Pesquisadores descobriram recentemente uma nova variante de malware para dispositivos móveis Ele infectou silenciosamente cerca de 25 milhões de dispositivos sem que os usuários percebessem.
Disfarçado de aplicativo associado ao Google, o núcleo do malware explora várias vulnerabilidades Android conhecidas e substitui automaticamente os aplicativos instalados no dispositivo por versões maliciosas sem intervenção do usuário. Essa abordagem levou os pesquisadores a nomear o malware como Agente Smith.
este malware está acessando recursos do dispositivo para exibir anúncios fraudulentas e obter ganhos financeiros. Esta atividade é semelhante a vulnerabilidades anteriores, como Gooligan, HummingBad e CopyCat.
Até agora, as principais vítimas estão na Índia, embora outros países asiáticos, como Paquistão e Bangladesh, também tenham sido afetados.
Em um ambiente Android muito mais seguro, os autores de "Agente Smith" parecem ter mudado para o modo mais complexo de procure constantemente novas vulnerabilidades, como Janus, Bundle e Man-in-the-Disk, para criar um processo de infecção de três estágios e construir um botnet lucrativo.
O Agente Smith é provavelmente o primeiro tipo de falha que integrou todas essas vulnerabilidades para uso em conjunto.
Se o agente Smith for usado para ganho financeiro por meio de anúncios maliciosos, ele pode ser facilmente usado para propósitos muito mais invasivos e prejudiciais, como roubar identidades de banco.
Na verdade, sua capacidade de não revelar seu ícone no iniciador e de imitar aplicativos populares existentes em um dispositivo, oferece inúmeras oportunidades de danificar o dispositivo do usuário.
Sobre o ataque do Agente Smith
O Agente Smith tem três fases principais:
- Um aplicativo de injeção incentiva a vítima a instalá-lo voluntariamente. Ele contém um pacote na forma de arquivos criptografados. As variantes desse aplicativo de injeção são geralmente utilitários de fotos, jogos ou aplicativos para adultos.
- O aplicativo de injeção descriptografa e instala automaticamente o APK de seu código malicioso principal, que adiciona correções maliciosas aos aplicativos. O malware principal geralmente é disfarçado como um programa de atualização do Google, Google Update for U ou "com.google.vending". O ícone principal do malware não aparece no inicializador.
- O malware principal extrai uma lista de aplicativos instalados no dispositivo. Se encontrar aplicativos que fazem parte de sua lista de presas (codificados ou enviados por servidor de comando e controle), ele extrai o APK de base do aplicativo no dispositivo, adiciona módulos maliciosos e anúncios ao APK, reinstala e substitui o original, como se fosse uma atualização.
O agente Smith reempacota os aplicativos direcionados no nível smali / baksmali. Durante o processo final de instalação da atualização, ele depende da vulnerabilidade do Janus para contornar os mecanismos do Android que verificam a integridade de um APK.
O módulo central
O agente Smith implementa o módulo principal para espalhar a infecção:
Uma série de vulnerabilidades "Bundle" são usadas para instalar aplicativos sem que a vítima perceba.
A vulnerabilidade Janus, que permite ao hacker substituir qualquer aplicativo por uma versão infectada.
O módulo central entra em contato com o servidor de comando e controle para tentar obter uma nova lista de aplicativos para pesquisar ou em caso de falha, usa uma lista de aplicativos padrão:
- com.whatsapp
- com.lenovo.anyshare.gps
- com.mxtech.videoplayer.ad
- com.jio.jioplay.tv
- com.jio.media.jiobeats
- com.jiochat.jiochatapp
- com.jio.join
- com.good.gamecollection
- com.opera.mini.native
- em.startv.hotstar
- com.meitu.beautyplusme
- com.domobile.applock
- com.touchtype.swiftkey
- com.flipkart.android
- cn.xender
- com.eterno
- com.truecaller
O módulo principal procura uma versão de cada aplicativo na lista e seu hash MD5 correspondente entre os aplicativos instalados e aqueles em execução no espaço do usuário. Quando todas as condições são atendidas, o "Agente Smith" tenta infectar um aplicativo encontrado.
O módulo principal usa um dos dois métodos a seguir para infectar o aplicativo: descompilar ou binário.
No final da cadeia de infecções, ele sequestra os aplicativos dos usuários comprometidos para exibir anúncios.
De acordo com informações adicionais, as aplicações de injeção de Agente Smith está proliferando através de «9Apps», uma loja de aplicativos de terceiros voltada principalmente para usuários indianos (hindi), árabes e indonésios.