Araştırmacılar yakın zamanda yeni bir kötü amaçlı yazılım türü keşfettiler mobil cihazlar için 25 milyon cihaza, kullanıcılar fark etmeden sessizce bulaştı.
Google ile ilişkilendirilmiş bir uygulama kılığında, kötü amaçlı yazılımın özü Bilinen birkaç Android güvenlik açığından yararlanır ve yüklü uygulamaları otomatik olarak değiştirir kullanıcı müdahalesi olmadan kötü niyetli sürümler tarafından cihazda. Bu yaklaşım, araştırmacıların kötü amaçlı yazılımı Agent Smith olarak adlandırmasına yol açtı.
Bu kötü amaçlı yazılım şu anda reklamları görüntülemek için cihaz kaynaklarına erişiyor dolandırıcılık ve mali kazanç elde etme. Bu etkinlik, Gooligan, HummingBad ve CopyCat gibi önceki güvenlik açıklarına benzer.
Şimdiye kadar Pakistan ve Bangladeş gibi diğer Asya ülkeleri de etkilenmiş olsa da, ana kurbanlar Hindistan'da.
Çok daha güvenli bir Android ortamında, yazarları "Ajan Smith" daha karmaşık moda geçmiş gibi görünüyor Janus, Bundle ve Man-in-the-Disk gibi yeni güvenlik açıklarını sürekli aramak, üç aşamalı bir Enfeksiyon süreci oluşturmak ve kar sağlayan bir botnet oluşturmak için.
Ajan Smith, muhtemelen tüm bu güvenlik açıklarını birlikte kullanım için entegre eden ilk kusur türüdür.
Agent Smith, kötü amaçlı reklamlar aracılığıyla finansal kazanç sağlamak için kullanılırsa, banka kimliklerini çalmak gibi çok daha müdahaleci ve zararlı amaçlar için kolayca kullanılabilir.
Aslında, başlatıcıdaki simgesini göstermeme ve bir cihazda bulunan popüler uygulamaları taklit etme yeteneği, kullanıcının cihazına zarar vermek için sayısız fırsat sunar.
Agent Smith saldırısında
Ajan Smith'in üç ana aşaması vardır:
- Enjeksiyon uygulaması, mağduru kendi isteğiyle kurmaya teşvik eder. Şifrelenmiş dosyalar biçiminde bir paket içerir. Bu enjeksiyon uygulamasının çeşitleri genellikle fotoğraf yardımcı programları, oyunlar veya yetişkin uygulamalarıdır.
- Enjeksiyon uygulaması, çekirdek kötü amaçlı kodunun APK'sını otomatik olarak çözer ve yükler, ardından uygulamalara kötü amaçlı düzeltmeler ekler. Ana kötü amaçlı yazılım genellikle bir Google güncelleme programı, U için Google Güncelleme veya "com.google.vending" olarak gizlenir. Başlatıcıda ana kötü amaçlı yazılım simgesi görünmüyor.
- Ana kötü amaçlı yazılım, cihazda yüklü uygulamaların bir listesini çıkarır. Av listenizin parçası olan (kodlanmış veya komut ve kontrol sunucusu tarafından gönderilen) uygulamalar bulursa, cihazdaki uygulamanın temel APK'sını çıkarır, APK'ya modüller ve zararlı reklamlar ekler, orijinali yeniden yükler ve değiştirir, sanki bir güncellememiş gibi.
Agent Smith, hedeflenen uygulamaları smali / baksmali düzeyinde yeniden paketler. Son güncelleme yükleme işlemi sırasında, bir APK'nin bütünlüğünü doğrulayan Android mekanizmalarını atlamak için Janus güvenlik açığından yararlanır.
Merkezi modül
Agent Smith, enfeksiyonu yaymak için temel modülü uygular:
Kurban fark etmeden uygulamaları yüklemek için bir dizi "Paket" güvenlik açığı kullanılır.
Bilgisayar korsanının herhangi bir uygulamayı virüslü bir sürümle değiştirmesine olanak tanıyan Janus güvenlik açığı.
Merkezi modül, aranacak veya arıza durumunda yeni bir uygulama listesi almaya çalışmak için komuta ve kontrol sunucusuyla iletişim kurar, varsayılan uygulamaların bir listesini kullanır:
- com.whatsapp
- com.lenovo.anyshare.gps
- com.mxtech.videoplayer.ad
- com.jio.jioplay.tv
- com.jio.media.jiobeats
- com.jiochat.jiochatapp
- com.jio.join
- com.good.gamecollection
- com.opera.mini.native
- in.startv.hotstar
- com.meitu.beautyplusme
- com.domobile.applock
- com.touchtype.swiftkey
- com.flipkart.android
- cn.xender
- com.eternal
- com.truecaller
Çekirdek modül, listedeki her uygulamanın bir sürümünü ve MD5 karmasını arar yüklü uygulamalar ve kullanıcı alanında çalışanlar arasında karşılık gelen. Tüm koşullar karşılandığında, "Agent Smith" bulunan bir uygulamaya bulaşmaya çalışır.
Çekirdek modül, uygulamayı etkilemek için aşağıdaki iki yöntemden birini kullanır: derlemeyi çözme veya ikili.
Bulaşma zincirinin sonunda, reklamları görüntülemek için güvenliği ihlal edilmiş kullanıcıların uygulamalarını ele geçirir.
Ek bilgilere göre enjeksiyon uygulamaları Ajan Smith, "9Uygulamalar" aracılığıyla çoğalıyor, esas olarak Hintli (Hintçe), Arap ve Endonezyalı kullanıcıları hedefleyen bir üçüncü taraf uygulama mağazası.