นักวิจัยเพิ่งค้นพบมัลแวร์รูปแบบใหม่ สำหรับอุปกรณ์มือถือ มีการติดเชื้ออย่างเงียบ ๆ ประมาณ 25 ล้านเครื่องโดยที่ผู้ใช้ไม่สังเกตเห็น
ปลอมตัวเป็นแอปพลิเคชันที่เกี่ยวข้องกับ Google แกนกลางของมัลแวร์ ใช้ประโยชน์จากช่องโหว่ของ Android ที่เป็นที่รู้จักและแทนที่แอปที่ติดตั้งโดยอัตโนมัติ บนอุปกรณ์โดยเวอร์ชันที่เป็นอันตรายโดยไม่มีการแทรกแซงของผู้ใช้ วิธีนี้ทำให้นักวิจัยตั้งชื่อมัลแวร์ Agent Smith
มัลแวร์นี้ กำลังเข้าถึงทรัพยากรอุปกรณ์เพื่อแสดงโฆษณา ฉ้อโกงและได้รับผลประโยชน์ทางการเงิน กิจกรรมนี้คล้ายกับช่องโหว่ก่อนหน้านี้เช่น Gooligan, HummingBad และ CopyCat
จนถึงตอนนี้ เหยื่อรายใหญ่อยู่ในอินเดียแม้ว่าประเทศในเอเชียอื่น ๆ เช่นปากีสถานและบังกลาเทศก็ได้รับผลกระทบเช่นกัน
ในสภาพแวดล้อม Android ที่ปลอดภัยมากขึ้นผู้เขียนของ “ ตัวแทนสมิ ธ ” ดูเหมือนว่าจะย้ายเข้าสู่โหมดที่ซับซ้อนมากขึ้นของ มองหาช่องโหว่ใหม่ ๆ อยู่เสมอเช่น Janus, Bundle และ Man-in-the-Diskเพื่อสร้างกระบวนการ Infection สามขั้นตอนและสร้างบ็อตเน็ตที่ทำกำไร
Agent Smith น่าจะเป็นข้อบกพร่องประเภทแรกที่รวมเอาช่องโหว่เหล่านี้ทั้งหมดมาใช้ร่วมกัน
หาก Agent Smith ถูกใช้เพื่อผลประโยชน์ทางการเงินผ่านโฆษณาที่เป็นอันตรายก็สามารถใช้เพื่อวัตถุประสงค์ที่ล่วงล้ำและเป็นอันตรายได้ง่ายขึ้นเช่นการขโมยรหัสธนาคาร
ในความเป็นจริงความสามารถในการไม่เปิดเผยไอคอนในตัวเรียกใช้งานและการเลียนแบบแอปพลิเคชันยอดนิยมที่มีอยู่บนอุปกรณ์ทำให้มีโอกาสมากมายที่จะทำให้อุปกรณ์ของผู้ใช้เสียหาย
ในการโจมตี Agent Smith
Agent Smith มีสามขั้นตอนหลัก:
- โปรแกรมฉีดกระตุ้นให้เหยื่อติดตั้งโดยสมัครใจ ประกอบด้วยแพคเกจในรูปแบบของไฟล์เข้ารหัส รูปแบบต่างๆของแอพฉีดนี้มักจะเป็นยูทิลิตี้รูปภาพเกมหรือแอพสำหรับผู้ใหญ่
- แอป injection จะถอดรหัสและติดตั้ง APK ของรหัสที่เป็นอันตรายหลักโดยอัตโนมัติซึ่งจะเพิ่มการแก้ไขที่เป็นอันตรายให้กับแอป โดยปกติแล้วมัลแวร์หลักจะปลอมตัวเป็นโปรแกรมอัปเดตของ Google, Google Update for U หรือ "com.google.vending" ไอคอนมัลแวร์หลักไม่ปรากฏในตัวเรียกใช้งาน
- มัลแวร์หลักจะดึงรายชื่อแอปพลิเคชันที่ติดตั้งในอุปกรณ์ หากพบแอปพลิเคชันที่เป็นส่วนหนึ่งของรายการเหยื่อของคุณ (เข้ารหัสหรือส่งโดยคำสั่งและเซิร์ฟเวอร์ควบคุม) จะแยก APK พื้นฐานของแอปพลิเคชันบนอุปกรณ์เพิ่มโมดูลและโฆษณาที่เป็นอันตรายลงใน APK ติดตั้งใหม่และแทนที่ไฟล์เดิม ราวกับว่าเป็นการอัปเดต
Agent Smith จัดแพ็กเกจแอปพลิเคชันเป้าหมายในระดับ smali / baksmali ในระหว่างขั้นตอนการติดตั้งการอัปเดตขั้นสุดท้ายจะอาศัยช่องโหว่ของ Janus เพื่อข้ามกลไกของ Android ที่ตรวจสอบความสมบูรณ์ของ APK
โมดูลกลาง
Agent Smith ใช้โมดูลหลักเพื่อแพร่กระจายการติดเชื้อ:
ช่องโหว่ "Bundle" จำนวนหนึ่งถูกใช้เพื่อติดตั้งแอปพลิเคชันโดยที่เหยื่อไม่สังเกตเห็น
ช่องโหว่ของ Janus ซึ่งทำให้แฮ็กเกอร์สามารถแทนที่แอปพลิเคชันใด ๆ ด้วยเวอร์ชันที่ติดไวรัสได้
โมดูลกลางจะติดต่อกับคำสั่งและเซิร์ฟเวอร์ควบคุมเพื่อพยายามรับรายการแอปพลิเคชันใหม่เพื่อค้นหาหรือในกรณีที่เกิดความล้มเหลว ใช้รายการแอปเริ่มต้น:
- com.whatsapp
- com.lenovo.anyshare.gps
- com.mxtech.videoplayer.ad
- com.jio.jioplay.tv
- com.jio.media.jiobeats
- com.jiochat.jiochatapp
- com.jio.join
- com.good.gamecollection
- com.opera.mini.native
- ใน
- com.meitu.beautyplusme
- com.domobile.applock
- com.touchtype.swiftkey
- com.flipkart.android
- cn.xender
- com.eterno
- com.truecaller
โมดูลหลักจะค้นหาเวอร์ชันของแต่ละแอปในรายการและแฮช MD5 สอดคล้องกันระหว่างแอปพลิเคชันที่ติดตั้งและแอปพลิเคชันที่ทำงานในพื้นที่ผู้ใช้ เมื่อตรงตามเงื่อนไขทั้งหมด "Agent Smith" จะพยายามติดไวรัสแอปพลิเคชันที่พบ
โมดูลหลักใช้หนึ่งในสองวิธีต่อไปนี้เพื่อทำให้แอปพลิเคชันติดไวรัส: ถอดรหัสหรือไบนารี
ในตอนท้ายของห่วงโซ่การติดเชื้อจะไฮแจ็คแอปของผู้ใช้ที่บุกรุกเพื่อแสดงโฆษณา
ตามข้อมูลเพิ่มเติมการใช้งานการฉีดของ Agent Smith กำลังแพร่หลายผ่าน« 9Apps »ซึ่งเป็นร้านค้าแอปของบุคคลที่สามโดยมีเป้าหมายหลักเป็นผู้ใช้ชาวอินเดีย (ฮินดี) อาหรับและชาวอินโดนีเซีย