Istraživači su nedavno otkrili novu varijantu zlonamjernog softvera za mobilne uređaje Tiho je zarazio oko 25 milijuna uređaja, a da to korisnici nisu primijetili.
Prerušen u aplikaciju povezanu s Googleom, jezgra zlonamjernog softvera iskorištava nekoliko poznatih Android ranjivosti i automatski zamjenjuje instalirane aplikacije na uređaju zlonamjernim verzijama bez intervencije korisnika. Ovaj pristup naveo je istraživače da imenuju zlonamjerni softver Agent Smith.
Ovaj zlonamjerni softver trenutno pristupa resursima uređaja za prikazivanje oglasa lažne i pribaviti financijsku dobit. Ova je aktivnost slična prethodnim ranjivostima kao što su Gooligan, HummingBad i CopyCat.
Do sada, glavne su žrtve u Indiji, iako su to pogođene i druge azijske zemlje poput Pakistana i Bangladeša.
U mnogo sigurnijem Android okruženju, autori "Agent Smith" čini se da su prešli u složeniji način rada stalno tražiti nove ranjivosti, poput Janusa, Bundlea i Man-in-the-Diska, stvoriti trostupanjski proces zaraze i stvoriti botnet za stvaranje profita.
Agent Smith je vjerojatno prva vrsta greške koja je integrirala sve ove ranjivosti za zajedničku upotrebu.
Ako se agent Smith koristi radi financijske dobiti putem zlonamjernih oglasa, mogao bi se lako koristiti u mnogo nametljivije i štetnije svrhe, poput krađe bankovnih iskaznica.
Zapravo, njegova sposobnost da ne otkrije svoju ikonu u pokretaču i oponaša popularne programe koji postoje na uređaju, pruža mu nebrojene mogućnosti za oštećenje korisničkog uređaja.
Na napad agenta Smitha
Agent Smith ima tri glavne faze:
- Aplikacija za injekciju potiče žrtvu da je dobrovoljno instalira. Sadrži paket u obliku šifriranih datoteka. Inačice ove aplikacije za ubrizgavanje obično su uslužni programi za fotografije, igre ili aplikacije za odrasle.
- Aplikacija za ubrizgavanje automatski dešifrira i instalira APK svog osnovnog zlonamjernog koda, koji zatim dodaje zlonamjeran popravak u aplikacije. Glavni zlonamjerni softver obično je maskiran kao Googleov program za ažuriranje, Google Update za U ili "com.google.vending". Glavna ikona zlonamjernog softvera ne pojavljuje se u pokretaču.
- Glavni zlonamjerni softver izdvaja popis aplikacija instaliranih na uređaju. Ako pronađe programe koji su dio vašeg popisa plijena (kodiran ili poslan od strane poslužitelja za naredbe i kontrolu), on izvlači osnovni APK aplikacije na uređaju, dodaje zlonamjerne module i oglase u APK, ponovno instalira i zamjenjuje izvorni, kao da je riječ o ažuriranju.
Agent Smith prepakira ciljane aplikacije na razini smali / baksmali. Tijekom postupka instalacije konačnog ažuriranja oslanja se na ranjivost Janus da zaobiđe Android mehanizme koji provjeravaju integritet APK-a.
Središnji modul
Agent Smith provodi osnovni modul kako bi proširio zarazu:
Niz ranjivosti "Bundle" koristi se za instaliranje aplikacija bez da žrtva to primijeti.
Janusova ranjivost, koja omogućuje hakeru da zamijeni bilo koju aplikaciju zaraženom verzijom.
Središnji modul kontaktira naredbeni i upravljački poslužitelj kako bi pokušao dobiti novi popis aplikacija za pretraživanje ili u slučaju kvara, koristi popis zadanih aplikacija:
- com.whatsapp
- com.lenovo.anyshare.gps
- com.mxtech.videoplayer.ad
- com.jio.jioplay.tv
- com.jio.media.jiobeats
- com.jiochat.jiochatapp
- com.jio.pridružiti se
- com.dobro.zbirka igara
- com.opera.mini.native
- in.startv.hotstar
- com.meitu.beautyplusme
- com.domobile.applock
- com.touchtype.swiftkey
- com.flipkart.android
- cn.xender
- kom.evječni
- com.istinitelj
Osnovni modul traži verziju svake aplikacije na popisu i njezin MD5 hash koji odgovaraju instaliranim aplikacijama i onima koje se izvode u korisničkom prostoru. Kada su ispunjeni svi uvjeti, "Agent Smith" pokušava zaraziti pronađenu aplikaciju.
Osnovni modul koristi jednu od sljedeće dvije metode za zarazu aplikacije: dekompilirati ili binarno.
Na kraju lanca zaraza otima aplikacije ugroženih korisnika za prikazivanje oglasa.
Prema dodatnim informacijama, primjene za injekcije Agent Smith se širi putem «9Apps», trgovina nezavisnih aplikacija koja primarno cilja indijske (hindske), arapske i indonezijske korisnike.