Вирус Agent Smith заразил 25 миллионов устройств под управлением ОС Android



    На днях специалисты по информационной безопасности из организации Check Point обнаружили вредоносное программное обеспечение, которое получило название Agent Smith. Это ПО незаметно для пользователя заражает устройство и заменяет обычное ПО вредоносными клонами, которые показывают большое количество рекламы.

    Сообщается, что большая часть жертв этого ПО находится в Индии, Бангладеш и Пакистане. Есть жертвы и из других стран, включая Россию. Эксперты отследили место создания вредоноса. Как оказалось, разработчиком является некая компания из Китая. Это вполне официальная организация, которая помогает китайским разработчикам продвигать свои приложения. Но, похоже, организация занимается и другими видами деятельности, не совсем «белыми».

    Вредоносное ПО начало распространяться в 2018 году через каталог приложений 9apps.com, который принадлежит китайской Alibaba. По словам специалистов по информационной безопасности, недавно приложения, которые заражены упомянутым вредоносом, стали появляться в каталоге приложений Google Play. Исследователи смогли обнаружить сразу 11 инфицированных приложений — это говорит о том, что, во-первых, кампания была запланирована, во-вторых, что заражений может быть гораздо больше.



    Инфицированные приложения содержали вредоносный компонент, который был замаскирован под SDK. После того, как жертва устанавливала мобильное приложение, вводился в работу этот компонент, который загружал и устанавливал еще один пакет приложений с вредоносом Agent Smith.

    После установки он сканировал уже установленные приложения, после чего заменял их клонами с рекламой. В этой список входят такое ПО, как WhatsApp, Lenovo AnyShare, Opera Mini, Flipkart и TrueCaller. Насколько можно понять, вредонос был направлен на азиатских пользователей, поскольку среди клонов были и приложения, которые популярны в Индии и других странах региона. Но немало пострадавших, например, и в США — здесь количество жертв вируса составляет 300 000, равно, как и в Великобритании — 137 000.

    После анализа вредоноса специалисты заявили, что он разрабатывался профессионалами, поскольку заменить легальное приложение клоном сложно. Для этого нужно использовать уязвимость в Android Janus (CVE-2017-13156), которая дает возможность добавлять контент в APK без нарушения целостности цифровой подписи. Следующий шаг Agent Smith — имитация целевого приложения, с одновременным блокированием будущих обновлений. Это делается для того, чтобы клон приложения не замещался оригиналом при появлении обновления.

    Эксперты считают, что обычный пользователь мало что может сделать для борьбы с вредоносом. Устанавливается он «втихую», никак не тревожит пользователя. Судить о его появлении можно лишь по увеличению количества рекламы в приложениях. Для того, чтобы убедиться в том, что на устройстве нет вредоносных приложений, специалисты советуют проверить список уже установленных аппов и удалить подозрительное ПО.

    Среди тех приложений, на которые стоит обратить внимание в первую очередь — Google Updater, Google Installer for U, Google Powers и Google Installer. Удалить их можно без проблем.
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 11

      +3

      Детали, сестра, детали. Надо ли для работы вируса давать ему "Install unknown apps" permission?

        +1
        Да.
        Once the app has been installed on the phone, the Agent Smith uses permissions given to it by users — and users often say yes to all permissions while installing an app — to modify its name to something that looks more «authentic» like Google Updater or Google Themes or something else with Google in it.
        0
        Какие антивирусы могут определить наличие этого зловреда в системе, а в идеале удалить его? Подозревю, что у меня такая проблема, но перечисленных в статье программ у меня нет.
          0
          В оригинале статьи указано, что SandBlast Mobile позволяет и определить наличие, и предотвратить распространение.
            +1
            SandBlast Mobile, к сожалению, «корпоративное приложение», «приложение для бизнеса». Обладает ли той же функциональностью Zone Alarm той же фирмы пока мне не известно.
          +1
          На днях чистил телефоны от «встроенных приложений», без рутирования через ADB.Взял новый телефон от Xi.....i и старый 2015 от Alco...l. В первом 286 приложений во втором 124.
          Удалить даже через ADB дал только часть.
          Куда уж вирусам до всех этих cloud, weather, note и т.д. и всем доступ ко всему подавай.
          Когда уже страны пойдут по пути Южной Кореи.
            +2
            К сожалению нюансы терминологии очень важны для данной статьи
            Вирус Agent Smith заразил

            Под Андроид нет вирусов. Ну вот вообще нет. Ни одного. Есть трояны. Их пользователь должен установить сам. Что собственно подтверждается текстом
            После того, как жертва устанавливала мобильное приложение

            Соответственно фраза
            приложения, которые заражены упомянутым вредоносом, стали появляться в каталоге приложений

            тоже неверна. Приложения не были заражены вирусом. Их намеренно создали зараженными (этож троян, он не самораспространяется) и намеренно разместили в магазине
            А соответственно и роль разработчика меняется. Они не только создали вредоносный код. Но они видимо и создавали последовательно различные приложения с этим кодом и размещали их в магазине
              0
              Вирусность в том, что он заражает установленные на устройстве APK, а не просто ставит заражённые APK из каталога.

              In the third phase, the core malware conducts attacks against each installed application on device which appears on its target list. The core malware quietly extracts a given innocent application’s APK file, patches it with extra malicious modules and finally abuses a further set of system vulnerabilities to silently swap the innocent version with a malicious one.
                0
                Вредоносная программа сканирует установленное на телефоне ПО в поисках приложений, для которых у нападающих есть дистрибутивы с полезной нагрузкой. Обнаружив их, Agent Smith связывается с командным сервером и загружает на устройство фальшивые обновления.

                Чтобы обойти системы безопасности, злоумышленники используют уязвимость Janus, позволяющую внедрить сторонний скрипт в APK с действительным сертификатом безопасности.
                отсюда
                Тоесть зараженные обновления заранее приготовлены, уязвимость используется для внедрения кода внутрь дистрибутива без нарушения подписи. На устройстве приложения по сути подменяются и для них выключаются обновления — чтобы не перекрылся вредоносный код
                  0
                  Я вам привёл цитату из первоисточника — из блога Check Point; а вы мне — из перевода пересказа.
                    +1
                    Виноватый я. Пришел ответ. Мы оказывается уже писали об этом чуде. Соответственно версия от вирлаба
                    Android.InfectionAds.1 подключается к управляющему серверу и получает от него список программ, которые ему необходимо заразить. Если же соединиться с удаленным центром ему не удалось, он инфицирует приложения, которые указаны в его первоначальных настройках. В зависимости от модификации троянца этот список может содержать различные позиции
                    При заражении программ троянец добавляет свои компоненты в структуру apk-файлов, не изменяя их цифровую подпись. Затем он устанавливает модифицированные версии приложений вместо оригиналов. Поскольку из-за уязвимости цифровая подпись инфицированных файлов остается прежней, программы инсталлируются как их собственные обновления. При этом установка также выполняется с использованием уязвимости EvilParcel без участия пользователя. В результате атакованные программы продолжают нормально работать, но содержат в себе копию Android.InfectionAds.1, которая незаметно функционирует вместе с ними. При заражении приложений троянцу становятся доступны их данные. Например, при инфицировании WhatsApp ― переписка пользователя, а при инфицировании браузера ― сохраненные в нем логины и пароли.

            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

            Самое читаемое