Vedci nedávno objavili nový variant malvéru pre mobilné zariadenia Potichu infikoval asi 25 miliónov zariadení bez toho, aby si to používatelia všimli.
Maskovaná ako aplikácia spojená s Googlom, jadro škodlivého softvéru využíva niekoľko známych zraniteľností systému Android a automaticky nahrádza nainštalované aplikácie na zariadení škodlivými verziami bez zásahu používateľa. Tento prístup viedol vedcov k pomenovaniu škodlivého softvéru Agent Smith.
Tento malware momentálne používa zdroje zariadenia na zobrazovanie reklám podvodné a získať finančný zisk. Táto aktivita je podobná predchádzajúcim zraniteľnostiam, ako sú Gooligan, HummingBad a CopyCat.
Doteraz hlavné obete sú v Indii, hoci boli postihnuté aj ďalšie ázijské krajiny ako Pakistan a Bangladéš.
V oveľa bezpečnejšom prostredí Androidu autori „Agent Smith“ Zdá sa, že prešli do zložitejšieho režimu neustále hľadať nové zraniteľnosti, ako sú Janus, Bundle a Man-in-the-Disk, aby sme vytvorili trojstupňový proces infekcie a vytvorili ziskový botnet.
Agent Smith je pravdepodobne prvý typ chyby, ktorá integrovala všetky tieto chyby zabezpečenia do spoločného používania.
Ak sa Agent Smith používa na finančné zisky prostredníctvom škodlivých reklám, ľahko by sa dal použiť na oveľa rušivejšie a škodlivejšie účely, napríklad na odcudzenie bankových identifikačných údajov.
Jeho schopnosť neodhaliť svoju ikonu v spúšťači a napodobniť populárne aplikácie existujúce v zariadení mu poskytuje nespočetné množstvo príležitostí na poškodenie zariadenia používateľa.
Na útok agenta Smitha
Agent Smith má tri hlavné fázy:
- Aplikácia na injekciu povzbudzuje obeť, aby si ju dobrovoľne nainštalovala. Obsahuje balík vo forme šifrovaných súborov. Varianty tejto injekčnej aplikácie sú zvyčajne pomôcky na fotografie, hry alebo aplikácie pre dospelých.
- Injekčná aplikácia automaticky dešifruje a nainštaluje súbor APK svojho základného škodlivého kódu, ktorý potom do aplikácií pridá škodlivé opravy. Hlavný malware je zvyčajne maskovaný ako program aktualizácií Google, Google Update pre U alebo „com.google.vending“. V spúšťači sa nezobrazuje hlavná ikona malvéru.
- Hlavný malware extrahuje zoznam aplikácií nainštalovaných v zariadení. Ak nájde aplikácie, ktoré sú súčasťou vášho zoznamu koristi (kódované alebo odoslané príkazovým a riadiacim serverom), extrahuje základný APK aplikácie v zariadení, pridá do neho APK škodlivé moduly a reklamy, preinštaluje a nahradí pôvodný, akoby to bola aktualizácia.
Agent Smith prebalí zacielené aplikácie na úrovni smali / baksmali. Počas procesu inštalácie poslednej aktualizácie sa spolieha na zraniteľnosť systému Janus, ktorá obchádza mechanizmy systému Android, ktoré overujú integritu súboru APK.
Centrálny modul
Agent Smith implementuje jadrový modul za účelom šírenia infekcie:
Na inštaláciu aplikácií sa používa rad chýb balíka „Bundle“ bez toho, aby si to obeť všimla.
Zraniteľnosť Janus, ktorá umožňuje hackerovi nahradiť ľubovoľnú aplikáciu infikovanou verziou.
Centrálny modul kontaktuje riadiaci a riadiaci server, aby sa pokúsil získať nový zoznam prehľadávaných aplikácií alebo v prípade poruchy, používa zoznam predvolených aplikácií:
- com.whatsapp
- com.lenovo.anyshare.gps
- com.mxtech.videoplayer.ad
- com.jio.jioplay.tv
- com.jio.media.jiobeats
- com.jiochat.jiochatapp
- com.jio.join
- com.good.gamecollection
- com.opera.mini.native
- in.startv.hotstar
- com.meitu.beautyplusme
- com.domobile.applock
- com.touchtype.swiftkey
- com.flipkart.android
- cn.xender
- com.eterno
- com.trucaller
Jadro modulu vyhľadáva verziu každej aplikácie v zozname a jej hash MD5 zodpovedajúce medzi nainštalovanými aplikáciami a aplikáciami bežiacimi v užívateľskom priestore. Po splnení všetkých podmienok sa „Agent Smith“ pokúsi infikovať nájdenú aplikáciu.
Jadrový modul používa na infikovanie aplikácie jednu z nasledujúcich dvoch metód: dekompilovať alebo binárne.
Na konci reťazca infekcií unesie aplikácie napadnutých používateľov, aby zobrazovali reklamy.
Podľa ďalších informácií majú injekčné aplikácie Agent Smith sa šíri prostredníctvom «9Apps», obchod s aplikáciami tretích strán zameraný predovšetkým na indických (hindi), arabských a indonézskych používateľov.