Agent Smith, un nou malware detectat pentru Android și care a infectat deja milioane

Cercetătorii au descoperit recent o nouă variantă de malware pentru dispozitive mobile A infectat în tăcere aproximativ 25 de milioane de dispozitive fără ca utilizatorii să observe.

Deghizat ca o aplicație asociată cu Google, nucleul malware-ului exploatează mai multe vulnerabilități Android cunoscute și înlocuiește automat aplicațiile instalate pe dispozitiv prin versiuni dăunătoare fără intervenția utilizatorului. Această abordare i-a determinat pe cercetători să numească malware-ul Agent Smith.

Acest malware accesează în prezent resursele dispozitivului pentru a afișa reclame frauduloase și obține câștiguri financiare. Această activitate este similară cu vulnerabilitățile anterioare, cum ar fi Gooligan, HummingBad și CopyCat.

Pana acum, principalele victime se află în India, deși au fost afectate și alte țări asiatice, precum Pakistanul și Bangladeshul.

Într-un mediu Android mult mai sigur, autorii „Agent Smith” par să se fi mutat în modul mai complex al căutați în permanență noi vulnerabilități, cum ar fi Janus, Bundle și Man-in-the-Disk, pentru a crea un proces de infecție în trei etape și a construi o botnet profitabilă.

Agent Smith este probabil primul tip de defect care a integrat toate aceste vulnerabilități pentru utilizare împreună.

Dacă agentul Smith este utilizat pentru câștiguri financiare prin reclame rău intenționate, acesta ar putea fi utilizat cu ușurință în scopuri mult mai intruzive și dăunătoare, cum ar fi furtul ID-urilor bancare.

De fapt, capacitatea sa de a nu-și dezvălui pictograma în lansator și de a imita aplicațiile populare existente pe un dispozitiv, îi oferă nenumărate oportunități de a deteriora dispozitivul utilizatorului.

La atacul agentului Smith

Agentul Smith are trei faze principale:

  1. O aplicație de injecție încurajează victima să o instaleze voluntar. Conține un pachet sub formă de fișiere criptate. Variantele acestei aplicații de injecție sunt de obicei utilități foto, jocuri sau aplicații pentru adulți.
  2. Aplicația de injectare decriptează și instalează automat APK-ul codului său de bază rău intenționat, care apoi adaugă remedieri rău intenționate aplicațiilor. Principalul malware este de obicei deghizat într-un program de actualizare Google, Google Update pentru U sau „com.google.vending”. Pictograma principală malware nu apare în lansator.
  3. Principalul malware extrage o listă de aplicații instalate pe dispozitiv. Dacă găsește aplicații care fac parte din lista dvs. de pradă (codate sau trimise de serverul de comandă și control), extrage APK-ul de bază al aplicației de pe dispozitiv, adaugă module și anunțuri rău intenționate în APK, reinstalează și înlocuiește cea originală, de parcă ar fi o actualizare.

Agent Smith reambalează aplicațiile vizate la nivel smali / baksmali. În timpul procesului de instalare a actualizării finale, se bazează pe vulnerabilitatea Janus pentru a ocoli mecanismele Android care verifică integritatea unui APK.

Modulul central

Agent Smith implementează modulul de bază pentru a răspândi infecția:

O serie de vulnerabilități „Bundle” sunt folosite pentru a instala aplicații fără ca victima să observe.

Vulnerabilitatea Janus, care permite hackerului să înlocuiască orice aplicație cu o versiune infectată.

Modulul central contactează serverul de comandă și control pentru a încerca să obțină o nouă listă de aplicații de căutat sau în caz de eșec, folosește o listă de aplicații implicite:

  • com. whatsapp
  • com.lenovo.anyshare.gps
  • com.mxtech.videoplayer.ad
  • com.jio.jioplay.tv
  • com.jio.media.jiobeats
  • com.jiochat.jiochatapp
  • com.jio.join
  • com.good.gamecollection
  • com.opera.mini.nativ
  • în.startv.hotstar
  • com.meitu.beautyplusme
  • com.domobile.applock
  • com.touchtype.swiftkey
  • com.flipkart.android
  • cn.xender
  • com.eternal
  • com.truecaller

Modulul de bază caută o versiune a fiecărei aplicații din listă și hash-ul său MD5 corespunzătoare între aplicațiile instalate și cele care rulează în spațiul utilizatorului. Când toate condițiile sunt îndeplinite, „Agent Smith” încearcă să infecteze o aplicație găsită.

Modulul de bază folosește una dintre următoarele două metode pentru a infecta aplicația: decompilare sau binară.

La sfârșitul lanțului de infecții, acesta deturnă aplicațiile utilizatorilor compromis pentru a afișa reclame.

Conform informațiilor suplimentare, aplicațiile de injecție ale Agentul Smith proliferează prin „9Apps”, un magazin de aplicații terță parte care vizează în principal utilizatorii indieni (hindi), arabi și indonezieni.


Fii primul care comenteaza

Lasă comentariul tău

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

*

*

  1. Responsabil pentru date: Miguel Ángel Gatón
  2. Scopul datelor: Control SPAM, gestionarea comentariilor.
  3. Legitimare: consimțământul dvs.
  4. Comunicarea datelor: datele nu vor fi comunicate terților decât prin obligație legală.
  5. Stocarea datelor: bază de date găzduită de Occentus Networks (UE)
  6. Drepturi: în orice moment vă puteți limita, recupera și șterge informațiile.