研究者は最近、マルウェアの新しい亜種を発見しました モバイル機器用 ユーザーが気付かないうちに、約25万台のデバイスにサイレントに感染しました。
Googleに関連付けられたアプリケーションを装って、 マルウェアのコア いくつかの既知のAndroidの脆弱性を悪用し、インストールされているアプリを自動的に置き換えます ユーザーの介入なしに悪意のあるバージョンによってデバイス上で。 このアプローチにより、研究者はマルウェアをエージェントスミスと名付けました。
このマルウェア 現在、広告を表示するためにデバイスリソースにアクセスしています 詐欺的で金銭的利益を得る。 このアクティビティは、Gooligan、HummingBad、CopyCatなどの以前の脆弱性に似ています。
今まで、 主な犠牲者はインドですが、パキスタンやバングラデシュなどの他のアジア諸国も影響を受けています。
はるかに安全なAndroid環境では、 「エージェント・スミス」 より複雑なモードに移行したようです Janus、Bundle、Man-in-the-Diskなどの新しい脆弱性を常に探します、XNUMX段階の感染プロセスを作成し、利益を生み出すボットネットを構築します。
エージェント・スミスはおそらく、これらの脆弱性をすべて統合して一緒に使用できる最初のタイプの欠陥です。
エージェントスミスが悪意のある広告による金銭的利益のために使用される場合、銀行IDを盗むなど、はるかに侵入的で有害な目的に簡単に使用される可能性があります。
実際、ランチャーにアイコンを表示せず、デバイスに存在する人気のあるアプリケーションを模倣する機能は、ユーザーのデバイスに損傷を与える無数の機会を提供します。
エージェントスミスの攻撃について
エージェントスミスにはXNUMXつの主要なフェーズがあります。
- インジェクションアプリケーションは、被害者が自発的にインストールすることを奨励します。 暗号化されたファイルの形式のパッケージが含まれています。 このインジェクションアプリのバリエーションは、通常、写真ユーティリティ、ゲーム、またはアダルトアプリです。
- インジェクションアプリは、コアの悪意のあるコードのAPKを自動的に復号化してインストールし、悪意のある修正をアプリに追加します。 主なマルウェアは通常、Googleアップデートプログラム、Google Update for U、または「com.google.vending」に偽装されています。 メインのマルウェアアイコンはランチャーに表示されません。
- 主なマルウェアは、デバイスにインストールされているアプリケーションのリストを抽出します。 獲物リストの一部である(コマンドおよび制御サーバーによってエンコードまたは送信された)アプリケーションが見つかると、デバイス上のアプリケーションのベースAPKを抽出し、モジュールと悪意のある広告をAPKに追加し、元のAPKを再インストールして置き換えます。それがアップデートであるかのように。
エージェント・スミスは、対象となるアプリケーションをsmali / baksmaliレベルで再パッケージ化します。 最終的なアップデートのインストールプロセスでは、APKの整合性を検証するAndroidメカニズムをバイパスするためにJanusの脆弱性に依存しています。
中央モジュール
エージェントスミスは、感染を広めるためにコアモジュールを実装します。
多くの「バンドル」脆弱性は、被害者に気付かれることなくアプリケーションをインストールするために使用されます。
Janusの脆弱性。これにより、ハッカーは任意のアプリケーションを感染したバージョンに置き換えることができます。
中央モジュールはコマンドアンドコントロールサーバーに接続して、検索するアプリケーションの新しいリストを取得しようとします。失敗した場合は、 デフォルトのアプリのリストを使用します。
- com.whatsapp
- com.lenovo.anyshare.gps
- com.mxtech.videoplayer.ad
- com.jio.jioplay.tv
- com.jio.media.jiobeats
- com.jiochat.jiochatapp
- com.jio.join
- com.good.gamecollection
- com.opera.mini.native
- in.startv.ホットスター
- com.meitu.beautyplusme
- com.domobile.applock
- com.touchtype.swiftkey
- com.flipkart.android
- cn.xender
- com.eterno
- com.truecaller
コアモジュールは、リスト内の各アプリのバージョンとそのMD5ハッシュを探します インストールされたアプリケーションとユーザースペースで実行されているアプリケーションの間で対応します。 すべての条件が満たされると、「エージェント・スミス」は見つかったアプリケーションに感染しようとします。
コアモジュールは、次のXNUMXつの方法のいずれかを使用してアプリケーションに感染します:逆コンパイルまたはバイナリ。
一連の感染の終わりに、侵害されたユーザーのアプリを乗っ取って広告を表示します。
追加情報によると、の注射アプリケーション エージェントスミスは«9Apps»を通じて急増しています、主にインド(ヒンディー語)、アラブ、インドネシアのユーザーを対象としたサードパーティのアプリストア。