Στο Agent Smith ένα νέο κακόβουλο λογισμικό εντοπίστηκε για Android και το οποίο έχει ήδη μολύνει εκατομμύρια

Darkcrizt

4 λεπτά

Οι ερευνητές ανακάλυψαν πρόσφατα μια νέα παραλλαγή κακόβουλου λογισμικού για κινητές συσκευές που έχει μολύνει σιωπηλά περίπου 25 εκατομμύρια συσκευές χωρίς να το αντιληφθούν οι χρήστες.

Μεταμφιεσμένος ως εφαρμογή που σχετίζεται με την Google, το βασικό μέρος του κακόβουλου λογισμικού εκμεταλλεύεται πολλά γνωστά τρωτά σημεία του Android και αντικαθιστά αυτόματα τις εγκατεστημένες εφαρμογές στη συσκευή από κακόβουλες εκδόσεις χωρίς παρέμβαση χρήστη. Αυτή η προσέγγιση οδήγησε τους ερευνητές να ονομάσουν το κακόβουλο λογισμικό Agent Smith.

Αυτό το κακόβουλο λογισμικό αυτή τη στιγμή έχει πρόσβαση στους πόρους της συσκευής για την προβολή διαφημίσεων δόλιο και οικονομικό όφελος. Αυτή η δραστηριότητα είναι παρόμοια με προηγούμενα τρωτά σημεία όπως το Gooligan, το HummingBad και το CopyCat.

Μέχρι τώρα, Τα κύρια θύματα βρίσκονται στην Ινδία, αν και έχουν πληγεί και άλλες ασιατικές χώρες όπως το Πακιστάν και το Μπαγκλαντές.

Σε ένα πολύ πιο ασφαλές περιβάλλον Android, οι συντάκτες του Πράκτορας Σμιθ φαίνεται να έχει περάσει στον πιο σύνθετο τρόπο λειτουργίας του αναζητάτε συνεχώς νέα τρωτά σημεία, όπως Janus, Bundle και Man-in-the-Disk, για να δημιουργήσετε μια διαδικασία μόλυνσης τριών σταδίων και να δημιουργήσετε ένα botnet που δημιουργεί κέρδη.

Το Agent Smith είναι πιθανώς ο πρώτος τύπος σφαλμάτων που έχει ενσωματώσει όλα αυτά τα τρωτά σημεία για χρήση μαζί.

Εάν ο Agent Smith χρησιμοποιείται για οικονομικό όφελος μέσω κακόβουλων διαφημίσεων, θα μπορούσε εύκολα να χρησιμοποιηθεί για πολύ πιο παρεμβατικούς και επιζήμιους σκοπούς, όπως η κλοπή τραπεζικών ταυτοτήτων.

Στην πραγματικότητα, η ικανότητά του να μην αποκαλύπτει το εικονίδιο του στο πρόγραμμα εκκίνησης και να μιμείται τις υπάρχουσες δημοφιλείς εφαρμογές σε μια συσκευή, του δίνει αμέτρητες ευκαιρίες να βλάψει τη συσκευή του χρήστη.

Στην επίθεση του πράκτορα Σμιθ

Ο Πράκτορας Σμιθ έχει τρεις κύριες φάσεις:

  1. Μια εφαρμογή έγχυσης ενθαρρύνει το θύμα να την εγκαταστήσει πρόθυμα. Περιέχει ένα πακέτο με τη μορφή κρυπτογραφημένων αρχείων. Οι παραλλαγές αυτής της εφαρμογής έγχυσης είναι συνήθως βοηθητικά προγράμματα φωτογραφιών, παιχνίδια ή εφαρμογές για ενήλικες.
  2. Η εφαρμογή injection αποκρυπτογραφεί αυτόματα και εγκαθιστά το APK του κύριου κακόβουλου κώδικα, ο οποίος στη συνέχεια προσθέτει κακόβουλες διορθώσεις στις εφαρμογές. Το κύριο κακόβουλο λογισμικό συνήθως μεταμφιέζεται ως πρόγραμμα ενημέρωσης Google, Google Update for U ή "com.google.vending". Το εικονίδιο του κύριου κακόβουλου λογισμικού δεν εμφανίζεται στη λειτουργία εκκίνησης.
  3. Το κύριο κακόβουλο λογισμικό εξάγει μια λίστα εφαρμογών που είναι εγκατεστημένες στη συσκευή. Εάν εντοπίσει εφαρμογές που αποτελούν μέρος της λίστας του θηράματος (κρυπτογραφημένες ή αποστέλλονται από τον διακομιστή εντολών και ελέγχου), εξάγει το βασικό APK της εφαρμογής στη συσκευή, προσθέτει κακόβουλες μονάδες και διαφημίσεις στο APK, επανεγκαθιστά και αντικαθιστά το αρχικό, όπως μια ενημέρωση.

