Các nhà nghiên cứu gần đây đã phát hiện ra một biến thể mới của phần mềm độc hại cho thiết bị di động Nó đã âm thầm lây nhiễm cho khoảng 25 triệu thiết bị mà người dùng không hề hay biết.
Cải trang thành một ứng dụng được liên kết với Google, cốt lõi của phần mềm độc hại khai thác một số lỗ hổng Android đã biết và tự động thay thế các ứng dụng đã cài đặt trên thiết bị bởi các phiên bản độc hại mà không có sự can thiệp của người dùng. Cách tiếp cận này khiến các nhà nghiên cứu đặt tên cho phần mềm độc hại là Agent Smith.
Phần mềm độc hại này hiện đang truy cập tài nguyên thiết bị để hiển thị quảng cáo gian lận và thu được lợi nhuận tài chính. Hoạt động này tương tự với các lỗ hổng trước đó như Gooligan, HummingBad và CopyCat.
Cho đến bây giờ, nạn nhân chính là ở Ấn Độ, mặc dù các nước châu Á khác như Pakistan và Bangladesh cũng bị ảnh hưởng.
Trong một môi trường Android an toàn hơn nhiều, các tác giả của "Đặc vụ Smith" dường như đã chuyển sang chế độ phức tạp hơn liên tục tìm kiếm các lỗ hổng mới, chẳng hạn như Janus, Bundle và Man-in-the-Disk, để tạo ra một quy trình lây nhiễm ba giai đoạn và xây dựng một mạng botnet thu lợi nhuận.
Đặc vụ Smith có lẽ là loại lỗ hổng đầu tiên đã tích hợp tất cả các lỗ hổng này để sử dụng cùng nhau.
Nếu Đặc vụ Smith được sử dụng để thu lợi tài chính thông qua các quảng cáo độc hại, nó có thể dễ dàng bị sử dụng cho các mục đích xâm nhập và có hại hơn nhiều, như ăn cắp ID ngân hàng.
Trên thực tế, khả năng không hiển thị biểu tượng của nó trong trình khởi chạy và bắt chước các ứng dụng phổ biến hiện có trên thiết bị, mang lại cho nó vô số cơ hội làm hỏng thiết bị của người dùng.
Về cuộc tấn công của Đặc vụ Smith
Đặc vụ Smith có ba giai đoạn chính:
- Một ứng dụng tiêm khuyến khích nạn nhân tự nguyện cài đặt nó. Nó chứa một gói dưới dạng các tệp được mã hóa. Các biến thể của ứng dụng tiêm này thường là tiện ích ảnh, trò chơi hoặc ứng dụng dành cho người lớn.
- Ứng dụng tiêm tự động giải mã và cài đặt APK của mã độc chính của nó, sau đó thêm các bản sửa lỗi độc hại vào ứng dụng. Phần mềm độc hại chính thường được ngụy trang dưới dạng chương trình cập nhật của Google, Google Update cho U hoặc "com.google.vending". Biểu tượng phần mềm độc hại chính không xuất hiện trong trình khởi chạy.
- Phần mềm độc hại chính trích xuất danh sách các ứng dụng được cài đặt trên thiết bị. Nếu nó tìm thấy các ứng dụng nằm trong danh sách con mồi của bạn (được mã hóa hoặc gửi bởi máy chủ lệnh và điều khiển), nó sẽ trích xuất APK cơ sở của ứng dụng trên thiết bị, thêm mô-đun và quảng cáo độc hại vào APK, cài đặt lại và thay thế APK ban đầu, như thể đó là một bản cập nhật.
Đặc vụ Smith đóng gói lại các ứng dụng được nhắm mục tiêu ở cấp smali / baksmali. Trong quá trình cài đặt bản cập nhật cuối cùng, nó dựa vào lỗ hổng Janus để vượt qua các cơ chế Android xác minh tính toàn vẹn của APK.
Mô-đun trung tâm
Đặc vụ Smith triển khai mô-đun cốt lõi để lây nhiễm:
Một số lỗ hổng "Bundle" được sử dụng để cài đặt ứng dụng mà nạn nhân không nhận ra.
Lỗ hổng Janus, cho phép hacker thay thế bất kỳ ứng dụng nào bằng phiên bản bị nhiễm.
Mô-đun trung tâm liên hệ với máy chủ chỉ huy và điều khiển để cố gắng lấy danh sách ứng dụng mới để tìm kiếm hoặc trong trường hợp không thành công, sử dụng danh sách các ứng dụng mặc định:
- com.whatsapp
- com.lenovo.anyshare.gps
- com.mxtech.videoplayer.ad
- com.jio.jioplay.tv
- com.jio.media.jiobeats
- com.jiochat.jiochatapp
- com.jio.join
- com.good.gamecollection
- com.opera.mini.native
- in.startv.hotstar
- com.meitu.beautyplusme
- com.domobile.applock
- com.touchtype.swiftkey
- com.flipkart.android
- cn.xender
- com.eterno
- com.truecaller
Mô-đun cốt lõi tìm kiếm phiên bản của từng ứng dụng trong danh sách và mã băm MD5 của nó tương ứng giữa các ứng dụng đã cài đặt và những ứng dụng đang chạy trong không gian người dùng. Khi tất cả các điều kiện được đáp ứng, "Đặc vụ Smith" cố gắng lây nhiễm một ứng dụng được tìm thấy.
Mô-đun lõi sử dụng một trong hai phương pháp sau để lây nhiễm ứng dụng: dịch ngược hoặc nhị phân.
Vào cuối của chuỗi lây nhiễm, nó chiếm quyền điều khiển các ứng dụng của những người dùng bị xâm phạm để hiển thị quảng cáo.
Theo thông tin bổ sung, các ứng dụng tiêm của Đặc vụ Smith đang sinh sôi nảy nở nhờ «9Apps», một cửa hàng ứng dụng của bên thứ ba chủ yếu nhắm mục tiêu đến người dùng Ấn Độ (Hindi), Ả Rập và Indonesia.