您的位置:首页 >金融 >

网络安全供应商Check Point

2019-07-11 11:00:55来源:

来自网络安全供应商Check Point的研究人员发现了一种针对Android设备的新型移动恶意软件。被称为Agent Smith的恶意软件已被发现利用Android操作系统中已知的弱点,用恶意版本替换设备上合法安装的应用程序,而无需用户干预。根据他们的研究,Agent Smith被发现利用其广泛的访问权限来显示欺诈性广告并从中获利。

这些恶意软件主要针对印度以及其他亚洲国家(如巴基斯坦和孟加拉国)的设备,对大约2500万个独特设备造成了极大的影响,每个受害者遭受“大约112次无害应用交换”。

感染主要在运行Android 5和6的设备上报告,大多数感染持续至少两个月。

在目前的形式中,特工史密斯正在通过提供恶意广告来获取经济利益。但考虑到其冒充流行的Android应用程序的能力,研究人员警告说“这种恶意软件有无限可能伤害用户的设备。”

特工史密斯如何运作?

Check Point的研究人员表示,他们在观察到针对印度用户的Android恶意软件攻击企图大量涌入后,于2019年初遇到了恶意软件。使问题复杂化的是它的隐形感染方法,这使得在设备受到危害之前很难检测到。

它利用三阶段感染链来构建由命令和控制(C&C)服务器控制的设备僵尸网络,以发出恶意命令。

入口点是一个dropper应用程序,受害者自愿安装在Android设备上。这些通常是像Temple Run这样的合法应用程序的重新打包版本,附带代码。

Dropper应用程序会自动安装恶意软件应用程序 - 实际上是一个Android软件包(.APK)文件 - 其图标在主屏幕启动器中保持隐藏状态。他们也通过将自己伪装成与Google相关的更新程序来逃避检测。

核心恶意软件APK会在设备上提取已安装应用的列表,并根据应用的“猎物列表”对其进行扫描 - 硬编码或从C&C服务器发出。如果找到匹配项,则会提取目标应用程序的基本APK文件,为恶意广告模块注入APK,并安装应用程序的新“模仿”版本,就像它是常规应用程序更新一样。

dropper应用程序中的附加代码(称为加载程序)主要用于提取和加载“核心”模块,该模块与C&C服务器通信以获取Android应用程序列表以扫描设备。

它包括一些在印度使用的最受欢迎的应用程序,如WhatsApp,SHAREit,MX Player,JioTV,Flipkart,Truecaller,Dailyhunt,Hotstar(由Star India,沃尔特迪斯尼的子公司运营的视频流服务)等等。

在Android设备上找到目标应用程序后,“核心”模块随后利用已知的Janus漏洞- 以前由比利时安全公司GuardSquare在2017年报告 - 用受感染的版本替换合法应用程序,但不改变应用程序的签名。

一旦在设备上安装了受感染的应用程序,应用程序中的“启动”模块就会提取并执行恶意负载。但是为了防止开发人员真正更新覆盖对应用程序所做的所有更改,“补丁”模块巧妙地禁用了copycat应用程序的自动更新。

随着一切就绪,恶意负载现在要求C&C服务器提供恶意软件驱动的广告。反过来,C&C服务器帮助Check Point研究人员缩小威胁行为者用于向受感染设备提供猎物列表和流氓广告的域名。

谁是威胁演员?

根据研究人员的说法,Agent Smith自2016年1月开始出现。黑客开始使用9Apps作为广告软件的分销渠道,建立一系列滴管应用程序。

9Apps是由阿联巴集团于2014年收购的UCWeb支持的第三方Android应用程序商店。其最受欢迎的产品之一是UC浏览器 - 一种在中国,印度和印度尼西亚等市场拥有强大影响力的网络浏览器应用程序。

恶意软件活动以一系列花园式广告软件爆炸开始,在2018年下半年加剧,然后在今年早些时候大幅下降。

在最近几个月,研究人员还在Google Play商店中发现了11个受感染的应用程序,这些应用程序包含Agent Smith中使用的恶意但休眠的组件,这表明威胁演员开始使用Google自己的应用程序分发平台来传播广告软件。在Check Point报告他们的调查结果后,Google已经取消了这些应用程序。

有了这些信息,研究人员将“Agent Smith”活动与位于广州的中国互联网公司联系起来。他们发现,这家科技公司经营着一家实际的前端业务,以帮助中国的Android开发者在海外平台上发布和推广他们的应用。

但Check Point表示,它发现了与Agent Smith恶意软件基础架构相关的工作角色广告,并且与该公司的实际业务没有任何联系。

他们还透露,“代理史密斯猎物名单不仅有流行的Janus易受攻击的应用程序,以确保高扩散,但也包含演员的合法业务部门的竞争对手应用程序,以抑制竞争。”

影响

“特工史密斯滴管显示出一种非常贪婪的感染策略,”Check Point指出。“对于这个恶意软件系列来说,将一个无辜的应用程序与受感染的双重应用程序进行交换是不够的。只要包名在其猎物列表中,它就会对设备上的每个应用程序执行此操作。“

恶意软件的激增也取决于运营商使用数百个dropper应用程序淹没9Apps - 主要是照片实用程序,游戏或成人娱乐相关应用程序的变体。

“特工史密斯”专门针对来自印度的用户,但研究人员还发现在沙特阿拉伯,英国和美国的成功渗透。仅印度就有超过1500万台受感染的Android设备。

此外,该研究还发现,单独排名前5位最具传染性的滴管已被下载超过780万次,而三星和小米设备在印度的感染率最高。

什么是外卖?

这不是攻击者第一次利用第三方应用程序分发机制感染恶意软件设备。除了正在利用修补漏洞的事实之外,恶意软件运营商正在通过官方Android应用商店为分发活动奠定基础。

“AOSP通过引入APK Signature Scheme V2修补了[Android]第7版以来的Janus漏洞。然而,为了阻止Janus滥用,应用程序开发人员需要使用新方案签署他们的应用程序,以便Android框架安全组件可以使用增强功能进行完整性检查,“研究人员说。

它强调了运行旧版Android的设备如何容易受到各种攻击。但它也强调了系统开发人员,设备制造商,应用程序开发人员和用户采取协作行动的必要性,以便及时修补,分发,采用和安装漏洞修复程序。

“尽管'史密斯特工'背后的演员决定通过利用广告来获取非法获利,但另一位演员可能很容易采取更具侵入性和有害的途径。今天,这个恶意软件显示了不需要的广告,明天它可以窃取敏感信息;从私人信息到银行凭证等等,“研究人员得出结论。

阅读下一篇:Shitposters正在使用复杂的比特币卫星相互转播