Teadlased avastasid hiljuti uue pahavara variandi mobiilseadmete jaoks See on vaikselt nakatanud umbes 25 miljonit seadet, ilma et kasutajad seda märkaksid.
Varjatud Google'iga seotud rakenduseks pahavara tuum kasutab ära mitu teadaolevat Androidi haavatavust ja asendab installitud rakendused automaatselt seadmes pahatahtlike versioonide abil ilma kasutaja sekkumiseta. See lähenemine viis teadlased pahavarale nimeks Agent Smith.
See pahavara kasutab praegu reklaamide kuvamiseks seadmete ressursse petlik ja saada rahalist kasu. See tegevus sarnaneb varasemate haavatavustega nagu Gooligan, HummingBad ja CopyCat.
Siiani peamised ohvrid on Indias, ehkki kannatada on saanud ka teised Aasia riigid, nagu Pakistan ja Bangladesh.
Palju turvalisemas Android-keskkonnas loovad selle autorid "Agent Smith" näib olevat liikunud keerukamasse režiimi otsige pidevalt uusi haavatavusi, nagu Janus, Bundle ja Man-in-the-Disk, et luua kolmeastmeline nakkusprotsess ja luua kasumit teeniv botnet.
Agent Smith on tõenäoliselt esimest tüüpi vead, mis on kõik need haavatavused integreerinud kasutamiseks koos.
Kui agent Smithi kasutatakse pahatahtlike reklaamide kaudu rahalise kasu saamiseks, saab seda hõlpsasti kasutada palju pealetükkivamatel ja kahjulikumatel eesmärkidel, näiteks pangatunnuste varastamiseks.
Tegelikult annab see võime mitte kuvada käivitusprogrammis oma ikooni ja jäljendada seadmes olevaid populaarseid rakendusi, pakkudes talle lugematuid võimalusi kasutaja seadet kahjustada.
Agent Smithi rünnakul
Agent Smithil on kolm peamist etappi:
- Süstimisrakendus julgustab ohvrit seda vabatahtlikult installima. See sisaldab krüpteeritud failidena paketti. Selle süstimisrakenduse variandid on tavaliselt foto-utiliidid, mängud või täiskasvanutele mõeldud rakendused.
- Süstimisrakendus dekrüpteerib ja installib oma põhilise pahatahtliku koodi APK, mis seejärel lisab rakendustele pahatahtlikud parandused. Peamine pahavara on tavaliselt varjatud Google'i värskendusprogrammina, Google'i värskendus U-le või "com.google.vending". Peamist pahavaraikooni ei kuvata käivitusprogrammis.
- Peamine pahavara eraldab seadmesse installitud rakenduste loendi. Kui see leiab rakendusi, mis kuuluvad teie saakloendisse (kodeeritud või saadetud käsu- ja juhtserveri poolt), eraldab see seadmes rakenduse baas-APK, lisab APK-le pahatahtlikud moodulid ja reklaamid, installib uuesti ja asendab algse, nagu oleks see värskendus.
Agent Smith pakkib sihitud rakendused ümber smali / baksmali tasandil. Viimase värskenduse installiprotsessi ajal tugineb see Januse haavatavusele, et mööda minna Androidi mehhanismidest, mis kontrollivad APK terviklikkust.
Keskne moodul
Agent Smith rakendab infektsiooni levitamiseks põhimoodulit:
Rakenduste installimiseks, ilma et ohver seda märkaks, kasutatakse rida "Bundle" haavatavusi.
Januse haavatavus, mis võimaldab häkkeril asendada kõik rakendused nakatunud versiooniga.
Keskmoodul võtab ühendust käsu- ja juhtimisserveriga, et proovida saada uut rakenduste loendit otsimiseks või rikke korral. kasutab vaikerakenduste loendit:
- com.whatsapp
- com.lenovo.anyshare.gps
- com.mxtech.videoplayer.ad
- com.jio.jioplay.tv
- com.jio.media.jiobeats
- com.jiochat.jiochatapp
- com.jio.join
- com.good.gamecollection
- com.opera.mini.native
- sisse.startv.hotstar
- com.meitu.beautyplusme
- com.domobile.applock
- com.touchtype.swiftkey
- com.flipkart.android
- c.xender
- com.eterno
- com.trucaller
Põhimoodul otsib loendist iga rakenduse versiooni ja selle MD5-räsi vastavus installitud rakenduste ja kasutajaruumis töötavate rakenduste vahel. Kui kõik tingimused on täidetud, püüab "Agent Smith" nakatada leitud rakendust.
Põhimoodul kasutab rakenduse nakatamiseks ühte järgmistest meetoditest: dekompileerimine või binaarne.
Infektsioonide ahela lõpus kaaperdab see ohustatud kasutajate rakendused reklaamide kuvamiseks.
Vastavalt lisateabele Agent Smith levib «9Apps» kaudu, kolmanda osapoole rakenduste pood, mis on peamiselt suunatud India (hindi), araabia ja indoneesia kasutajatele.