Agent Smith: O Malware que já infectou 25 milhões de dispositivos Android

Foi descoberto recentemente uma nova campanha maliciosa para dispositivos Android que substitui aplicações legítimas por cópias corrompidas criadas para enviar anúncios ou sequestrar eventos de anúncios válidos.

Cerca de 25 milhões de dispositivos já foram infectados com o que os pesquisadores apelidaram de "Agente Smith", depois de os utilizadores instalarem uma aplicação de uma loja Android não oficial.

Fontes de aplicativos não confiáveis novamente no centro do problema

As vítimas são atraídas com a promessa de um utilitário de fotografia, jogo ou aplicação adulta que carrega um pacote malicioso. Uma vez nos dispositivos, a aplicação descriptografa e instala o Agente Smith.
O malware tenta ocultar a sua presença posando como um utilitário da Google: Google Updater, Google Update para U ou "com.google.vending" e ocultando o seu ícone do utilitário.

A seguir, o malware verifica se há aplicações no dispositivo que também estão numa lista codificada ou recebida do servidor de comando e controle (C2).

Quando uma correspondência é encontrada, o agente Smith extrai o APK e os anúncios de base de um módulo de anúncios mal-intencionados. Em seguida, ele substitui o pacote original pelo adulterado, sendo que o utilizador nem seque se apercebe.

Para completar o processo de instalação da atualização, o malware explora a vulnerabilidade Janus, que permite ignorar as assinaturas de uma aplicação e adicionar código arbitrário ao mesmo.

O resultado disso é que o utilizador do Android verá apliações com aparência inocente, a expelir anúncios. Além disso, até mesmo os anúncios da aplicação original serão monetizados pelos operadores da Agent Smith, pois o malware pode sequestrar os eventos e transmiti-los ao corretor de anúncios com os IDs de campanha dos hackers.

Pesquisadores da Check Point viram o agente Smith usado apenas para lançar anúncios, mas dizem que os seus operadores podem usá-lo para fins mais nefastos, como roubar credenciais bancárias.

"De fatco, devido à sua capacidade de ocultar seu ícone do inicializador e representar quaisquer aplicações populares existentes num dispositivo, há infinitas possibilidades de esse tipo de malware danificar o dispositivo de um utilizador", diz a Check Point num relatório técnico.

O agente Smith foi observado à espreita em lojas populares de aplicações de terceiros, como o 9Apps, que atende utilizadores principalmente indianos, árabes e indonésios. No entanto, também foram observadas infecções em aparelhos na Arábia Saudita (245k), na Austrália (141k), no Reino Unido (137k) e nos EUA (303k).

O maior número de dispositivos infectados foi na Índia (mais de 15 milhões), seguido pelo Bangladesh (mais de 2,5 milhões) e pelo Paquistão (quase 1,7 milhão). A Indonésia ficou em quarto lugar com cerca de 570.000 dispositivos infectados.

A lista de aplicações Android direcionados codificados no malware inclui o seguinte:

• com.whatsapp
• com.lenovo.anyshare.gps
• com.mxtech.videoplayer.ad
• com.jio.jioplay.tv
• com.jio.media.jiobeats
• com.jiochat.jiochatapp
• com.jio.join
• com good
• com.opera.mini
• com.domobile.applock
• com.touchtype.swiftkey
• com.flipkart.android
• cn.xender
• com.truecaller

Esta lista é usada quando o agente Smith não pode alcançar o C2 e recuperar uma versão atualizada.

O malware não se limita a infectar apenas uma aplicação, ele substituirá todos os que estiverem na lista de alvos. Um dispositivo infectado será revisitado ao longo do tempo e receberá os mais recentes patches maliciosos, dizem os pesquisadores.

" Isso leva-nos a estimar que haja mais de 2,8 bilhões de infecções no total, em cerca de 25 milhões de dispositivos únicos, o que significa que, em média, cada vítima teria sofrido cerca de 112 trocas de aplicações inocentes. " - Check Point

Analisando as variantes do malware, os analistas descobriram mais de 360 ​​tipos de conta-gotas diferentes.

Segundo as descobertas da Check Point, os primeiros sinais do agente Smith podem ser rastreados já no início de 2016. Por dois anos, o agente de ameaças testou a loja 9Apps como um canal de distribuição e publicou vários aplicativos que serviriam como droppers.

Entre maio de 2018 e abril de 2019, as operadoras começaram a testar a capacidade de comprometer aplicações legítimas e amadureceram a campanha por meio de atualizações, bem como transferiram a infraestrutura para serviços em nuvem da AWS.
Parece que os agentes de ameaças do Agente Smith estavam a tentar migrar para a loja oficial do Android, pois os pesquisadores encontraram 11 aplicações na Google Play que incluíam "um SDK malicioso e inativo relacionado ao ator 'Agente Smith'".

Os pesquisadores notificaram a Google e as aplicações maliciosas foram removidas.

 

FONTE

Já deixou o seu like na nossa página do Facebook, no, Threads, do Instagram, do BlueSky e do X? Receba toda a informação em primeira mão. Siga-nos também no Google Notícias, basta seleccionar-nos entre os seus favoritos clicando na estrela.