ИБ-исследователи обнаружили ранее неизвестный Android-зловред, который устанавливает на скомпрометированное устройство приложения для демонстрации нежелательной рекламы. Программа, получившая название Agent Smith, заразила не менее 25 млн смартфонов в Индии, Пакистане и других странах Азии, а ее командные серверы находятся в Китае.
Установщик вредоносного ПО попадает на целевое устройство под видом графического редактора, игры или порнографического приложения из репозитория 9App. Он, в свою очередь, ориентирован на посетителей, говорящих на хинди, арабском и индонезийском языках. После распаковки дроппер загружает основной модуль Agent Smith, который маскируется под Google Update или другое легитимное приложение и скрывает свой значок.
Вредоносная программа сканирует установленное на телефоне ПО в поисках приложений, для которых у нападающих есть дистрибутивы с полезной нагрузкой. Обнаружив их, Agent Smith связывается с командным сервером и загружает на устройство фальшивые обновления.
Чтобы обойти системы безопасности, злоумышленники используют уязвимость Janus, позволяющую внедрить сторонний скрипт в APK с действительным сертификатом безопасности. Баг известен с 2017 года, однако некоторые смартфоны все еще не получили патч.
Чаще всего зловред встречается на устройствах под управлением Android 5.0 — 40% заражений приходится на пользователей этой ОС. Еще 34% составляют владельцы телефонов с релизом 6.0, а версия 8.0 фигурирует лишь в 9% инцидентов.
По оценкам ИБ-экспертов, киберпреступники могут заменить вредоносными аналогами 112 приложений, в ряде случаев приложение-двойник перехватывает баннеры, выводимые на экран легитимной версией, и заменяет их своими.
Изучив IP-адреса командных серверов Agent Smith, исследователи сделали вывод, что за вредоносным ПО стоит организация, расположенная в Гуанчжоу. Они связывают атаки с одной из китайских интернет-компаний, занимающейся продвижением мобильных приложений на зарубежных платформах.
Источник: https://threatpost.ru/agent-smith-has-25-mln-users-in-south-east-asia/33426/