Trazi

25 miliona Android uređaja zaraženo malverom Agent Smith

Opisi virusa, 11.07.2019, 03:00 AM

25 miliona Android uređaja zaraženo malverom Agent Smith

Istraživači iz firme Check Point otkrili su novi malver za Android uređaje koji je nazvan "Agent Smith". Agent Smith je neprimetno zarazio oko 25 miliona uređaja, nakon što su korisnici instalirali aplikaciju iz nezvanične prodavnice Android aplikacija.

Žrtve su namamljene dropper aplikacijom iz prodavnice aplikacija 9Apps. Dropperi su obično maskirani u besplatne igre, uslužne ili pornografske aplikacije koje sadrže kriptovani malver. Kada se nađe na uređaju, aplikacija koja služi kao mamac dešifruje i instalira Agent Smith malver.

Zlonamerni softver pokušava da sakrije svoje prisustvo tako što se predstavlja kao Googleov uslužni program.

U sledećoj fazi, zlonamerni program proverava aplikacije na uređaju koje su na listi koja je ili hardkodirana ili dobijena sa komandno-kontrolnog servera (C2).

Kada pronađe na uređaju popularnu aplikaciju koja se nalazi na njegovoj listi, Agent Smith će praktično napasti tu aplikaciju.

Dropper aplikacija dešifruje maliciozni kod u APK koji je ključni deo “Agent Smith napada”. Dropper iskorišćava nekoliko poznatih sistemskih ranjivosti da bi instalirao malver bez interakcije korisnika.

U sledećoj fazi napada, malver napada svaku aplikaciju na uređaju koja se nalazi na njegovom spisku. Zatim ekstrahuje APK fajl originalne aplikacije, i dodaje maliciozne module, i zatim koristi niz sistemskih ranjivosti da bi krišom zamenio originalnu verziju aplikacije malicioznom.

Rezultat toga je da će korisnik Androida videti naizgled bezazlene aplikacije koje prikazuju reklame. Štaviše, sajber-kriminalci će zaraditi i od reklama originalne aplikacije.

Istraživači iz Check Pointa kažu da se za sada Agent Smith koristio samo za prikazivanje reklama, ali da ga sajber-kriminalci mogu iskoristiti i u gore svrhe, kao što je krađa podataka za prijavljivanje na bankovni račun ili prisluškivanje korisnika.

"Zbog sposobnosti da sakrije svoju ikonu i imitira bilo koje postojeće popularne aplikacije na uređaju, postoje beskrajne mogućnosti za ovu vrstu zlonamernog softvera da naudi korisničkom uređaju", kažu iz Check Pointa.

Agent Smith je vrebao korisnike iz prodavnice aplikacija 9Apps, koja je popularna među indijskim i indonezijskim korisnicima. Međutim, infekcije su takođe viđene na uređajima u Saudijskoj Arabiji, Australiji, Velikoj Britaniji i SAD.

Najveći broj inficiranih uređaja je u Indiji (preko 15 miliona), zatim u Bangladešu (preko 2,5 miliona) i Pakistanu (skoro 1,7 miliona). Indonezija je zauzela četvrto mesto sa oko 570000 inficiranih uređaja.

Na spisku ciljanih Android aplikacija koje su hardkodirane u malveru su:

• com.whatsapp

• com.lenovo.anyshare.gps

• com.mxtech.videoplayer.ad

• com.jio.jioplay.tv

• com.jio.media.jiobeats

• com.jiochat.jiochatapp

• com.jio.join

• com.good.gamecollection

• com.opera.mini.native

• in.startv.hotstar

• com.meitu.beautyplusme

• com.domobile.applock

• com.touchtype.swiftkey

• com.flipkart.android

• cn.xender

• com.eterno

• com.truecaller

Ova lista se koristi kada Agent Smith ne može da kontaktira C2 i preuzme ažuriranu verziju.

Malver se ne ograničava na infekciju samo jedne aplikacije, on će zameniti sve koje su na listi ciljeva. Inficirani uređaj će biti ponovo pregledan kroz neko vreme i dobiće najnovija maliciozna ažuriranja, kažu istraživači.

"To nas je navelo da procenimo da ima ukupno preko 2,8 milijardi infekcija, na oko 25 miliona jedinstvenih uređaja, što znači da je u proseku svaka žrtva pretrpela otprilike 112 zamena legitimnih aplikacija", kažu iz Check Pointa.

Kako kažu istraživači, od 2016. oni koji stoje iza Agent Smitha testirali su prodavnicu 9Apps kao kanal za distribuciju i objavili brojne aplikacije koje bi služile kao dropperi.

Od maja 2018. do aprila 2019. godine, sajber-kriminalci su počeli da isprobavaju mogućnost kompromitovanja legitimnih aplikacija.

Izgleda da su pokušavali da uđu i u zvaničnu Android prodavnicu, jer su istraživači pronašli 11 aplikacija u Google Play prodavnici koje su uključivale zlonamerni, ali "uspavani" SDK koji je povezan sa Agent Smithom. Istraživači su obavestili Google o tome i ove aplikacije su uklonjene.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Nevidljivi špijun: Remcos RAT

Nevidljivi špijun: Remcos RAT

Stručnjaci za sajber bezbednost upozoravaju na nagli porast sajber napada u kojima se koristi Remcos, trojanac za daljinski pristup (RAT). Malver, ko... Dalje

Popularna platforma se zloupotrebljava za širenje malvera

Popularna platforma se zloupotrebljava za širenje malvera

Godot Engine, popularna platforma za razvoj igara koja omogućava korisnicima da dizajniraju 2D i 3D igre na različitim platformama, uključujući ... Dalje

Hakeri koriste Excel fajlove za širenje opasnog trojanca Remcos RAT

Hakeri koriste Excel fajlove za širenje opasnog trojanca Remcos RAT

Istraživači sajber bezbednosti FortiGuard Labsa otkrili su opasnu phishing kampanju koja distribuira novu varijantu malvera Remcos RAT (Remote Acces... Dalje

Novi malver SteelFox sakriven u programima za nelegalnu aktivaciju softvera

Novi malver SteelFox sakriven u programima za nelegalnu aktivaciju softvera

Kaspersky upozorava na novi crimeware pod nazivom SteelFox koji rudari kriptovalute i krade podatke o kreditnim karticama koristeći tehniku „b... Dalje

Novi opasni malver WarmCookie krije se u linkovima i prilozima u emailovima

Novi opasni malver WarmCookie krije se u linkovima i prilozima u emailovima

Istraživači sajber bezbednosti iz kompanije Cisco Talos upozorili su na novi malver pod nazivom WarmCookie, takođe poznat kao BadSpace, koji se ši... Dalje

Prijatelji

besplatni programi za windows android ios linux testovi uputstva
IT Vesti
Jeftini proizvodi
Baguje.com

© 2017. SINGI Inzenjering. Sva prava zadržana. Privacy Policy

Developed by MyCity, designed by Spundo.