A kutatók a közelmúltban felfedezték a rosszindulatú programok új változatát mobil eszközökhöz Körülbelül 25 millió eszközt némán megfertőzött anélkül, hogy a felhasználók észrevették volna.
A Google-hoz társított alkalmazásnak álcázva, a rosszindulatú program lényege kihasznál számos ismert Android biztonsági rést, és automatikusan lecseréli a telepített alkalmazásokat az eszközön rosszindulatú verziókkal, felhasználói beavatkozás nélkül. Ez a megközelítés arra késztette a kutatókat, hogy a kártevőket Smith ügynöknek nevezzék el.
Ez a rosszindulatú program jelenleg eszközforrásokhoz fér hozzá hirdetések megjelenítéséhez csalárd és pénzügyi nyereséget szerezzen. Ez a tevékenység hasonló a korábbi sérülékenységekhez, mint például a Gooligan, a HummingBad és a CopyCat.
Eddig, a fő áldozatok Indiában vannak, bár más ázsiai országok, például Pakisztán és Banglades is érintettek.
Sokkal biztonságosabb androidos környezetben a "Smith ügynök" úgy tűnik, hogy átment a bonyolultabb módba folyamatosan keresse az új biztonsági réseket, mint például a Janus, a Bundle és a Man-in-the-Disk, hogy hozzon létre egy háromlépcsős fertőzési folyamatot és nyereséges botnetet építsen.
A Smith ügynök valószínűleg az első típusú hiba, amely ezeket a biztonsági réseket integrálta együttes használatra.
Ha Smith ügynököt pénzügyi haszonszerzésre használják rosszindulatú hirdetések révén, könnyen felhasználhatók sokkal tolakodóbb és káros célokra, például banki azonosítók ellopására.
Valójában az a képesség, hogy nem jeleníti meg az ikonját az indítóban, és utánozza az eszközön meglévő népszerű alkalmazásokat, számtalan lehetőséget ad a felhasználó eszközének károsítására.
Smith ügynök támadásán
Smith ügynöknek három fő fázisa van:
- Az injekciós alkalmazás arra ösztönzi az áldozatot, hogy önként telepítse. Csomagot tartalmaz titkosított fájlok formájában. Ennek az injekciós alkalmazásnak a változatai általában fotó segédprogramok, játékok vagy felnőttek számára készült alkalmazások.
- Az injekciós alkalmazás automatikusan dekódolja és telepíti az alapvető rosszindulatú kód APK-ját, amely aztán rosszindulatú javításokat ad az alkalmazásokhoz. A fő rosszindulatú programot általában Google frissítő programnak, Google Update for U-nak vagy "com.google.vending" -nek álcázzák. A fő kártevő ikon nem jelenik meg az indítóban.
- A fő rosszindulatú program kivonatolja az eszközre telepített alkalmazások listáját. Ha olyan alkalmazásokat talál, amelyek a zsákmánylistád részét képezik (kódolva vagy a parancs- és vezérlőszerver által küldve), kivonja az alkalmazás alap APK-ját az eszközről, modulokat és rosszindulatú hirdetéseket ad hozzá az APK-hoz, újratelepíti és lecseréli az eredetit, mintha frissítés lenne.
Smith ügynök újracsomagolja a megcélzott alkalmazásokat smali / baksmali szinten. A frissítés utolsó telepítési folyamata során a Janus sebezhetőségére támaszkodik az Android-mechanizmusok megkerülésére, amelyek ellenőrzik az APK integritását.
A központi modul
Smith ügynök végrehajtja a központi modult a fertőzés terjedése érdekében:
Egy sor "Bundle" biztonsági rést használnak az alkalmazások telepítésére anélkül, hogy az áldozat észrevenné.
A Janus biztonsági rés, amely lehetővé teszi a hacker számára, hogy minden alkalmazást fertőzött verzióval cseréljen le.
A központi modul felveszi a kapcsolatot a parancs- és vezérlőkiszolgálóval, hogy megpróbálja megszerezni az új keresendő alkalmazások listáját, vagy hiba esetén, az alapértelmezett alkalmazások listáját használja:
- com. whatsapp
- com.lenovo.anyshare.gps
- com.mxtech.videoplayer.ad
- com.jio.jioplay.tv
- com.jio.media.jiobeats
- com.jiochat.jiochatapp
- com.jio.csatlakozzon
- com.good.gamecollection
- com.opera.mini.hative
- in.startv.hotstar
- com.meitu.beautyplusme
- com.domobile.applock
- com.touchtype.swiftkey
- com.flipkart.android
- cn.exender
- com.terernal
- com.trucaller
Az alapmodul megkeresi a listában szereplő alkalmazások és MD5 kivonatuk verzióit megfelelő a telepített alkalmazások és a felhasználói térben futó alkalmazások között. Ha minden feltétel teljesül, az "Smith ügynök" megpróbálja megfertőzni a talált alkalmazást.
Az alapmodul a következő két módszer egyikét használja az alkalmazás megfertőzéséhez: dekompilálás vagy bináris.
A fertőzések láncának végén eltéríti a veszélyeztetett felhasználók alkalmazásait hirdetések megjelenítésére.
További információk szerint a Smith ügynök a «9Apps» -en keresztül terjed, egy harmadik féltől származó alkalmazásbolt, amely elsősorban indiai (hindi), arab és indonéz felhasználókat céloz meg.