您的位置:首页 >国际 >

新的Android恶意软件会将合法应用替换为受广告影响的分身

2019-07-11 10:46:19来源:

我们发现了一种新的Android恶意软件应用程序,它可以感染设备并使用克隆来替换合法应用程序,这些克隆显示了犯罪集团利润的大量广告。根据与网络安全公司Check Point发布之前与ZDNet分享的一份报告,该恶意软件名为Agent Smith,已造成超过2500万受害者。绝大多数受害者位于印度(1520万),孟加拉国(250万)和巴基斯坦(170万),大多数用户仍然感染至少两个月。恶意软件由中国公司运营今年早些时候发现这种恶意软件的Check Point表示,它已将其运营商追踪到位于广州市的一家中国科技公司。

研究人员表示,该公司经营一家前端合法企业,帮助中国Android应用开发者在海外平台上发布和推广他们的应用。

但是,Check Point表示,它发现的工作角色广告与运营Agent Smith恶意软件基础架构一致,并且与公司的实际业务无关。

工作列表从2018年开始发布,当时Check Point表示恶意软件的第一个版本也开始出现。研究人员没有分享有关该公司的任何其他细节,理由是正在进行的执法调查。

自2018年开始有效,现在定位到PLAY商店

至于恶意软件本身,Android用户有令人担忧的消息。

虽然当前形式的Agent Smith恶意软件出现在2018年初并且已经存在了一年多,但在大多数时间里,它只通过上传到9Apps上的boobytrapped Android应用程序进行分发,这是一个由UCWeb管理的独立Android应用程序商店, UC浏览器Android浏览器背后的开发人员。

但是,Check Point表示,最近几个月,感染了部署Smith Smith恶意软件所用组件的应用程序也开始出现在Google Play商店中。

该公司表示已经检测到11个此类应用程序,表明恶意软件运营商正在利用官方Android应用程序商店为分销活动奠定基础。

“证据显示'特工史密斯'演员目前正在奠定基础,提高其谷歌播放渗透率,并等待正确的时机开始攻击,”Check Point说。

“到本出版物发布时,两个[Agent Smith]受感染的应用程序下载量已达到1000万,而其他应用程序仍处于早期阶段。”

幸运的是,Check Point破坏了这一早期部署,将受感染的应用程序报告给Google的安全团队,后者干预并删除了所有应用程序。

特工史密斯的偷偷摸摸的手法

但尽管早期删除,Android用户不应该感到安全。Agent Smith恶意软件非常难以检测,并且具有新颖的结构和感染方法,这使得它很难被发现,直到为时已晚并且手机受到损害。

这种恶意软件最初出现在2016年,但与任何其他无聊的广告软件一样,用广告抨击用户,在2018年演变成一个高度复杂的操作。

自2018年5月左右以来,Agent Smith恶意软件开始使用三部分感染机制,与当今最先进的Android恶意软件操作相媲美,例如CopyCat,Gooligan和HummingBad。

该恶意软件依赖于其运营商在一个应用程序商店中乱扔垃圾,这些应用程序包含良性但功能齐全的应用。在这种特殊情况下,Agent Smith工作人员使用隐藏在9Apps商店上传的游戏,实用程序或成人主题应用程序中的恶意代码。

用户将下载这些应用程序,其中包含恶意组件(伪装成SDK - 软件开发工具包),稍后将下载并安装包含实际Agent Smith恶意软件的另一个Android应用程序包(APK)。

在受感染的手机上,Agent Smith将扫描本地安装的应用程序,并使用内部目标列表,将原始应用程序替换为受广告感染的克隆。

此列表包括16个应用程序包名称,绝大多数应用程序是印度市场上流行的应用程序,如各种Jio和Hotstar应用程序,还有WhatsApp,Lenovo的AnyShare,Opera Mini,Flipkart和TrueCaller等国际应用程序。

Check Point表示,这种“替代”过程本身非常复杂。Agent Smith恶意软件使用Janus技术在合法应用程序中注入恶意代码,但不会影响其MD5文件哈希。

如果此操作成功,则Agent Smith会触发注入的应用程序的更新,在合法应用程序中粘合恶意代码,然后阻止将来的应用程序更新,因此在后续应用程序更新期间不会删除它。

整个过程非常隐秘和创新,当它被用作间谍软件或更危险的威胁时,它非常令人惊讶地看到它用于广告软件这种平庸的东西 - Check Point的研究人员也是非常清楚。

“今天这个恶意软件显示了不需要的广告,明天它可以窃取敏感信息;从私人消息到银行凭证等等,”他们说。