W nowym szkodliwym programie, atakującym smartfony z Androidem, podoba mi się nazwa. „Agent Smith” zainfekował już 25 milionów smartfonów, z czego 15 mln – w samych Indiach.
Malware „Agent Smith” został odkryty przez specjalistów z firmy Check Point. To oni wpadli na pomysł, by nazwać go na cześć jednej z postaci z trylogii filmowej Matrix. Program wykorzystuje znane słabości systemu Android i podmienia prawdziwe aplikacje, zainstalowane przez użytkownika na ich własne wersje. Innymi słowy – samoreplikuje się, i robi to bez ingerencji użytkownika.
Interesujące jest to, że złośliwe oprogramowanie nie kradnie danych właściciela urządzenia, a zamiast tego zmusza zaatakowane aplikacje do wyświetlania większej liczny reklam. Ponadto wykorzystuje takie ich zestawy, które pozwalają twórcy malware’u czerpać korzyści finansowe z dodatkowych wyświetleń i kliknięć.
Według Check Point, „Agent Smith” szuka znanych aplikacji na smartfonie, takich jak WhatsApp, Opera Mini czy Flipkart, a następnie zastępuje część ich kodu – również po to, by uniemożliwić ich zdalną aktualizację.
Trop pochodzenia złośliwego programu prowadzi do zewnętrznego sklepu z aplikacjami o nazwie 9Apps. Malware ukryty był w „ledwo funkcjonującym narzędziu do wyszukiwania zdjęć, gier i aplikacji związanych z seksem”. Gdy tylko użytkownik pobierze zainfekowaną aplikację, „Agent Smith” podszywa się pod program, którego nazwa sugeruje powiązanie z Google – „Google Updater”. Następnie rozpoczyna się proces zastępowania kodu normalnych aplikacji zainstalowanych na smartfonie.
Najwięcej zainfekowanych urządzeń działa w Indiach – dotyczy to 15 milionów smartfonów i tabletów z Androidem. W Stanach Zjednoczonych naliczono 300000 takich przypadków. „Agent Smith” próbował wedrzeć się także do Google Play, ale systemy bezpieczeństwa sklepu zareagowały poprawnie, i usunęły 11 aplikacji z prostszą wersją złośliwego oprogramowania na pokładzie.
Co ciekawe, luka, która pozwoliła „Agentowi Smithowi” przejąć aplikacje, została już kilka lat temu załatana na Androidzie. Google zalecił deweloperom zaktualizowanie swoich programów, ale tylko nieliczni to zrobili.
źródło: CheckPoint przez Tech2
