Pētnieki nesen ir atklājuši jaunu ļaunprogrammatūras variantu mobilajām ierīcēm Tas klusi ir inficējis aptuveni 25 miljonus ierīču, lietotājiem nemanot.
Pārģērbies par lietojumprogrammu, kas saistīta ar Google, ļaunprogrammatūras kodols izmanto vairākas zināmās Android ievainojamības un automātiski aizstāj instalētās lietotnes ierīcē, izmantojot ļaunprātīgas versijas bez lietotāja iejaukšanās. Šī pieeja lika pētniekiem nosaukt ļaunprogrammatūru par aģentu Smitu.
Šī ļaunprātīgā programmatūra pašlaik piekļūst ierīces resursiem, lai parādītu reklāmas krāpnieciski un iegūt finansiālu labumu. Šī darbība ir līdzīga iepriekšējām ievainojamībām, piemēram, Gooligan, HummingBad un CopyCat.
Līdz šim galvenie upuri ir Indijā, lai gan skartas ir arī citas Āzijas valstis, piemēram, Pakistāna un Bangladeša.
Daudz drošākā Android vidē autori "Aģents Smits" šķiet, ka ir pārgājuši sarežģītākā režīmā pastāvīgi meklējiet jaunas ievainojamības, piemēram, Janus, Bundle un Man-in-the-Disk, lai izveidotu trīs posmu infekcijas procesu un izveidotu peļņu nesošu robottīklu.
Aģents Smits, iespējams, ir pirmais trūkumu veids, kas ir integrējis visas šīs ievainojamības lietošanai kopā.
Ja aģents Smits tiek izmantots, lai gūtu finansiālu labumu, izmantojot ļaunprātīgas reklāmas, to varētu viegli izmantot daudz uzmācīgākiem un kaitīgākiem mērķiem, piemēram, bankas ID zagšanai.
Patiesībā tā spēja neatklāt savu ikonu palaidējā un atdarināt ierīcē esošās populārās lietojumprogrammas nodrošina neskaitāmas iespējas sabojāt lietotāja ierīci.
Par aģenta Smita uzbrukumu
Agentam Smitam ir trīs galvenās fāzes:
- Injicēšanas programma mudina upuri to brīvprātīgi instalēt. Tajā ir pakete šifrētu failu veidā. Šīs injekcijas lietotnes varianti parasti ir foto utilītas, spēles vai pieaugušajiem paredzētas lietotnes.
- Injekcijas lietotne automātiski atšifrē un instalē sava ļaunprātīgā koda APK, kas pēc tam pievieno ļaunprātīgus labojumus lietotnēm. Galvenā ļaunprātīgā programmatūra parasti tiek maskēta kā Google atjaunināšanas programma, Google atjauninājums U vai “com.google.vending”. Galvenā ļaunprātīgas programmatūras ikona neparādās palaidējā.
- Galvenā ļaunprātīgā programmatūra izraksta ierīcē instalēto lietojumprogrammu sarakstu. Ja tā atrod lietojumprogrammas, kas ir daļa no jūsu laupījumu saraksta (ko kodē vai nosūta komandu un vadības serveris), tas ierīcē izraksta lietojumprogrammas pamata APK, APK pievieno ļaunprātīgus moduļus un reklāmas, atkārtoti instalē un aizstāj sākotnējo, it kā tas būtu atjauninājums.
Aģents Smits pārsaiņo mērķtiecīgas lietojumprogrammas smali / baksmali līmenī. Pēdējā atjaunināšanas instalēšanas procesa laikā tā paļaujas uz Janus ievainojamību, lai apietu Android mehānismus, kas pārbauda APK integritāti.
Centrālais modulis
Aģents Smits ievieš galveno moduli, lai izplatītu infekciju:
Lietojumprogrammu instalēšanai, cietušajam nemanot, tiek izmantota virkne "Bundle" ievainojamību.
Janus ievainojamība, kas ļauj hakerim jebkuru lietojumprogrammu aizstāt ar inficētu versiju.
Centrālais modulis sazinās ar komandu un vadības serveri, lai mēģinātu iegūt jaunu meklējamo lietojumprogrammu sarakstu vai kļūmes gadījumā, izmanto noklusējuma lietotņu sarakstu:
- com.whatsapp
- com.lenovo.anyshare.gps
- com.mxtech.videoplayer.ad
- com.jio.jioplay.tv
- com.jio.media.jiobeats
- com.jiochat.jiochatapp
- com.jio.join
- com.good.gamecollection
- com.opera.mini.dzimtā
- in.startv.hotstar
- com.meitu.beautyplusme
- com.domobile.applock
- com.touchtype.swiftkey
- com.flipkart.android
- cn. paplašinātājs
- com.eterno
- com.truecaller
Galvenais modulis meklē katras sarakstā esošās lietotnes un tās MD5 hash versiju starp instalētajām lietojumprogrammām un tām, kas darbojas lietotāja telpā. Kad visi nosacījumi ir izpildīti, "Agent Smith" mēģina inficēt atrasto lietojumprogrammu.
Galvenais modulis izmanto vienu no šīm divām metodēm, lai inficētu lietojumprogrammu: dekompilēt vai bināru.
Infekciju ķēdes beigās tas nolaupa apdraudētu lietotāju lietotnes, lai parādītu reklāmas.
Saskaņā ar papildu informāciju Aģents Smits izplatās caur «9Apps», trešās puses lietotņu veikals, kura mērķauditorija galvenokārt ir Indijas (Hindi), Arābu un Indonēzijas lietotāji.