研究人員最近發現了一種新的惡意軟件變體 用於移動設備 它已經悄無聲息地感染了大約25萬台設備,而沒有引起用戶的注意。
偽裝成與Google相關的應用程序, 惡意軟件的核心 利用幾個已知的Android漏洞並自動替換已安裝的應用 在設備上被惡意版本感染,而無需用戶干預。 這種方法導致研究人員將惡意軟件命名為Smith Smith。
這個惡意軟件 當前正在訪問設備資源以展示廣告 欺詐並獲得經濟利益。 此活動類似於以前的漏洞,例如Gooligan,HummingBad和CopyCat。
到現在為止, 主要受害者是印度,儘管其他亞洲國家(如巴基斯坦和孟加拉國)也受到了影響。
在更加安全的Android環境中, “史密斯經紀人” 似乎已經進入了更複雜的模式 不斷尋找新的漏洞,例如Janus,Bundle和Man-in-the-Disk,以創建三個階段的感染過程並建立營利性殭屍網絡。
Smith Smith代理可能是將所有這些漏洞集成在一起使用的第一類漏洞。
如果Smith Smith代理人通過惡意廣告牟取金錢收益,則很容易將其用於更具侵入性和危害性的目的,例如竊取銀行ID。
實際上,它不會在啟動器中顯示其圖標並模仿設備上流行的應用程序的能力為其提供了無數機會損壞用戶的設備。
關於史密斯特工的攻擊
史密斯特工分為三個主要階段:
- 注射應用程序鼓勵受害者自願安裝它。 它包含加密文件形式的軟件包。 此註入應用程序的變體通常是照片實用程序,遊戲或成人應用程序。
- 注入應用程序會自動解密並安裝其核心惡意代碼的APK,然後將惡意補丁添加到應用程序中。 主要惡意軟件通常偽裝成Google更新程序,適用於U的Google Update或“ com.google.vending”。 主惡意軟件圖標未出現在啟動器中。
- 主要惡意軟件提取設備上安裝的應用程序列表。 如果發現屬於獵物列表的應用程序(由命令和控制服務器編碼或發送),它將在設備上提取該應用程序的基本APK,向該APK添加模塊和惡意廣告,重新安裝並替換原始的,好像是一個更新。
Smith Smith代理重新打包了smali / baksmali級別的目標應用程序。 在最終更新安裝過程中,它依靠Janus漏洞繞過了驗證APK完整性的Android機制。
中央模塊
Smith Smith代理實施核心模塊以傳播感染:
許多“捆綁”漏洞用於安裝應用程序,而無需受害者註意。
Janus漏洞,它使黑客可以用受感染的版本替換任何應用程序。
中央模塊與命令和控制服務器聯繫,以嘗試獲取要搜索的新應用列表,或者在出現故障的情況下, 使用默認應用列表:
- com.whatsapp
- com.lenovo.anyshare.gps
- com.mxtech.videoplayer.ad
- com.jio.jioplay.tv
- com.jio.media.jiobeats
- com.jiochat.jiochatapp
- com.jio.join
- com.good.gamecollection
- com.opera.mini.native
- 在.startv.hotstar
- 美圖網beautyplusme
- com.domobile.applock
- com.touchtype.swiftkey
- com.flipkart.android
- cn.xender
- com.eterno
- com.truecaller
核心模塊在列表中查找每個應用程序的版本及其MD5哈希 在已安裝的應用程序和在用戶空間中運行的應用程序之間對應。 當滿足所有條件時,“ Agent Smith”將嘗試感染找到的應用程序。
核心模塊使用以下兩種方法之一感染應用程序:反編譯或二進制。
在感染鏈的末尾,它劫持了受感染用戶的應用程序以展示廣告。
根據其他信息,注射應用 史密斯特工正在通過“ 9Apps”激增,主要面向印度(印地語),阿拉伯和印度尼西亞用戶的第三方應用商店。