Agent Smith, un nouveau malware détecté pour Android et qui a déjà infecté des millions de personnes

Darkcrizt

Minutes 4

Des chercheurs ont récemment découvert une nouvelle variante de malware pour les appareils mobiles Il a silencieusement infecté quelque 25 millions d'appareils sans que les utilisateurs s'en aperçoivent.

Déguisé en application associée à Google, le cœur du malware exploite plusieurs vulnérabilités Android connues et remplace automatiquement les applications installées sur l'appareil par des versions malveillantes sans intervention de l'utilisateur. Cette approche a conduit les chercheurs à nommer le malware Agent Smith.

Ce malware accède actuellement aux ressources de l'appareil pour afficher des publicités frauduleux et obtenir un gain financier. Cette activité est similaire aux vulnérabilités précédentes telles que Gooligan, HummingBad et CopyCat.

Jusqu'à maintenant, les principales victimes se trouvent en Inde, bien que d'autres pays asiatiques comme le Pakistan et le Bangladesh aient également été touchés.

Dans un environnement Android beaucoup plus sécurisé, les auteurs de "Agent Smith" semblent être passés au mode plus complexe de recherchez constamment de nouvelles vulnérabilités, telles que Janus, Bundle et Man-in-the-Disk, pour créer un processus d'infection en trois étapes et créer un botnet à but lucratif.

Agent Smith est probablement le premier type de faille qui a intégré toutes ces vulnérabilités pour une utilisation conjointe.

Si l'agent Smith est utilisé à des fins financières grâce à des publicités malveillantes, il pourrait facilement être utilisé à des fins beaucoup plus intrusives et nuisibles, telles que le vol d'identifiants bancaires.

En fait, sa capacité à ne pas révéler son icône dans le lanceur et à imiter les applications populaires existant sur un appareil, lui offre d'innombrables possibilités d'endommager l'appareil de l'utilisateur.

Sur l'attaque de l'agent Smith

L'agent Smith comporte trois phases principales:

  1. Une application d'injection encourage une victime à l'installer volontairement. Il contient un package sous forme de fichiers chiffrés. Les variantes de cette application d'injection sont généralement des utilitaires photo, des jeux ou des applications pour adultes.
  2. L'application d'injection déchiffre et installe automatiquement l'APK de son code malveillant principal, qui ajoute ensuite des correctifs malveillants aux applications. Le principal logiciel malveillant est généralement déguisé en programme de mise à jour de Google, Google Update pour U ou "com.google.vending". L'icône principale du malware n'apparaît pas dans le lanceur.
  3. Le principal malware extrait une liste des applications installées sur l'appareil. S'il trouve des applications faisant partie de votre liste de proies (encodées ou envoyées par le serveur de commande et de contrôle), il extrait l'APK de base de l'application sur l'appareil, ajoute des modules et des publicités malveillantes à l'APK, réinstalle et remplace l'original, comme s'il s'agissait d'une mise à jour.

L'agent Smith reconditionne les applications ciblées au niveau smali / baksmali. Lors du processus d'installation de la mise à jour finale, il s'appuie sur la vulnérabilité Janus pour contourner les mécanismes Android qui vérifient l'intégrité d'un APK.

Le module central

L'agent Smith implémente le module principal afin de propager l'infection:

Une série de vulnérabilités "Bundle" est utilisée pour installer des applications sans que la victime ne s'en aperçoive.

La vulnérabilité Janus, qui permet au pirate de remplacer n'importe quelle application par une version infectée.

Le module central contacte le serveur de commande et de contrôle pour tenter d'obtenir une nouvelle liste d'applications à rechercher ou en cas d'échec, utilise une liste d'applications par défaut:

  • com.whatsapp
  • com.lenovo.anyshare.gps
  • com.mxtech.videoplayer.ad
  • com.jio.jioplay.tv
  • com.jio.media.jiobeats
  • com.jiochat.jiochatapp
  • com.jio.join
  • com.good.gamecollection
  • com.opera.mini.native
  • in.startv.hotstar
  • com.meitu.beautyplusme
  • com.domobile.applock
  • com.touchtype.swiftkey
  • com.flipkart.android
  • cn.xender
  • com.eterno
  • com.truecaller

Le module principal recherche une version de chaque application dans la liste et son hachage MD5 correspondant entre les applications installées et celles s'exécutant dans l'espace utilisateur. Lorsque toutes les conditions sont remplies, "Agent Smith" tente d'infecter une application trouvée.

Le module principal utilise l'une des deux méthodes suivantes pour infecter l'application: décompiler ou binaire.

À la fin de la chaîne d'infection, il détourne les applications des utilisateurs compromis pour afficher des publicités.

Selon des informations complémentaires, les applications d'injection de L'agent Smith prolifère à travers «9Apps», une boutique d'applications tierce ciblant principalement les utilisateurs indiens (hindi), arabes et indonésiens.


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données: Miguel Ángel Gatón
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.