Истраживачи су недавно открили нову варијанту злонамерног софтвера за мобилне уређаје Тихо је заразио око 25 милиона уређаја, а да то корисници нису приметили.
Прерушени у апликацију повезану са Гоогле-ом, језгро малвера користи неколико познатих Андроид рањивости и аутоматски замењује инсталиране апликације на уређају злонамерним верзијама без интервенције корисника. Овај приступ навео је истраживаче да именују злонамерни софтвер Агент Смитх.
Овај злонамерни софтвер тренутно приступа ресурсима уређаја за приказивање огласа лажне и прибавити финансијску добит. Ова активност је слична ранијим рањивостима као што су Гоолиган, ХуммингБад и ЦопиЦат.
До сада, главне жртве су у Индији, мада су то погођене и друге азијске земље попут Пакистана и Бангладеша.
У много сигурнијем Андроид окружењу, аутори "Агент Смитх" чини се да су прешли у сложенији режим непрестано тражите нове рањивости, као што су Јанус, Бундле и Ман-ин-тхе-Диск, како би креирали тростепени процес заразе и створили профитну ботнет мрежу.
Агент Смитх је вероватно прва врста мане која је интегрисала све ове рањивости за употребу заједно.
Ако се агент Смитх користи ради финансијске добити путем злонамерних огласа, могао би се лако користити у много наметљивије и штетније сврхе, као што је крађа банковних ИД-ова.
У ствари, његова способност да не открије своју икону у покретачу и опонаша постојеће популарне апликације на уређају, пружа му небројене могућности да оштети кориснички уређај.
На напад агента Смитха
Агент Смитх има три главне фазе:
- Апликација за ињекцију подстиче жртву да је добровољно инсталира. Садржи пакет у облику шифрованих датотека. Варијанте ове апликације за убризгавање обично су услужни програми за фотографије, игре или апликације за одрасле.
- Апликација за убризгавање аутоматски дешифрује и инсталира АПК свог основног злонамерног кода, који затим додаје злонамерне исправке у апликације. Главни злонамерни софтвер је обично прерушен у Гоогле-ов програм за ажурирање, Гоогле Упдате за У или „цом.гоогле.вендинг“. Главна икона малвера се не појављује у покретачу.
- Главни злонамерни софтвер издваја листу апликација инсталираних на уређају. Ако пронађе апликације које су део ваше листе плена (кодиране или послате од стране командног и контролног сервера), извлачи основни АПК апликације на уређају, додаје злонамерне модуле и огласе у АПК, поново инсталира и замењује оригинални, као да је ажурирање.
Агент Смитх препакује циљане апликације на смали / баксмали нивоу. Током процеса инсталације коначног ажурирања, ослања се на рањивост Јанус да заобиђе Андроид механизме који верификују интегритет АПК-а.
Централни модул
Агент Смитх примењује основни модул у циљу ширења заразе:
Низ рањивости „Бундле“ користи се за инсталирање апликација, а да жртва то не примети.
Јанус рањивост, која омогућава хакеру да било коју апликацију замени зараженом верзијом.
Централни модул контактира командни и контролни сервер како би покушао да добије нову листу апликација за претрагу или у случају квара, користи листу подразумеваних апликација:
- цом.вхатсапп
- цом.леново.анисхаре.гпс
- цом.мктецх.видеоплаиер.ад
- цом.јио.јиоплаи.тв
- цом.јио.медиа.јиобеатс
- цом.јиоцхат.јиоцхатапп
- цом.јио.јоин
- цом.доод.гамецоллецтион
- цом.опера.мини.нативе
- ин.стартв.хотстар
- цом.меиту.беаутиплусме
- цом.домобиле.апплоцк
- цом.тоуцхтипе.свифткеи
- цом.флипкарт.андроид
- цн.кендер
- цом.етернал
- цом.труецаллер
Основни модул тражи верзију сваке апликације на листи и њен МД5 хеш одговара између инсталираних апликација и оних које се изводе у корисничком простору. Када су испуњени сви услови, „агент Смитх“ покушава да зарази пронађену апликацију.
Основни модул користи једну од следеће две методе да зарази апликацију: декомпилирати или бинарно.
На крају ланца зараза отима апликације угрожених корисника за приказивање огласа.
Према додатним информацијама, апликације за ињекције Агент Смитх се шири путем «9Аппс», независна продавница апликација која првенствено циља индијске (хинди), арапске и индонежанске кориснике.