Tyrėjai neseniai atrado naują kenkėjiškų programų variantą mobiliesiems įrenginiams Jis tyliai užkrėtė maždaug 25 milijonus įrenginių, vartotojams to nepastebint.
Užmaskuotas kaip su „Google“ susieta programa, kenkėjiškų programų šerdis išnaudoja keletą žinomų „Android“ pažeidžiamumų ir automatiškai pakeičia įdiegtas programas įrenginyje kenksmingomis versijomis be vartotojo įsikišimo. Šis požiūris paskatino tyrėjus įvardyti kenkėjišką agentą Smith.
Ši kenkėjiška programa šiuo metu naudojasi įrenginio ištekliais, kad galėtų rodyti skelbimus nesąžiningi ir gauti finansinės naudos. Ši veikla yra panaši į ankstesnes spragas, tokias kaip „Gooligan“, „HummingBad“ ir „CopyCat“.
Iki šiol pagrindinės aukos yra Indijoje, nors nukentėjo ir kitos Azijos šalys, tokios kaip Pakistanas ir Bangladešas.
Daug saugesnėje „Android“ aplinkoje autoriai „Agentas Smitas“ atrodo, kad perėjo į sudėtingesnį režimą nuolat ieškokite naujų pažeidžiamumų, tokių kaip „Janus“, „Bundle“ ir „Man-in-the-Disk“, sukurti trijų etapų infekcijos procesą ir sukurti pelną gaunantį botnetą.
Agentas Smithas yra turbūt pirmasis trūkumų tipas, kuris visas šias spragas sujungė naudojimui kartu.
Jei agentas Smithas bus naudojamas siekiant finansinės naudos iš kenksmingų skelbimų, jis gali būti lengvai naudojamas daug įkyresniems ir žalingesniems tikslams, pavyzdžiui, pavogti banko ID.
Tiesą sakant, jo galimybė neatskleisti piktogramos paleidimo priemonėje ir imituoti esamas populiarias įrenginio programas suteikia daugybę galimybių sugadinti vartotojo įrenginį.
Dėl agento Smitho išpuolio
Agentas Smithas turi tris pagrindines fazes:
- Injekcijos programa skatina auką savo noru ją įdiegti. Jame yra šifruotų failų pavidalo paketas. Šios injekcijos programos variantai paprastai yra nuotraukų komunalinės paslaugos, žaidimai ar programos suaugusiesiems.
- Injekcijos programa automatiškai iššifruoja ir įdiegia savo pagrindinio kenksmingo kodo APK, kuris prideda kenkėjiškų programų pataisų. Pagrindinė kenkėjiška programa paprastai slepiama kaip „Google“ naujinimo programa, „Google“ naujinimas U arba „com.google.vending“. Pagrindinė kenkėjiškų programų piktograma paleidimo priemonėje nerodoma.
- Pagrindinė kenkėjiška programa ištraukia įrenginyje įdiegtų programų sąrašą. Jei jis randa programas, kurios yra jūsų grobio sąrašo dalis (užkoduotas arba išsiųstas komandų ir valdymo serverio), jis ištraukia pagrindinį programos APK įrenginyje, prideda kenkėjiškų modulių ir skelbimų prie APK, iš naujo įdiegia ir pakeičia pradinį, tarsi tai būtų atnaujinimas.
Agentas Smithas perpakuoja tikslines programas smali / baksmali lygiu. Atliekant paskutinį naujinimo diegimo procesą, jis remiasi „Janus“ pažeidžiamumu, kad aplenktų „Android“ mechanizmus, kurie patikrina APK vientisumą.
Centrinis modulis
Agentas Smithas įgyvendina pagrindinį modulį, kad paskleistų infekciją:
Programų diegimui auka nepastebi naudojama „Bundle“ pažeidžiamumų serija.
„Janus“ pažeidžiamumas, leidžiantis įsilaužėliui bet kurią programą pakeisti užkrėstąja versija.
Centrinis modulis susisiekia su komandų ir valdymo serveriu, kad bandytų gauti naują programų sąrašą, jei norite ieškoti, arba sugedus, naudoja numatytųjų programų sąrašą:
- com.whatsapp
- com.lenovo.anyshare.gps
- com.mxtech.videoplayer.ad
- com.jio.jioplay.tv
- com.jio.media.jiobeats
- com.jiochat.jiochatapp
- com.jio.prisijungti
- com.good.gamecollection
- com.opera.mini.native
- in.startv.hotstar
- com.meitu.beautyplusme
- com.domobile.applock
- com.touchtype.swiftkey
- com.flipkart.android
- cn.xender
- com.terernal
- com.trucaller
Pagrindinis modulis ieško kiekvienos sąraše esančios programos versijos ir jos MD5 maišos tarp įdiegtų programų ir tų, kurios veikia vartotojo erdvėje. Kai įvykdomos visos sąlygos, „Agentas Smithas“ bando užkrėsti rastą programą.
Pagrindinis modulis naudoja vieną iš šių dviejų būdų užkrėsti programą: dekompiliuoti arba dvejetainį.
Infekcijų grandinės pabaigoje jis užgrobia pažeistų vartotojų programas, kad būtų rodomi skelbimai.
Remiantis papildoma informacija, injekcijos Agentas Smithas plinta per „9Apps“, trečiosios šalies programų parduotuvė, pirmiausia skirta indų (hindi), arabų ir indoneziečių vartotojams.