Agent Smith heeft een nieuwe malware gedetecteerd voor Android en die heeft al miljoenen geïnfecteerd

Darkcrizt

4 minuten

Onderzoekers hebben onlangs een nieuwe malwarevariant ontdekt voor mobiele apparaten die in stilte ongeveer 25 miljoen apparaten heeft geïnfecteerd zonder dat gebruikers het merken.

Vermomd als een applicatie geassocieerd met Google, het kerngedeelte van de malware maakt gebruik van verschillende bekende Android-kwetsbaarheden en vervangt automatisch geïnstalleerde apps op het apparaat door kwaadaardige versies zonder tussenkomst van de gebruiker. Deze benadering bracht onderzoekers ertoe de malware Agent Smith te noemen.

Deze malware gebruikt momenteel apparaatbronnen om advertenties weer te geven frauduleus en financieel gewin. Deze activiteit is vergelijkbaar met eerdere kwetsbaarheden zoals Gooligan, HummingBad en CopyCat.

Hasta ahora, de belangrijkste slachtoffers vallen in India, hoewel ook andere Aziatische landen zoals Pakistan en Bangladesh zijn getroffen.

In een veel veiligere Android-omgeving hebben de auteurs van Agent Smit lijken te zijn overgegaan naar de meer complexe modus van voortdurend op zoek naar nieuwe kwetsbaarheden, zoals Janus, Bundle en Man-in-the-Disk, om een ​​infectieproces in drie fasen te creëren en een winstgevend botnet te bouwen.

Agent Smith is waarschijnlijk het eerste type bug dat al deze kwetsbaarheden heeft geïntegreerd om samen te gebruiken.

Als Agent Smith wordt gebruikt voor financieel gewin via kwaadaardige advertenties, kan het gemakkelijk worden gebruikt voor veel meer opdringerige en schadelijke doeleinden, zoals het stelen van bank-ID's.

Het vermogen om zijn pictogram niet in het opstartprogramma te onthullen en bestaande populaire apps op een apparaat te imiteren, geeft het in feite talloze mogelijkheden om het apparaat van de gebruiker te beschadigen.

Over de aanval van agent Smith

Agent Smith kent drie hoofdfasen:

  1. Een injectietoepassing moedigt een slachtoffer aan om het gewillig te installeren. Het bevat een pakket in de vorm van versleutelde bestanden. Varianten van deze injectie-app zijn meestal fotohulpprogramma's, games of apps voor volwassenen.
  2. De injectie-app decodeert en installeert automatisch de APK van de belangrijkste schadelijke code, die vervolgens kwaadaardige oplossingen aan de apps toevoegt. De belangrijkste malware is meestal vermomd als een Google-updateprogramma, Google Update for U of "com.google.vending". Het belangrijkste malwarepictogram verschijnt niet in het opstartprogramma.
  3. De belangrijkste malware extraheert een lijst met apps die op het apparaat zijn geïnstalleerd. Als het apps vindt die deel uitmaken van zijn prooilijst (versleuteld of verzonden door de command and control-server), extraheert het de basis-APK van de app op het apparaat, voegt het kwaadaardige modules en advertenties toe aan de APK, installeert het opnieuw en vervangt het de originele, net als bij een update.

Agent Smith herverpakt gerichte applicaties op smali/baksmali-niveau. Tijdens het laatste installatieproces van de update vertrouwt het op de Janus-kwetsbaarheid om de mechanismen van Android te omzeilen die de integriteit van een APK verifiëren.

de kernmodule

Agent Smith implementeert de kernmodule met als doel de infectie te verspreiden:

Een reeks "bundel"-kwetsbaarheden wordt gebruikt om applicaties te installeren zonder medeweten van het slachtoffer.

De Janus-kwetsbaarheid, waardoor een hacker elke applicatie kan vervangen door een geïnfecteerde versie.

De kernmodule neemt contact op met de commando- en controleserver om te proberen een nieuwe lijst met te zoeken applicaties op te halen of, in geval van een storing, gebruikt een lijst met standaardtoepassingen:

  • com.whatsapp
  • com.lenovo.anyshare.gps
  • com.mxtech.videoplayer.ad
  • com.jio.jioplay.tv
  • com.jio.media.jiobeats
  • com.jiochat.jiochatapp
  • com.jio.join
  • com.good.gamecollection
  • com.opera.mini.native
  • in.startv.hotstar
  • com.meitu.beautyplusme
  • com.domobile.applock
  • com.touchtype.swiftkey
  • com.flipkart.android
  • cn.xender
  • com.eeuwig
  • com.truecaller

De kernmodule zoekt naar een versie van elke app in de lijst en de bijbehorende MD5-hash tussen geïnstalleerde applicaties en applicaties die in de gebruikersruimte draaien. Wanneer aan alle voorwaarden is voldaan, probeert "Agent Smith" een gevonden applicatie te infecteren.

De kernmodule gebruikt een van de volgende twee methoden om de toepassing te infecteren: decompileren of binair.

Aan het einde van de infectieketen kaapt het de apps van gecompromitteerde gebruikers om advertenties weer te geven.

Volgens aanvullende informatie, injectietoepassingen Agent Smith verspreidt zich via "9Apps", een app store van derden die zich voornamelijk richt op Indiase (Hindi), Arabische en Indonesische gebruikers.


Laat je reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

*

*

  1. Verantwoordelijk voor de gegevens: Miguel Ángel Gatón
  2. Doel van de gegevens: Controle SPAM, commentaarbeheer.
  3. Legitimatie: uw toestemming
  4. Mededeling van de gegevens: De gegevens worden niet aan derden meegedeeld, behalve op grond van wettelijke verplichting.
  5. Gegevensopslag: database gehost door Occentus Networks (EU)
  6. Rechten: u kunt uw gegevens op elk moment beperken, herstellen en verwijderen.