Agent Smith en ny malware oppdaget for Android, og som allerede har infisert millioner

Darkcrizt

4 minutter

Forskere har nylig oppdaget en ny variant av skadelig programvare for mobile enheter Det har smittet rundt 25 millioner enheter stille uten at brukerne merker det.

Skjult som et program tilknyttet Google, kjernen av skadelig programvare utnytter flere kjente Android-sårbarheter og erstatter automatisk installerte apper på enheten av ondsinnede versjoner uten brukerinnblanding. Denne tilnærmingen fikk forskerne til å kalle malware Smith.

Denne skadelige programvaren har for øyeblikket tilgang til enhetsressurser for å vise annonser falske og oppnå økonomisk gevinst. Denne aktiviteten ligner på tidligere sårbarheter som Gooligan, HummingBad og CopyCat.

Så langt, de viktigste ofrene er i India, selv om også andre asiatiske land som Pakistan og Bangladesh har blitt rammet.

I et mye sikrere Android-miljø, forfatterne av "Agent Smith" ser ut til å ha gått inn i den mer komplekse modusen for Se kontinuerlig etter nye sårbarheter, for eksempel Janus, Bundle og Man-in-the-Disk, for å lage en tretrinns infeksjonsprosess og bygge et profitnet botnet.

Agent Smith er sannsynligvis den første typen feil som har integrert alle disse sårbarhetene for bruk sammen.

Hvis Agent Smith brukes til økonomisk gevinst gjennom ondsinnede annonser, kan det lett brukes til mye mer påtrengende og skadelige formål, for eksempel å stjele bank-ID.

Faktisk gir evnen til å ikke avsløre ikonet i bæreraketten og å etterligne populære applikasjoner som finnes på en enhet, utallige muligheter for å skade brukerens enhet.

På angrepet Agent Smith

Agent Smith har tre hovedfaser:

  1. En injeksjonsapplikasjon oppfordrer et offer til å installere det frivillig. Den inneholder en pakke i form av krypterte filer. Varianter av denne injeksjonsappen er vanligvis fotoverktøy, spill eller voksenapper.
  2. Injiseringsappen dekrypterer og installerer automatisk APK-en av kjernens ondsinnede kode, som deretter legger til ondsinnede reparasjoner i appene. Den viktigste skadelige programvaren er vanligvis forkledd som et Google-oppdateringsprogram, Google Update for U eller "com.google.vending." Hoved malware-ikonet vises ikke i startprogrammet.
  3. Den viktigste skadelige programvaren trekker ut en liste over applikasjoner som er installert på enheten. Hvis den finner applikasjoner som er en del av byttelisten din (kodet eller sendt av kommando- og kontrollserver), trekker den ut den grunnleggende APK-en for applikasjonen på enheten, legger til moduler og ondsinnede annonser i APK-en, installerer og erstatter den opprinnelige, som om det var en oppdatering.

Agent Smith pakker om målrettede applikasjoner på smali / baksmali-nivå. Under den siste installasjonsprosessen for oppdateringen er det avhengig av Janus-sårbarheten for å omgå Android-mekanismene som verifiserer integriteten til en APK.

Den sentrale modulen

Agent Smith implementerer kjernemodulen for å spre infeksjonen:

En serie "Bundle" -problemer brukes til å installere applikasjoner uten at offeret merker det.

Janus-sårbarheten, som lar hackeren erstatte ethvert program med en infisert versjon.

Den sentrale modulen kontakter kommando- og kontrollserveren for å prøve å få en ny liste over applikasjoner å søke eller i tilfelle feil, bruker en liste over standardapper:

  • com. whatsapp
  • com.lenovo.anyshare.gps
  • com.mxtech.videoplayer.ad
  • com.jio.jioplay.tv
  • com.jio.media.jiobeats
  • com.jiochat.jiochatapp
  • com.jio.join
  • com.good.gamecollection
  • com.opera.mini.native
  • i.startv.hotstar
  • com.meitu.beautyplusme
  • com.domobile.applock
  • com.touchtype.swiftkey
  • com.flipkart.android
  • cn.xender
  • com.eternal
  • com.ruecaller

Kjernemodulen ser etter en versjon av hver app i listen og dens MD5-hash samsvar mellom installerte applikasjoner og de som kjører i brukerområdet. Når alle vilkår er oppfylt, prøver "Agent Smith" å infisere en funnet applikasjon.

Kjernemodulen bruker en av følgende to metoder for å infisere applikasjonen: dekompilering eller binær.

På slutten av infeksjonskjeden kaprer den appene til kompromitterte brukere for å vise annonser.

I henhold til tilleggsinformasjon injeksjon applikasjoner av Agent Smith sprer seg gjennom «9Apps», en tredjeparts appbutikk som hovedsakelig retter seg mot indiske (hindi), arabiske og indonesiske brukere.


Legg igjen kommentaren

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Kontroller SPAM, kommentaradministrasjon.
  3. Legitimering: Ditt samtykke
  4. Kommunikasjon av dataene: Dataene vil ikke bli kommunisert til tredjeparter bortsett fra ved juridisk forpliktelse.
  5. Datalagring: Database vert for Occentus Networks (EU)
  6. Rettigheter: Når som helst kan du begrense, gjenopprette og slette informasjonen din.