研究人员最近发现了一种新的恶意软件变体 用于移动设备 它已经悄无声息地感染了大约25万台设备,而没有引起用户的注意。
伪装成与Google相关的应用程序, 恶意软件的核心 利用几个已知的Android漏洞并自动替换已安装的应用 在设备上被恶意版本感染,而无需用户干预。 这种方法导致研究人员将恶意软件命名为Agent Smith。
这个恶意软件 当前正在访问设备资源以展示广告 欺诈并获得经济利益。 此活动类似于以前的漏洞,例如Gooligan,HummingBad和CopyCat。
到目前为止, 主要受害者是印度,尽管其他亚洲国家(如巴基斯坦和孟加拉国)也受到了影响。
在更加安全的Android环境中, “史密斯经纪人” 似乎已经进入了更复杂的模式 不断寻找新的漏洞,例如Janus,Bundle和Man-in-the-Disk,以创建三个阶段的感染过程并建立可盈利的僵尸网络。
Smith Smith代理可能是将所有这些漏洞集成在一起使用的第一类漏洞。
如果Smith Smith代理通过恶意广告牟取经济收益,则很容易将其用于更具侵入性和危害性的目的,例如窃取银行ID。
实际上,它不会在启动器中显示其图标并模仿设备上现有的流行应用程序的能力为其提供了无数机会来破坏用户设备。
关于史密斯特工的攻击
史密斯特工分为三个主要阶段:
- 注射应用程序鼓励受害者自愿安装它。 它包含加密文件形式的软件包。 此注入应用程序的变体通常是照片实用程序,游戏或成人应用程序。
- 注入应用程序会自动解密并安装其核心恶意代码的APK,然后将恶意补丁添加到应用程序中。 主要恶意软件通常伪装成Google更新程序,适用于U的Google Update或“ com.google.vending”。 主恶意软件图标未出现在启动器中。
- 主要恶意软件提取设备上安装的应用程序列表。 如果发现属于猎物列表的应用程序(由命令和控制服务器编码或发送),它将在设备上提取该应用程序的基本APK,向该APK添加模块和恶意广告,重新安装并替换原始的,好像是一个更新。
Smith Smith代理重新打包了smali / baksmali级别的目标应用程序。 在最终更新安装过程中,它依靠Janus漏洞绕过了验证APK完整性的Android机制。
中央模块
Smith Smith代理实施核心模块以传播感染:
使用一系列“捆绑”漏洞来安装应用程序,而无需受害者注意。
Janus漏洞,它使黑客可以用受感染的版本替换任何应用程序。
中央模块与命令和控制服务器联系,以尝试获取要搜索的新应用列表,或者在出现故障的情况下, 使用默认应用列表:
- com.whatsapp
- com.lenovo.anyshare.gps
- com.mxtech.videoplayer.ad
- com.jio.jioplay.tv
- com.jio.media.jiobeats
- com.jiochat.jiochatapp
- com.jio.join
- com.good.gamecollection
- com.opera.mini.native
- in.startv.hotstar
- com.meitu.beautyplusme
- com.domobile.applock
- com.touchtype.swiftkey
- com.flipkart.android
- cn.xender
- com.eterno
- com.truecaller
核心模块在列表中查找每个应用程序的版本及其MD5哈希 在已安装的应用程序和在用户空间中运行的应用程序之间对应。 当满足所有条件时,“ Agent Smith”将尝试感染找到的应用程序。
核心模块使用以下两种方法之一感染应用程序:反编译或二进制。
在感染链的末尾,它劫持了受感染用户的应用程序以展示广告。
根据其他信息,注射应用 史密斯特工正在通过“ 9Apps”激增,主要面向印度(印地语),阿拉伯和印度尼西亚用户的第三方应用商店。