitats per fer-les servir juntes.

Si Agent Smith s'usa per obtenir guanys financers a través d'anuncis maliciosos, es podria utilitzar fàcilment per a propòsits molt més intrusius i nocius, com ara robar identificacions bancàries.

De fet, la seva capacitat de no revelar la seva icona al llançador i imitar les aplicacions populars existents en un dispositiu, us brinda innombrables oportunitats per danyar el dispositiu de l'usuari.

Sobre l'atac d'Agent Smith

Agent Smith té tres fases principals:

  1. Una aplicació d'injecció anima una víctima a instal·lar-la voluntàriament. Conté un paquet en forma de fitxers encriptats. Les variants d‟aquesta aplicació d‟injecció solen ser utilitats fotogràfiques, jocs o aplicacions per a adults.
  2. L'aplicació d'injecció desxifra i instal·la automàticament l'APK del vostre codi maliciós principal, que després afegeix correccions malicioses a les aplicacions. El malware principal sol estar disfressat d'un programa d'actualització de Google, Google Update per a U o com.google.vending. La icona de codi maliciós principal no apareix a l'iniciador.
  3. El codi maliciós principal extreu una llista d'aplicacions instal·lades al dispositiu. Si trobeu aplicacions que són part de la vostra llista de preses (codificades o enviades pel servidor d'ordres i controls), extraieu l'APK base de l'aplicació al dispositiu, afegiu mòduls i anuncis maliciosos a l'APK, reinstal·leu i reemplaceu l'original, com si fos una actualització.

Agent Smith torna a empaquetar les aplicacions dirigides a nivell smali/baksmali. Durant el procés d'instal·lació de l'actualització final, es basa en la vulnerabilitat de Janus per evitar els mecanismes d'Android que verifiquen la integritat d'un APK.

El mòdul central

Agent Smith implementa el mòdul central amb l'objectiu de propagar la infecció:

S'utilitza una sèrie de vulnerabilitats «Bundle» per instal·lar aplicacions sense que la víctima se n'adoni.

La vulnerabilitat de Janus, que permet al hacker reemplaçar qualsevol aplicació amb una versió infectada.

El mòdul central es posa en contacte amb el servidor de comandament i control per intentar obtenir una nova llista d'aplicacions per cercar o en cas de falla, utilitza una llista d'aplicacions predeterminades:

  • com. whatsapp
  • com.lenovo.anyshare.gps
  • com.mxtech.videoplayer.ad
  • com.jio.jioplay.tv
  • com.jio.media.jiobeats
  • com.jiochat.jiochatapp
  • com.jio.join
  • com.good.gamecollection
  • com.opera.mini.nativa
  • in.startv.hotstar
  • com.meitu.beautyplusme
  • com.domobile.applock
  • com.touchtype.swiftkey
  • com.flipkart.android
  • cn.xender
  • com.etern
  • com.truecaller

El mòdul central cerca una versió de cada aplicació a la llista i el seu hash MD5 corresponent entre les aplicacions instal·lades i les que s'executen a l'espai de l'usuari. Quan es compleixen totes les condicions, l'Agent Smith intenta infectar una aplicació trobada.

El mòdul central utilitza un dels dos mètodes següents per infectar-ne l'aplicació: descompilar o binari.

Al final de la cadena d'infeccions, segresta les aplicacions dels usuaris compromesos per mostrar anuncis.

Segons informació addicional les aplicacions d'injecció de Agent Smith estan proliferant a través de «9Apps», una botiga d'aplicacions de tercers dirigida principalment a usuaris indis (hindi), àrabs i indonesis.


Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: Miguel Ángel Gatón
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.