Агент Смит - новое вредоносное ПО для Android, которое уже заразило миллионы

Darkcrizt

4 минут

Недавно исследователи обнаружили новый вариант вредоносного ПО. для мобильных устройств Он незаметно для пользователей заразил около 25 миллионов устройств.

Под видом приложения, связанного с Google, ядро вредоносного ПО использует несколько известных уязвимостей Android и автоматически заменяет установленные приложения на устройстве вредоносными версиями без вмешательства пользователя. Этот подход привел к тому, что исследователи назвали вредоносное ПО Agent Smith.

Это вредоносное ПО в настоящее время обращается к ресурсам устройства для показа рекламы мошенничество и получение финансовой выгоды. Эта активность аналогична предыдущим уязвимостям, таким как Gooligan, HummingBad и CopyCat.

До сих пор, основные жертвы находятся в Индии, хотя пострадали и другие азиатские страны, такие как Пакистан и Бангладеш.

В гораздо более безопасной среде Android авторы "Агент Смит" похоже, перешли в более сложный режим постоянно искать новые уязвимости, такие как Janus, Bundle и Man-in-the-Disk, чтобы создать трехэтапный процесс заражения и построить прибыльный ботнет.

Агент Смит, вероятно, является первым типом уязвимостей, который объединил все эти уязвимости для совместного использования.

Если агент Смит используется для получения финансовой выгоды с помощью вредоносной рекламы, его можно легко использовать для гораздо более навязчивых и вредоносных целей, например для кражи банковских идентификаторов.

Фактически, его способность не показывать свой значок в панели запуска и имитировать существующие популярные приложения на устройстве, дает ему бесчисленные возможности повредить устройство пользователя.

Об атаке агента Смита

Агент Смит состоит из трех основных фаз:

  1. Приложение для инъекций побуждает жертву добровольно установить его. Он содержит пакет в виде зашифрованных файлов. Вариантами этого приложения для инъекций обычно являются фото-утилиты, игры или приложения для взрослых.
  2. Приложение для инъекций автоматически расшифровывает и устанавливает APK своего основного вредоносного кода, который затем добавляет вредоносные исправления в приложения. Основное вредоносное ПО обычно маскируется под программу обновлений Google, Google Update for U или com.google.vending. Основной значок вредоносной программы не отображается в программе запуска.
  3. Основная вредоносная программа извлекает список приложений, установленных на устройстве. Если он находит приложения, которые входят в ваш список жертв (закодированные или отправленные сервером управления), он извлекает базовый APK-файл приложения на устройстве, добавляет вредоносные модули и рекламу в APK, переустанавливает и заменяет исходный, как будто это обновление.

Агент Смит переупаковывает целевые приложения на уровне smali / baksmali. Во время финального процесса установки обновления он использует уязвимость Janus для обхода механизмов Android, которые проверяют целостность APK.

Центральный модуль

Агент Смит реализует основной модуль для распространения инфекции:

Для установки приложений незаметно для жертвы используется серия уязвимостей типа Bundle.

Уязвимость Janus, которая позволяет хакеру заменить любое приложение на зараженную версию.

Центральный модуль обращается к серверу управления и контроля, чтобы попытаться получить новый список приложений для поиска или в случае сбоя, использует список приложений по умолчанию:

  • com.whatsapp
  • com.lenovo.anyshare.gps
  • com.mxtech.videoplayer.ad
  • com.jio.jioplay.tv
  • com.jio.media.jiobeats
  • com.jiochat.jiochatapp
  • com.jio.join
  • com.good.gamecollection
  • com.opera.mini.native
  • in.startv.hotstar
  • com.meitu.beautyplusme
  • com.domobile.applock
  • com.touchtype.swiftkey
  • com.flipkart.android
  • cn.xender
  • com.eterno
  • com.truecaller

Основной модуль ищет версию каждого приложения в списке и его хэш MD5. соответствие между установленными приложениями и приложениями, работающими в пользовательском пространстве. Когда все условия соблюдены, «Агент Смит» пытается заразить найденное приложение.

Основной модуль использует один из следующих двух методов для заражения приложения: декомпиляция или бинарный.

В конце цепочки заражений он захватывает приложения скомпрометированных пользователей для отображения рекламы.

По дополнительной информации инъекционные аппликации Агент Смит распространяется через «9Apps», сторонний магазин приложений, ориентированный в первую очередь на пользователей из Индии (хинди), арабов и Индонезии.


Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*

  1. Ответственный за данные: Мигель Анхель Гатон
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.