Η Agent Smith επανασυσκευάζει στοχευμένες εφαρμογές σε επίπεδο smali/baksmali. Κατά τη διαδικασία εγκατάστασης της τελικής ενημέρωσης, βασίζεται στην ευπάθεια Janus για να παρακάμψει τους μηχανισμούς του Android που επαληθεύουν την ακεραιότητα ενός APK.

η βασική ενότητα

Ο πράκτορας Smith εφαρμόζει την βασική ενότητα με στόχο τη διάδοση της μόλυνσης:

Μια σειρά ευπαθειών "Bundle" χρησιμοποιούνται για την εγκατάσταση εφαρμογών εν αγνοία του θύματος.

Η ευπάθεια Janus, η οποία επιτρέπει σε έναν χάκερ να αντικαταστήσει οποιαδήποτε εφαρμογή με μια μολυσμένη έκδοση.

Η βασική μονάδα επικοινωνεί με τον διακομιστή εντολών και ελέγχου για να προσπαθήσει να λάβει μια νέα λίστα εφαρμογών προς αναζήτηση ή σε περίπτωση αποτυχίας, χρησιμοποιεί μια λίστα προεπιλεγμένων εφαρμογών:

  • com. whatsapp
  • com.lenovo.anyshare.gps
  • com.mxtech.videoplayer.ad
  • com.jio.jioplay.tv
  • com.jio.media.jiobeats
  • com.jiochat.jiochatapp
  • com.jio.join
  • com.good.gamecollection
  • com.opera.mini.native
  • στο.startv.hotstar
  • com.meitu.beautyplusme
  • com.domobile.applock
  • com.touchtype.swiftkey
  • com.flipkart.android
  • cn.xender
  • συν.αιώνιος
  • com.truecaller

Η βασική μονάδα αναζητά μια έκδοση κάθε εφαρμογής στη λίστα και τον κατακερματισμό MD5 της μεταξύ εγκατεστημένων εφαρμογών και εκείνων που εκτελούνται στο χώρο χρήστη. Όταν πληρούνται όλες οι προϋποθέσεις, ο "Agent Smith" επιχειρεί να μολύνει μια εφαρμογή που βρέθηκε.

Η βασική μονάδα χρησιμοποιεί μία από τις ακόλουθες δύο μεθόδους για να μολύνει την εφαρμογή: decompile ή δυαδική.

Στο τέλος της αλυσίδας μόλυνσης, παραλαμβάνει τις εφαρμογές των παραβιασμένων χρηστών για να εμφανίσει διαφημίσεις.

Σύμφωνα με πρόσθετες πληροφορίες, εφαρμογές ένεσης Ο πράκτορας Smith πολλαπλασιάζεται μέσω των "9 Apps", ένα κατάστημα εφαρμογών τρίτου μέρους που στοχεύει κυρίως Ινδούς (Χίντι), Άραβες και Ινδονήσιους χρήστες.


Αφήστε το σχόλιό σας

Η διεύθυνση email σας δεν θα δημοσιευθεί. Τα υποχρεωτικά πεδία σημειώνονται με *

*

*

  1. Υπεύθυνος για τα δεδομένα: Miguel Ángel Gatón
  2. Σκοπός των δεδομένων: Έλεγχος SPAM, διαχείριση σχολίων.
  3. Νομιμοποίηση: Η συγκατάθεσή σας
  4. Κοινοποίηση των δεδομένων: Τα δεδομένα δεν θα κοινοποιούνται σε τρίτους, εκτός από νομική υποχρέωση.
  5. Αποθήκευση δεδομένων: Βάση δεδομένων που φιλοξενείται από τα δίκτυα Occentus (ΕΕ)
  6. Δικαιώματα: Ανά πάσα στιγμή μπορείτε να περιορίσετε, να ανακτήσετε και να διαγράψετε τις πληροφορίες σας.