Forscher haben kürzlich eine neue Variante von Malware entdeckt für mobile Geräte Es hat lautlos rund 25 Millionen Geräte infiziert, ohne dass Benutzer es bemerken.
Als mit Google verbundene Anwendung getarnt, der Kern der Malware nutzt mehrere bekannte Android-Schwachstellen aus und ersetzt automatisch installierte Apps auf dem Gerät durch böswillige Versionen ohne Benutzereingriff. Dieser Ansatz veranlasste die Forscher, den Malware-Agenten Smith zu benennen.
Diese Malware greift derzeit auf Geräteressourcen zu, um Anzeigen anzuzeigen betrügerisch und erhalten finanziellen Gewinn. Diese Aktivität ähnelt früheren Sicherheitsanfälligkeiten wie Gooligan, HummingBad und CopyCat.
Bisher Die Hauptopfer sind in Indien, obwohl auch andere asiatische Länder wie Pakistan und Bangladesch betroffen sind.
In einer viel sichereren Android-Umgebung haben die Autoren von "Agent Smith" scheinen in den komplexeren Modus von übergegangen zu sein Suchen Sie ständig nach neuen Sicherheitslücken wie Janus, Bundle und Man-in-the-Disk, um einen dreistufigen Infektionsprozess zu erstellen und ein gewinnbringendes Botnetz aufzubauen.
Agent Smith ist wahrscheinlich die erste Art von Fehler, die all diese Schwachstellen für die gemeinsame Verwendung integriert hat.
Wenn Agent Smith für finanzielle Gewinne durch böswillige Anzeigen verwendet wird, kann er leicht für viel aufdringlichere und schädlichere Zwecke verwendet werden, z. B. zum Stehlen von Bankausweisen.
Die Möglichkeit, das Symbol im Launcher nicht anzuzeigen und beliebte Anwendungen auf einem Gerät nachzuahmen, bietet unzählige Möglichkeiten, das Gerät des Benutzers zu beschädigen.
Auf den Agent Smith Angriff
Agent Smith hat drei Hauptphasen:
- Eine Injektionsanwendung ermutigt ein Opfer, sie freiwillig zu installieren. Es enthält ein Paket in Form von verschlüsselten Dateien. Varianten dieser Injektions-App sind normalerweise Foto-Dienstprogramme, Spiele oder Apps für Erwachsene.
- Die Injection-App entschlüsselt und installiert automatisch die APK ihres Kern-Schadcodes, wodurch den Apps schädliche Korrekturen hinzugefügt werden. Die Haupt-Malware wird normalerweise als Google Update-Programm, Google Update für U oder "com.google.vending" getarnt. Das Haupt-Malware-Symbol wird im Launcher nicht angezeigt.
- Die Haupt-Malware extrahiert eine Liste der auf dem Gerät installierten Anwendungen. Wenn Anwendungen gefunden werden, die Teil Ihrer Beuteliste sind (codiert oder vom Befehls- und Steuerungsserver gesendet), extrahiert es die Basis-APK der Anwendung auf dem Gerät, fügt der APK Module und schädliche Anzeigen hinzu, installiert die ursprüngliche APK neu und ersetzt sie. als wäre es ein Update.
Agent Smith verpackt gezielte Anwendungen auf Smali / Baksmali-Ebene neu. Während des endgültigen Installationsprozesses des Updates wird die Janus-Sicherheitsanfälligkeit verwendet, um die Android-Mechanismen zu umgehen, mit denen die Integrität eines APK überprüft wird.
Das zentrale Modul
Agent Smith implementiert das Kernmodul, um die Infektion zu verbreiten:
Eine Reihe von "Bundle" -Schwachstellen werden verwendet, um Anwendungen zu installieren, ohne dass das Opfer dies bemerkt.
Die Janus-Sicherheitsanfälligkeit, mit der der Hacker jede Anwendung durch eine infizierte Version ersetzen kann.
Das Zentralmodul kontaktiert den Befehls- und Steuerungsserver, um zu versuchen, eine neue Liste der zu durchsuchenden Anwendungen abzurufen, oder im Fehlerfall. verwendet eine Liste von Standard-Apps:
- com.whatsapp
- com.lenovo.anyshare.gps
- com.mxtech.videoplayer.ad
- com.jio.jioplay.tv
- com.jio.media.jiobeats
- com.jiochat.jiochatapp
- com.jio.join
- com.gute.Spielesammlung
- com.opera.mini.native
- in.startv.hotstar
- com.meitu.beautyplusme
- com.domobile.applock
- com.touchtype.swiftkey
- com.flipkart.android
- cn.xender
- com.eterno
- com.truecaller
Das Kernmodul sucht nach einer Version jeder App in der Liste und ihrem MD5-Hash entsprechend zwischen installierten Anwendungen und solchen, die im Benutzerbereich ausgeführt werden. Wenn alle Bedingungen erfüllt sind, versucht "Agent Smith", eine gefundene Anwendung zu infizieren.
Das Kernmodul verwendet eine der folgenden zwei Methoden, um die Anwendung zu infizieren: dekompilieren oder binär.
Am Ende der Infektionskette werden die Apps gefährdeter Benutzer entführt, um Anzeigen zu schalten.
Nach zusätzlichen Angaben sind die Injektionsanwendungen von Agent Smith vermehrt sich durch «9Apps», ein App Store eines Drittanbieters, der sich hauptsächlich an indische (Hindi), arabische und indonesische Benutzer richtet.