Ejen Smith perisian hasad baru yang dikesan untuk Android dan telah menjangkiti berjuta-juta

Penyelidik baru-baru ini menemui varian malware yang baru untuk peranti mudah alih Ia secara diam-diam telah menjangkiti sekitar 25 juta peranti tanpa diketahui oleh pengguna.

Menyamar sebagai aplikasi yang dikaitkan dengan Google, inti perisian hasad mengeksploitasi beberapa kelemahan Android yang diketahui dan menggantikan aplikasi yang dipasang secara automatik pada peranti dengan versi jahat tanpa campur tangan pengguna. Pendekatan ini mendorong para penyelidik menamakan malware Agent Smith.

Malware ini sedang mengakses sumber peranti untuk memaparkan iklan penipuan dan memperoleh keuntungan kewangan. Aktiviti ini serupa dengan kelemahan terdahulu seperti Gooligan, HummingBad, dan CopyCat.

Sehingga kini, mangsa utama adalah di India, walaupun negara-negara Asia lain seperti Pakistan dan Bangladesh juga terjejas.

Dalam persekitaran Android yang lebih selamat, penulis "Ejen Smith" nampaknya telah beralih ke mod yang lebih kompleks sentiasa mencari kelemahan baru, seperti Janus, Bundle, dan Man-in-the-Disk, untuk membuat proses Infeksi tiga peringkat dan membina botnet untung.

Ejen Smith mungkin jenis cacat pertama yang menggabungkan semua kelemahan ini untuk digunakan bersama.

Sekiranya Ejen Smith digunakan untuk keuntungan kewangan melalui iklan jahat, ia dapat digunakan dengan mudah untuk tujuan yang lebih mengganggu dan berbahaya, seperti mencuri ID bank.

Sebenarnya, kemampuannya untuk tidak memperlihatkan ikonnya di pelancar, dan meniru aplikasi popular yang ada pada peranti, memberikannya banyak peluang untuk merosakkan peranti pengguna.

Pada serangan Ejen Smith

Ejen Smith mempunyai tiga fasa utama:

  1. Aplikasi suntikan mendorong mangsa memasangnya secara sukarela. Ini mengandungi pakej dalam bentuk fail yang dienkripsi. Varian aplikasi suntikan ini biasanya utiliti foto, permainan, atau aplikasi dewasa.
  2. Aplikasi suntikan menyahsulitkan dan memasang APK kod jahat intinya secara automatik, yang kemudian menambahkan pembaikan berbahaya pada aplikasi. Malware utama biasanya menyamar sebagai program kemas kini Google, Kemas kini Google untuk U, atau "com.google.vending." Ikon malware utama tidak muncul di pelancar.
  3. Malware utama mengekstrak senarai aplikasi yang dipasang pada peranti. Sekiranya ia menemui aplikasi yang merupakan sebahagian daripada senarai mangsa anda (dikodkan atau dihantar oleh pelayan perintah dan kawalan), ia mengekstrak APK asas aplikasi pada peranti, menambahkan modul dan iklan jahat ke APK, memasang semula dan menggantikan yang asli, seolah-olah ia adalah kemas kini.

Ejen Smith mengemas semula aplikasi yang disasarkan pada tahap smali / baksmali. Semasa proses pemasangan kemas kini terakhir, ia bergantung pada kerentanan Janus untuk memintas mekanisme Android yang mengesahkan integriti APK.

Modul pusat

Ejen Smith menerapkan modul teras untuk menyebarkan jangkitan:

Serangkaian kerentanan "Bundle" digunakan untuk memasang aplikasi tanpa menyedari mangsa.

Kerentanan Janus, yang membolehkan penggodam mengganti aplikasi apa pun dengan versi yang dijangkiti.

Modul pusat menghubungi pelayan arahan dan kawalan untuk mencuba mendapatkan senarai aplikasi baru untuk dicari atau sekiranya gagal, menggunakan senarai aplikasi lalai:

  • com. whatsapp
  • com.lenovo.anyshare.gps
  • com.mxtech.videoplayer.ad
  • com.jio.jioplay.tv
  • com.jio.media.jiobeats
  • com.jiochat.jiochatapp
  • com.jio.join
  • com.good.gamecollection
  • com.opera.mini.asli
  • di.startv.hotstar
  • com.meitu.beautyplusme
  • com.domobile.applock
  • com.touchtype.swiftkey
  • com.flipkart.android
  • cn.xender
  • com.eternal
  • com.trucaller

Modul teras mencari versi setiap aplikasi dalam senarai dan hash MD5nya sesuai antara aplikasi yang dipasang dan yang berjalan di ruang pengguna. Apabila semua syarat dipenuhi, "Ejen Smith" cuba menjangkiti aplikasi yang dijumpai.

Modul teras menggunakan salah satu daripada dua kaedah berikut untuk menjangkiti aplikasi: penyahkompilasian atau binari.

Pada akhir rangkaian jangkitan, ia merampas aplikasi pengguna yang dikompromikan untuk memaparkan iklan.

Menurut maklumat tambahan aplikasi suntikan Ejen Smith berkembang pesat melalui «9Apps», kedai aplikasi pihak ketiga yang terutama menyasarkan pengguna India (Hindi), Arab, dan Indonesia.


Menjadi yang pertama untuk komen

Tinggalkan komen anda

Alamat email anda tidak akan disiarkan. Ruangan yang diperlukan ditanda dengan *

*

*

  1. Bertanggungjawab atas data: Miguel Ángel Gatón
  2. Tujuan data: Mengendalikan SPAM, pengurusan komen.
  3. Perundangan: Persetujuan anda
  4. Komunikasi data: Data tidak akan disampaikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Pangkalan data yang dihoskan oleh Occentus Networks (EU)
  6. Hak: Pada bila-bila masa anda boleh menghadkan, memulihkan dan menghapus maklumat anda.