חוקרים גילו לאחרונה גרסה חדשה של תוכנות זדוניות למכשירים ניידים היא הדביקה בשקט כ- 25 מיליון מכשירים מבלי שמשתמשים הבחינו בכך.
מחופש ליישום המשויך ל- Google, הליבה של התוכנה הזדונית מנצל כמה נקודות תורפה ידועות של Android ומחליף אוטומטית אפליקציות מותקנות במכשיר על ידי גרסאות זדוניות ללא התערבות המשתמש. גישה זו הביאה את החוקרים לקרוא לתוכנה הזדונית סוכן סמית '.
תוכנה זדונית זו כרגע ניגש למשאבי מכשיר להצגת מודעות הונאה והשגת רווח כספי. פעילות זו דומה לפגיעות קודמות כגון Gooligan, HummingBad ו- CopyCat.
עד כה, הקורבנות העיקריים נמצאים בהודו, אם כי מדינות אסיה אחרות כמו פקיסטן ובנגלדש נפגעו גם כן.
בסביבת Android הרבה יותר בטוחה, כותבי "הסוכן סמית" נראה כי עבר למצב המורכב יותר של חפש ללא הרף נקודות תורפה חדשות, כגון Janus, Bundle ו- Man-in-the-Disk, ליצור תהליך זיהום בשלושה שלבים ולבנות Botnet מניב רווח.
הסוכן סמית הוא כנראה הסוג הראשון של הפגם ששילב את כל הפגיעות הללו לשימוש יחד.
אם הסוכן סמית משמש לרווחים כספיים באמצעות מודעות זדוניות, הוא יכול בקלות לשמש למטרות פולשניות ומזיקות הרבה יותר, כגון גניבת תעודות זהות בנק.
למעשה, היכולת שלו לא לחשוף את הסמל שלו במפעיל ולחקות יישומים פופולריים הקיימים במכשיר, מספקת לו אינספור הזדמנויות לפגוע במכשיר המשתמש.
על התקפת הסוכן סמית '
לסוכן סמית שלושה שלבים עיקריים:
- יישום הזרקה מעודד את הקורבן להתקין אותו מרצונו. הוא מכיל חבילה בצורה של קבצים מוצפנים. גרסאות של אפליקציית הזרקה זו הן בדרך כלל כלי צילום, משחקים או אפליקציות למבוגרים.
- אפליקציית ההזרקה מפענחת ומתקינה אוטומטית את ה- APK של קוד הליבה הזדוני שלה, ואז מוסיף תיקונים זדוניים לאפליקציות. התוכנה הזדונית העיקרית מוסווה בדרך כלל כתוכנית עדכונים של Google, Google Update for U או "com.google.vending". סמל התוכנה הזדונית הראשי אינו מופיע במפעיל.
- התוכנה הזדונית העיקרית מחלצת רשימה של יישומים המותקנים במכשיר. אם הוא מוצא אפליקציות שנמצאות ברשימת הטרף שלך (מקודדות או נשלחות על ידי שרת פיקוד ובקרה), הוצא את ה- APK הבסיסי של האפליקציה במכשיר, הוסף מודולים זדוניים ומודעות ל- APK, התקן מחדש והחלף את המקור, כאילו זה היה עדכון.
הסוכן סמית מארז מחדש יישומים ממוקדים ברמה smali / baksmali. במהלך תהליך התקנת העדכון הסופי, הוא מסתמך על הפגיעות של Janus כדי לעקוף את מנגנוני Android המאמתים את תקינות ה- APK.
המודול המרכזי
הסוכן סמית מיישם את מודול הליבה במטרה להפיץ את הזיהום:
מספר פרצות "Bundle" משמשות להתקנת יישומים מבלי שהקורבן שם לב.
הפגיעות של Janus, המאפשרת להאקר להחליף כל יישום בגרסה נגועה.
המודול המרכזי יוצר קשר עם שרת הפקודה והבקרה כדי לנסות להשיג רשימה חדשה של יישומים לחיפוש או במקרה של כשל. משתמשת ברשימה של אפליקציות ברירת מחדל:
- com.whatsapp
- com.lenovo.anyshare.gps
- com.mxtech.videoplayer.ad
- com.jio.jioplay.tv
- com.jio.media.jiobeats
- com.jiochat.jiochatapp
- com.jio.join
- com.good.gamecollection
- com.opera.mini.native
- in.startv.hotstar
- com.meitu.beautyplusme
- com.domobile.applock
- com.touchtype.swiftkey
- com.flipkart.android
- cn.xender
- com.eterno
- com.truecaller
מודול הליבה מחפש גרסה של כל אפליקציה ברשימה וחשיש ה- MD5 שלה תואם בין יישומים מותקנים ואלה הפועלים במרחב המשתמשים. כאשר כל התנאים מתקיימים, "הסוכן סמית" מנסה להדביק יישום שנמצא.
מודול הליבה משתמש באחת משתי השיטות הבאות להדבקת היישום: פירוק או בינארי.
בסוף שרשרת הזיהומים היא חוטפת את האפליקציות של משתמשים שנפגעו להצגת מודעות.
על פי מידע נוסף יישומי ההזרקה של הסוכן סמית מתרבים באמצעות «9Apps», חנות אפליקציות של צד שלישי המכוונת בעיקר למשתמשים הודים (הינדים), ערבים ואינדונזים.