Smith 요원은 Android에서 탐지 된 새로운 악성 코드이며 이미 수백만 명을 감염 시켰습니다.

Darkcrizt

4 분

연구원들은 최근 새로운 변종 악성 코드를 발견했습니다. 휴대 기기 용 사용자 모르게 약 25 만 대의 장치를 조용히 감염 시켰습니다.

Google과 관련된 애플리케이션으로 위장하여 악성 코드의 핵심 알려진 여러 Android 취약성을 악용하고 설치된 앱을 자동으로 대체합니다. 사용자 개입없이 악성 버전에 의해 장치에서. 이 접근 방식을 통해 연구원들은 맬웨어 에이전트 이름을 Smith로 지정했습니다.

이 악성 코드 현재 광고를 표시하기 위해 기기 리소스에 액세스하고 있습니다. 사기 및 금전적 이익을 얻습니다. 이 활동은 Gooligan, HummingBad 및 CopyCat과 같은 이전 취약점과 유사합니다.

지금까지, 파키스탄과 방글라데시와 같은 다른 아시아 국가들도 영향을 받았지만 주요 희생자는 인도에 있습니다.

훨씬 더 안전한 Android 환경에서 작성자는 "스미스 요원" 더 복잡한 모드로 이동 한 것 같습니다 Janus, Bundle 및 Man-in-the-Disk와 같은 새로운 취약점을 지속적으로 찾습니다., XNUMX 단계 감염 프로세스를 생성하고 수익을 창출하는 봇넷을 구축합니다.

스미스 요원은 함께 사용하기 위해 이러한 모든 취약점을 통합 한 첫 번째 유형의 결함 일 것입니다.

스미스 요원이 악의적 인 광고를 통해 금전적 이익을 위해 사용되는 경우 은행 ID 도용과 같이 훨씬 더 침입적이고 유해한 목적으로 쉽게 사용될 수 있습니다.

실제로 런처에서 아이콘을 표시하지 않고 장치에있는 인기있는 응용 프로그램을 모방하는 기능은 사용자 장치를 손상시킬 수있는 수많은 기회를 제공합니다.

에이전트 스미스 공격에

스미스 요원은 세 가지 주요 단계로 나뉩니다.

  1. 주사 애플리케이션은 피해자가 자발적으로 설치하도록 권장합니다. 암호화 된 파일 형식의 패키지가 포함되어 있습니다. 이 주사 앱의 변형은 일반적으로 사진 유틸리티, 게임 또는 성인용 앱입니다.
  2. 주입 앱은 핵심 악성 코드의 APK를 자동으로 해독하고 설치 한 다음 앱에 악성 수정 사항을 추가합니다. 주요 악성 코드는 일반적으로 Google 업데이트 프로그램, U 용 Google 업데이트 또는 "com.google.vending"으로 가장합니다. 메인 멀웨어 아이콘은 런처에 나타나지 않습니다.
  3. 주요 악성 코드는 기기에 설치된 애플리케이션 목록을 추출합니다. 먹이 목록의 일부인 애플리케이션 (인코딩 또는 명령 및 제어 서버에 의해 전송 됨)을 찾으면 기기에서 애플리케이션의 기본 APK를 추출하고 APK에 악성 모듈 및 광고를 추가하고 원래의 것을 다시 설치하고 대체합니다. 마치 업데이트 인 것처럼.

Smith 에이전트는 smali / baksmali 수준에서 대상 응용 프로그램을 다시 패키징합니다. 최종 업데이트 설치 프로세스 중에 Janus 취약성에 의존하여 APK의 무결성을 확인하는 Android 메커니즘을 우회합니다.

중앙 모듈

스미스 요원은 감염을 확산시키기 위해 핵심 모듈을 구현합니다.

일련의 "번들"취약점은 피해자가 알지 못하는 사이에 애플리케이션을 설치하는 데 사용됩니다.

해커가 모든 애플리케이션을 감염된 버전으로 교체 할 수있는 Janus 취약점.

중앙 모듈은 명령 및 제어 서버에 연결하여 검색 할 새 응용 프로그램 목록을 가져 오거나 오류 발생시 기본 앱 목록을 사용합니다.

  • com.whatsapp
  • com.lenovo.anyshare.gps
  • com.mxtech.videoplayer.ad
  • com.jio.jioplay.tv
  • com.jio.media.jiobeats
  • com.jiochat.jiochatapp
  • com.jio.join
  • com.good.game컬렉션
  • com.opera.mini.native
  • instartv.hotstar
  • com.meitu.beautyplusme
  • com.domobile.applock
  • com.touchtype.swiftkey
  • com.flipkart.android
  • cn.xender
  • com.eterno
  • com.truecaller

핵심 모듈은 목록에있는 각 앱의 버전과 해당 MD5 ​​해시를 찾습니다. 설치된 응용 프로그램과 사용자 공간에서 실행중인 응용 프로그램간에 해당됩니다. 모든 조건이 충족되면 "스미스 요원"은 찾은 응용 프로그램을 감염 시키려고합니다.

코어 모듈은 디 컴파일 또는 바이너리의 두 가지 방법 중 하나를 사용하여 애플리케이션을 감염시킵니다.

감염 사슬의 끝에서 감염된 사용자의 앱을 가로 채 광고를 표시합니다.

추가 정보에 따르면 Smith 요원은«9Apps»를 통해 급증하고 있습니다., 주로 인도 (힌디어), 아랍 및 인도네시아 사용자를 대상으로하는 타사 앱 스토어입니다.


코멘트를 남겨주세요

귀하의 이메일 주소는 공개되지 않습니다. 필수 필드가 표시되어 있습니다 *

*

*

  1. 데이터 책임자 : Miguel Ángel Gatón
  2. 데이터의 목적 : 스팸 제어, 댓글 관리.
  3. 합법성 : 귀하의 동의
  4. 데이터 전달 : 법적 의무에 의한 경우를 제외하고 데이터는 제 XNUMX 자에게 전달되지 않습니다.
  5. 데이터 저장소 : Occentus Networks (EU)에서 호스팅하는 데이터베이스
  6. 권리 : 귀하는 언제든지 귀하의 정보를 제한, 복구 및 삭제할 수 있습니다.