I ricercatori hanno recentemente scoperto una nuova variante di malware per dispositivi mobili Ha infettato silenziosamente circa 25 milioni di dispositivi senza che gli utenti se ne accorgessero.
Travestito da un'applicazione associata a Google, il cuore del malware sfrutta diverse vulnerabilità note di Android e sostituisce automaticamente le app installate sul dispositivo da versioni dannose senza l'intervento dell'utente. Questo approccio ha portato i ricercatori a nominare il malware Agent Smith.
Questo malware sta attualmente accedendo alle risorse del dispositivo per visualizzare annunci fraudolento e ottenere guadagni finanziari. Questa attività è simile alle vulnerabilità precedenti come Gooligan, HummingBad e CopyCat.
Finora, le principali vittime sono in India, sebbene siano stati colpiti anche altri paesi asiatici come Pakistan e Bangladesh.
In un ambiente Android molto più sicuro, gli autori di "Agente Smith" sembrano essere passati alla modalità più complessa di cerca costantemente nuove vulnerabilità, come Janus, Bundle e Man-in-the-Disk, per creare un processo di infezione in tre fasi e costruire una botnet a scopo di lucro.
L'agente Smith è probabilmente il primo tipo di difetto che ha integrato tutte queste vulnerabilità per l'utilizzo insieme.
Se l'agente Smith viene utilizzato per ottenere guadagni finanziari tramite annunci dannosi, potrebbe essere facilmente utilizzato per scopi molto più intrusivi e dannosi, come il furto di ID bancari.
In effetti, la sua capacità di non rivelare la sua icona nel programma di avvio e di imitare le applicazioni popolari esistenti su un dispositivo, fornisce innumerevoli opportunità di danneggiare il dispositivo dell'utente.
Sull'attacco dell'agente Smith
L'agente Smith ha tre fasi principali:
- Un'applicazione di iniezione incoraggia una vittima a installarla volontariamente. Contiene un pacchetto sotto forma di file crittografati. Le varianti di questa app di iniezione sono solitamente utilità per foto, giochi o app per adulti.
- L'app di iniezione decrittografa e installa automaticamente l'APK del suo codice dannoso di base, che quindi aggiunge correzioni dannose alle app. Il malware principale è solitamente mascherato da programma di aggiornamento di Google, Google Update for U o "com.google.vending". L'icona principale del malware non viene visualizzata nel programma di avvio.
- Il malware principale estrae un elenco di applicazioni installate sul dispositivo. Se trova app che fanno parte della tua lista di prede (codificate o inviate dal server di comando e controllo), estrai l'APK di base dell'app sul dispositivo, aggiungi moduli e annunci dannosi all'APK, reinstalla e sostituisci l'originale, come se fosse un aggiornamento.
L'agente Smith riconfeziona le applicazioni mirate a livello smali / baksmali. Durante il processo di installazione dell'aggiornamento finale, fa affidamento sulla vulnerabilità Janus per aggirare i meccanismi Android che verificano l'integrità di un APK.
Il modulo centrale
L'agente Smith implementa il modulo principale per diffondere l'infezione:
Una serie di vulnerabilità "Bundle" vengono utilizzate per installare applicazioni senza che la vittima se ne accorga.
La vulnerabilità Janus, che consente all'hacker di sostituire qualsiasi applicazione con una versione infetta.
Il modulo centrale contatta il server di comando e controllo per cercare di ottenere un nuovo elenco di applicazioni da cercare o in caso di guasto, utilizza un elenco di app predefinite:
- com.whatsapp
- com.lenovo.anyshare.gps
- com.mxtech.videoplayer.ad
- com.jio.jioplay.tv
- com.jio.media.jiobeats
- com.jiochat.jiochatapp
- com.jio.join
- com.good.gamecollection
- com.opera.mini.native
- in.startv.hotstar
- com.meitu.beautyplusme
- com.domobile.applock
- com.touchtype.swiftkey
- com.flipkart.android
- cn.xender
- com.eterno
- com.truecaller
Il modulo principale cerca una versione di ciascuna app nell'elenco e il relativo hash MD5 corrispondente tra le applicazioni installate e quelle in esecuzione nello spazio utente. Quando tutte le condizioni sono soddisfatte, "Agent Smith" tenta di infettare un'applicazione trovata.
Il modulo principale utilizza uno dei seguenti due metodi per infettare l'applicazione: decompilare o binario.
Alla fine della catena di infezioni, dirotta le app degli utenti compromessi per visualizzare gli annunci.
Secondo ulteriori informazioni le applicazioni di iniezione di L'agente Smith sta proliferando attraverso «9Apps», un app store di terze parti rivolto principalmente agli utenti indiani (hindi), arabi e indonesiani.