Агент Сміт виявив нову шкідливу програму для Android, яка вже заразила мільйони

Darkcrizt

4 хвилин

Нещодавно дослідники виявили новий варіант шкідливого програмного забезпечення для мобільних пристроїв Він мовчки заразив близько 25 мільйонів пристроїв, не помітивши цього користувачі.

Маскується як програма, пов’язана з Google, ядро шкідливого програмного забезпечення використовує кілька відомих вразливостей Android і автоматично замінює встановлені програми на пристрої шкідливими версіями без втручання користувача. Цей підхід змусив дослідників назвати зловмисного програмного агента Смітом.

Це шкідливе програмне забезпечення наразі отримує доступ до ресурсів пристрою для показу оголошень шахрайські та отримати фінансову вигоду. Ця діяльність схожа на попередні вразливості, такі як Gooligan, HummingBad та CopyCat.

До цих пір основні жертви - в Індії, хоча постраждали й інші азіатські країни, такі як Пакистан та Бангладеш.

У набагато більш захищеному середовищі Android автори "Агент Сміт" здається, перейшов у більш складний режим постійно шукати нові уразливості, такі як Janus, Bundle та Man-in-the-Disk, створити триступеневий процес зараження та побудувати прибутковий ботнет.

Агент Сміт - це, мабуть, перший тип вади, який інтегрував усі ці вразливості для використання разом.

Якщо агента Сміта використовувати для отримання фінансової вигоди через шкідливу рекламу, його можна було б використовувати для набагато більш нав'язливих та шкідливих цілей, таких як викрадення банківських ідентифікаторів.

Насправді, його здатність не розкривати свою піктограму в панелі запуску та імітувати популярні програми, що існують на пристрої, надає їй незліченні можливості пошкодити пристрій користувача.

На атаку агента Сміта

Агент Сміт має три основні фази:

  1. Застосування ін’єкції спонукає потерпілого добровільно встановити його. Він містить пакет у вигляді зашифрованих файлів. Варіанти цього додатка для ін’єкцій - це, як правило, утиліти для фотографій, ігри чи програми для дорослих.
  2. Додаток для ін’єкцій автоматично розшифровує та встановлює APK свого основного шкідливого коду, який потім додає шкідливі виправлення до програм. Основне зловмисне програмне забезпечення зазвичай маскується під програму оновлення Google, Google Update for U або "com.google.vending". Основна піктограма зловмисного програмного забезпечення не відображається в панелі запуску.
  3. Основна шкідлива програма витягує список програм, встановлених на пристрої. Якщо він знаходить додатки, які є частиною вашого списку видобутку (закодовані або надіслані сервером команд та керування), витягніть базовий APK програми на пристрої, додайте шкідливі модулі та рекламу до APK, переінсталюйте та замініть оригінал ніби це оновлення.

Агент Сміт перепаковує цільові програми на рівні smali / baksmali. Під час остаточного процесу встановлення оновлення він покладається на вразливість Janus, щоб обійти механізми Android, які перевіряють цілісність APK.

Центральний модуль

Агент Сміт реалізує основний модуль для розповсюдження інфекції:

Серія вразливостей "Bundle" використовується для встановлення додатків, не помічаючи жертви.

Уразливість Janus, яка дозволяє хакеру замінити будь-яку програму на інфіковану версію.

Центральний модуль зв'язується з сервером команд та управління, щоб спробувати отримати новий список програм для пошуку або у випадку відмови, використовує список програм за замовчуванням:

  • com.whatsapp
  • com.lenovo.anyshare.gps
  • com.mxtech.videoplayer.ad
  • com.jio.jioplay.tv
  • com.jio.media.jiobeats
  • com.jiochat.jiochatapp
  • com.jio.join
  • com.good.gamecollection
  • com.opera.mini.native
  • in.startv.hotstar
  • com.meitu.beautyplusme
  • com.domobile.applock
  • com.touchtype.swiftkey
  • com.flipkart.android
  • cn.xender
  • com.eternal
  • com.truecaller

Основний модуль шукає версію кожної програми у списку та її хеш MD5 що відповідає між встановленими програмами та тими, що працюють у просторі користувача. Коли всі умови виконуються, "Агент Сміт" намагається заразити знайдене додаток.

Основний модуль використовує один із наступних двох методів зараження програми: декомпілювати або двійковий.

В кінці ланцюжка заражень він викрадає програми зловживаних користувачів для показу реклами.

Відповідно до додаткової інформації, ін'єкційні програми Агент Сміт розповсюджується через «9Apps», сторонній магазин додатків, націлений переважно на користувачів Індії (хінді), арабських та індонезійських країн.


Залиште свій коментар

Ваша електронна адреса не буде опублікований. Обов'язкові для заповнення поля позначені *

*

*

  1. Відповідальний за дані: Мігель Анхель Гатон
  2. Призначення даних: Контроль спаму, управління коментарями.
  3. Легітимація: Ваша згода
  4. Передача даних: Дані не передаватимуться третім особам, за винятком юридичних зобов’язань.
  5. Зберігання даних: База даних, розміщена в мережі Occentus Networks (ЄС)
  6. Права: Ви можете будь-коли обмежити, відновити та видалити свою інформацію.