Ang Agent Smith isang bagong malware na nakita para sa Android at na nahawa na milyon-milyon

Darkcrizt

4 Minutos

Kamakailan-lamang natuklasan ng mga mananaliksik ang isang bagong pagkakaiba-iba ng malware para sa mga mobile device Tahimik na nahawahan nito ang ilang 25 milyong mga aparato nang hindi napansin ng mga gumagamit.

Nagbalatkayo bilang isang application na nauugnay sa Google, ang core ng malware Sinasamantala ang maraming kilalang kahinaan sa Android at awtomatikong pinapalitan ang mga naka-install na app sa aparato ng mga nakakahamak na bersyon nang walang interbensyon ng gumagamit. Ang pamamaraang ito ay humantong sa mga mananaliksik na pangalanan ang malware Agent Smith.

Ang malware na ito kasalukuyang ina-access ang mga mapagkukunan ng aparato upang magpakita ng mga ad mapanlinlang at makakuha ng kita sa pananalapi. Ang aktibidad na ito ay katulad ng mga nakaraang kahinaan tulad ng Gooligan, HummingBad, at CopyCat.

Hanggang ngayon, ang pangunahing mga biktima ay sa India, bagaman ang iba pang mga bansa sa Asya tulad ng Pakistan at Bangladesh ay naapektuhan din.

Sa isang mas ligtas na kapaligiran sa Android, ang mga may-akda ng "Agent Smith" tila lumipat sa mas kumplikadong mode ng patuloy na maghanap ng mga bagong kahinaan, tulad ng Janus, Bundle, at Man-in-the-Disk, upang lumikha ng isang tatlong yugto na proseso ng Impeksyon at bumuo ng isang botnet na kumikita.

Ang Agent Smith ay marahil ang unang uri ng kamalian na isinama ang lahat ng mga kahinaan na ito para magamit nang sama-sama.

Kung ang Agent Smith ay ginagamit para sa kita sa pananalapi sa pamamagitan ng mga nakakahamak na ad, madali itong magagamit para sa mas mapanghimasok at mapanganib na mga layunin, tulad ng pagnanakaw ng mga ID ng bangko.

Sa katunayan, ang kakayahang hindi ibunyag ang icon nito sa launcher at gayahin ang mayroon nang mga tanyag na application sa isang aparato, binibigyan ito ng hindi mabilang na mga pagkakataon upang makapinsala sa aparato ng gumagamit.

Sa pag-atake ng Agent Smith

Ang Agent Smith ay may tatlong pangunahing mga yugto:

  1. Hinihikayat ng isang aplikasyon ng pag-iniksyon ang isang biktima na kusang-loob itong i-install. Naglalaman ito ng isang pakete sa anyo ng mga naka-encrypt na mga file. Ang mga variant ng injection app na ito ay karaniwang mga kagamitan sa larawan, laro, o pang-nasa hustong gulang na app.
  2. Awtomatikong na-decryp at in-install ng app ng iniksyon ang APK ng pangunahing nakakahamak na code nito, na pagkatapos ay nagdaragdag ng nakakasamang pag-aayos sa mga app. Ang pangunahing malware ay karaniwang nagkubli bilang isang programa sa pag-update ng Google, Google Update para sa U, o "com.google.vending." Ang pangunahing icon ng malware ay hindi lilitaw sa launcher.
  3. Ang pangunahing malware ay kumukuha ng isang listahan ng mga application na naka-install sa aparato. Kung mahahanap nito ang mga application na bahagi ng iyong listahan ng biktima (naka-encode o ipinadala ng command at control server), kumukuha ito ng base APK ng application sa aparato, nagdaragdag ng mga module at nakakahamak na ad sa APK, muling binabago at pinalitan ang orihinal, na para bang isang update.

Inilagay muli ng Agent Smith ang mga naka-target na application sa antas ng smali / baksmali. Sa panahon ng pangwakas na proseso ng pag-install, umaasa ito sa kahinaan ng Janus upang i-bypass ang mga mekanismo ng Android na nagpapatunay sa integridad ng isang APK.

Ang gitnang modyul

Ipinatupad ng Agent Smith ang pangunahing module upang maikalat ang impeksyon:

Ang isang bilang ng mga "Bundle" na kahinaan ay ginagamit upang mag-install ng mga application nang hindi napapansin ng biktima.

Ang kahinaan ng Janus, na nagpapahintulot sa hacker na palitan ang anumang application na may isang nahawaang bersyon.

Nakikipag-ugnay ang gitnang module sa command at control server upang subukang makakuha ng isang bagong listahan ng mga application upang maghanap o kung sakaling mabigo, gumagamit ng isang listahan ng mga default na app:

  • com. whatsapp
  • com.lenovo.anyshare.gps
  • com.mxtech.videoplayer.ad
  • com.jio.jioplay.tv
  • com.jio.media.jiobeats
  • com.jiochat.jiochatapp
  • com.jio.sumali
  • com.good.gamecollection
  • com.opera.mini.native
  • sa.startv.hotstar
  • com.meitu.beautyplusme
  • com.domobile.applock
  • com.touchtype.swiftkey
  • com.flipkart.android
  • cn.ender
  • com.eternal
  • com.trucaller

Ang pangunahing module ay naghahanap ng isang bersyon ng bawat app sa listahan at ang MD5 hash kaukulang sa pagitan ng mga naka-install na application at mga tumatakbo sa puwang ng gumagamit. Kapag natugunan ang lahat ng mga kundisyon, sinusubukan ng "Agent Smith" na mahawahan ang isang nahanap na application.

Gumagamit ang pangunahing module ng isa sa mga sumusunod na dalawang pamamaraan upang mahawahan ang aplikasyon: mabulok o binary.

Sa pagtatapos ng kadena ng mga impeksyon, hijack nito ang mga app ng mga nakompromisong gumagamit upang magpakita ng mga ad.

Ayon sa karagdagang impormasyon ang mga aplikasyon ng iniksyon ng Ang Agent Smith ay dumarami sa pamamagitan ng «9Apps», isang third-party na app store na pangunahing nag-target sa mga gumagamit ng India (Hindi), Arab, at Indonesia.


Iwanan ang iyong puna

Ang iyong email address ay hindi nai-publish. Mga kinakailangang patlang ay minarkahan ng *

*

*

  1. Responsable para sa data: Miguel Ángel Gatón
  2. Layunin ng data: Kontrolin ang SPAM, pamamahala ng komento.
  3. Legitimation: Ang iyong pahintulot
  4. Komunikasyon ng data: Ang data ay hindi maiparating sa mga third party maliban sa ligal na obligasyon.
  5. Imbakan ng data: Ang database na naka-host ng Occentus Networks (EU)
  6. Mga Karapatan: Sa anumang oras maaari mong limitahan, mabawi at tanggalin ang iyong impormasyon.