Ένα νέο malware, που ανακαλύφθηκε από ερευνητές ασφαλείας, στοχεύει συσκευές Android, αντικαθιστώντας τις νόμιμες εφαρμογές με ψεύτικα αντίγραφά τους και προωθεί δικές του διαφημίσεις ή αλλάζει έγκυρες διαφημίσεις.
Μέχρι στιγμής, το malware που βρίσκεται σε ανεπίσημα app stores, έχει μολύνει περίπου 25 εκατομμύρια συσκευές και οι ερευνητές που το ανακάλυψαν του έδωσαν την ονομασία «Agent Smith».
Τα θύματα συνήθως προσελκύονται από εφαρμογές φωτογραφιών, παιχνίδια ή εφαρμογές ενηλίκων, που φέρουν ένα κακόβουλο λογισμικό. Μόλις όμως τις κατεβάσουν στη συσκευή τους, οι εφαρμογές εγκαθιστούν το Agent Smith.
Το malware προσπαθεί να αποκρύψει την παρουσία του, μεταμφιέζοντας τον εαυτό του ως βοηθητικό πρόγραμμα Google – Google Updater, Google Update για U ή “com.google.vending”, και αποκρύπτοντας το εικονίδιό του από το χρήστη.
Στη συνέχεια, το malware αναζητά εφαρμογές στη συσκευή, που βρίσκονται επίσης σε μια λίστα που είναι είτε hardcoded είτε έχουν ληφθεί από τον command and control server (C2).
Όταν εντοπίσει την κατάλληλη εφαρμογή, το Agent Smith εξάγει το βασικό APK και προωθεί μια ενότητα κακόβουλων διαφημίσεων. Στη συνέχεια, αντικαθιστά την αρχική εφαρμογή με την παραποιημένη.
Για να ολοκληρωθεί η διαδικασία εγκατάστασης ενημερώσεων, το κακόβουλο λογισμικό εκμεταλλεύεται την ευπάθεια Janus, η οποία επιτρέπει την παράκαμψη των επαληθεύσεων μιας εφαρμογής και την προσθήκη αυθαίρετου κώδικα σε αυτήν.
Τελικά αυτό που θα δει ο χρήστης, είναι μία φαινομενικά αθώα διαφήμιση. Επιπλέον, ακόμη και οι διαφημίσεις της αρχικής εφαρμογής επιφέρουν κέρδη στους κακόβουλους παράγοντες, καθώς το malware μπορεί να τις αλλάξει και να τις χρησιμοποιήσει προς όφελός του.
Οι ερευνητές του Check Point έχουν διαπιστώσει ότι το Agent Smith χρησιμοποιείται μόνο για την προώθηση διαφημίσεων, αλλά λένε ότι οι φορείς εκμετάλλευσης μπορούν να το χρησιμοποιήσουν και για πιο κακόβουλους σκοπούς, όπως η κλοπή τραπεζικών διαπιστευτηρίων.
Το malware ανακαλύφθηκε σε δημοφιλή καταστήματα εφαρμογών τρίτων, όπως το 9Apps, το οποίο εξυπηρετεί κυρίως τους χρήστες ινδικών, αραβικών και ινδονησιακών χωρών. Εντούτοις, περιστατικά παρατηρήθηκαν επίσης σε συσκευές στη Σαουδική Αραβία (245k), την Αυστραλία (141k), το Ηνωμένο Βασίλειο (137k) και τις ΗΠΑ (303k).
Η λίστα των εφαρμογών Android που έχουν επηρεαστεί από το malware περιλαμβάνει:
- com.whatsapp
- com.lenovo.anyshare.gps
- com.mxtech.videoplayer.ad
- com.jio.jioplay.tv
- com.jio.media.jiobeats
- com.jiochat.jiochatapp
- com.jio.join
- com.good.gamecollection
- com.opera.mini.native
- in.startv.hotstar
- com.meitu.beautyplusme
- com.domobile.applock
- com.touchtype.swiftkey
- com.flipkart.android
- cn.xender
- com.eterno
- com.truecaller
Το malware δεν περιορίζεται μόνο στο να μολύνει απλά μία εφαρμογή, αλλά αντικαθιστά οποιαδήποτε και όσες εφαρμογές βρίσκονται στη λίστα στόχων του.
Μεταξύ Μαΐου 2018 και Απριλίου 2019, οι φορείς εκμετάλλευσης άρχισαν να δοκιμάζουν τη δυνατότητα να θέσουν σε κίνδυνο τις νόμιμες εφαρμογές και να προωθήσουν την εκστρατεία μέσω ενημερώσεων, καθώς και μεταφέροντας την υποδομή σε υπηρεσίες cloud AWS.
Φαίνεται ότι οι δημιουργοί του Agent Smith προσπαθούσαν να μεταβούν και στο επίσημο κατάστημα Android, καθώς οι ερευνητές βρήκαν 11 εφαρμογές στο Google Play Store, που περιλάμβαναν “ένα κακόβουλο αλλά αδρανές SDK που σχετίζεται με τον παράγοντα “Agent Smith”. Οι ερευνητές ειδοποίησαν άμεσα την Google και οι κακόβουλες εφαρμογές καταργήθηκαν.
