Недавно исследователи обнаружили новый вариант вредоносного ПО. для мобильных устройств Он незаметно для пользователей заразил около 25 миллионов устройств.
Под видом приложения, связанного с Google, ядро вредоносного ПО использует несколько известных уязвимостей Android и автоматически заменяет установленные приложения на устройстве вредоносными версиями без вмешательства пользователя. Этот подход привел к тому, что исследователи назвали вредоносное ПО Agent Smith.
Это вредоносное ПО в настоящее время обращается к ресурсам устройства для показа рекламы мошенничество и получение финансовой выгоды. Эта активность аналогична предыдущим уязвимостям, таким как Gooligan, HummingBad и CopyCat.
До сих пор, основные жертвы находятся в Индии, хотя пострадали и другие азиатские страны, такие как Пакистан и Бангладеш.
В гораздо более безопасной среде Android авторы "Агент Смит" похоже, перешли в более сложный режим постоянно искать новые уязвимости, такие как Janus, Bundle и Man-in-the-Disk, чтобы создать трехэтапный процесс заражения и построить прибыльный ботнет.
Агент Смит, вероятно, является первым типом уязвимостей, который объединил все эти уязвимости для совместного использования.
Если агент Смит используется для получения финансовой выгоды с помощью вредоносной рекламы, его можно легко использовать для гораздо более навязчивых и вредоносных целей, например для кражи банковских идентификаторов.
Фактически, его способность не показывать свой значок в панели запуска и имитировать существующие популярные приложения на устройстве, дает ему бесчисленные возможности повредить устройство пользователя.
Об атаке агента Смита
Агент Смит состоит из трех основных фаз:
- Приложение для инъекций побуждает жертву добровольно установить его. Он содержит пакет в виде зашифрованных файлов. Вариантами этого приложения для инъекций обычно являются фото-утилиты, игры или приложения для взрослых.
- Приложение для инъекций автоматически расшифровывает и устанавливает APK своего основного вредоносного кода, который затем добавляет вредоносные исправления в приложения. Основное вредоносное ПО обычно маскируется под программу обновлений Google, Google Update for U или com.google.vending. Основной значок вредоносной программы не отображается в программе запуска.
- Основная вредоносная программа извлекает список приложений, установленных на устройстве. Если он находит приложения, которые входят в ваш список жертв (закодированные или отправленные сервером управления), он извлекает базовый APK-файл приложения на устройстве, добавляет вредоносные модули и рекламу в APK, переустанавливает и заменяет исходный, как будто это обновление.
Агент Смит переупаковывает целевые приложения на уровне smali / baksmali. Во время финального процесса установки обновления он использует уязвимость Janus для обхода механизмов Android, которые проверяют целостность APK.
Центральный модуль
Агент Смит реализует основной модуль для распространения инфекции:
Для установки приложений незаметно для жертвы используется серия уязвимостей типа Bundle.
Уязвимость Janus, которая позволяет хакеру заменить любое приложение на зараженную версию.
Центральный модуль обращается к серверу управления и контроля, чтобы попытаться получить новый список приложений для поиска или в случае сбоя, использует список приложений по умолчанию:
- com.whatsapp
- com.lenovo.anyshare.gps
- com.mxtech.videoplayer.ad
- com.jio.jioplay.tv
- com.jio.media.jiobeats
- com.jiochat.jiochatapp
- com.jio.join
- com.good.gamecollection
- com.opera.mini.native
- in.startv.hotstar
- com.meitu.beautyplusme
- com.domobile.applock
- com.touchtype.swiftkey
- com.flipkart.android
- cn.xender
- com.eterno
- com.truecaller
Основной модуль ищет версию каждого приложения в списке и его хэш MD5. соответствие между установленными приложениями и приложениями, работающими в пользовательском пространстве. Когда все условия соблюдены, «Агент Смит» пытается заразить найденное приложение.
Основной модуль использует один из следующих двух методов для заражения приложения: декомпиляция или бинарный.
В конце цепочки заражений он захватывает приложения скомпрометированных пользователей для отображения рекламы.
По дополнительной информации инъекционные аппликации Агент Смит распространяется через «9Apps», сторонний магазин приложений, ориентированный в первую очередь на пользователей из Индии (хинди), арабов и Индонезии.