25 млн Android-устройств оказались заражены агентом Смитом

25 млн Android-устройств оказались заражены агентом Смитом

Исследователи зафиксировали новую вредоносную кампанию, атакующую устройства под управлением Android. По оценкам экспертов, около 25 миллионов Android-устройств уже заражены вредоносной программой, получившей имя «Agent Smith».

В ходе этих атак легитимные приложения подменяются злонамеренными копиями, которые отображают пользователю рекламные объявления. Саму программу Agent Smith пострадавшие скачивали из стороннего магазина приложений.

Злоумышленники предлагали пользователям утилиту для редактирования фотографий, игру и даже приложение для взрослых — каждая из этих программ содержала вредоносную составляющую.

Попав на устройство, приложение-приманка расшифровывается и устанавливает в систему «агента Смита».

Вредоносная программа пытается скрыть свое присутствие в системе, для этого в ход идет маскировка под утилиту от Google — например, Google Updater или «com.google.vending». Также приложение скрывает свою иконку от пользователя.

Следующим шагом вредонос проверяет, установлены ли на устройстве приложения из списка. Часть этого списка жестко закодирована в приложении, а другую часть зловред получает от командного сервера C&C.

Если «агент Смит» находит приложение из списка, он извлекает основной APK и добавляет рекламный модуль. После этого легитимная версия приложения подменяется рекламной. Пользователю при этом никаких уведомлений не выводится, то есть он не в курсе происходящего.

Для завершения процесса заражения вредоносная программа использует уязвимость Janus, которая позволяет добавить произвольный код в приложение, при этом не нарушив его цифровую подпись.

Жестко закодированный список приложений выглядит следующим образом:

  • com.whatsapp
  • com.lenovo.anyshare.gps
  • com.mxtech.videoplayer.ad
  • com.jio.jioplay.tv
  • com.jio.media.jiobeats
  • com.jiochat.jiochatapp
  • com.jio.join
  • com.good.gamecollection
  • com.opera.mini.native
  • in.startv.hotstar
  • com.meitu.beautyplusme
  • com.domobile.applock
  • com.touchtype.swiftkey
  • com.flipkart.android
  • cn.xender
  • com.eterno
  • com.truecaller

Подробный отчет о деятельности «агента Смита» исследователи компании Check Point опубликовали в блоге.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Valve никак не пропатчит 2-летнюю дыру в Source (CS:GO, Half-Life)

Группа специалистов в области кибербезопасности, называющая себя Secret Club, сообщила в Твиттере об уязвимости игрового движка Source 3D, за разработкой которого стоит Valve. Выявленный баг, по словам экспертов, позволяет выполнить код удалённо.

Таким образом, уязвимость затрагивает множество игровых проектов Valve, причём исследователи сообщили разработчику о проблеме около двух лет назад.

Тем не менее последний релиз Counter Strike: Global Offensive (CS:GO) содержит этот же баг. Помимо него, затронуты Half-Life, Half-Life 2, Garry's Mod, Team Fortress, Left 4 Dead и Portal. Экспертов Secret Club при этом раздражает, что они не могут опубликовать технические детали, ведь патча до сих пор нет.

Один из исследователей, сообщивших о баге, заявил, что на сегодняшний день уязвимость всё ещё актуальна. Это значит, что потенциальный злоумышленник может запустить вредоносный код на компьютерах игроков.

Для эксплуатации уязвимости достаточно отправить жертве приглашение поиграть на площадке Steam. Подробнее специалисты объяснили в видео:

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru