SOS :: Security Operation Space
28 марта, четверг, 00:00
|
Hot News:

Зловред Agent Smith поразил 25 миллионов Android-смартфонов

11 июля 2019 г., четверг, 15:26

Программа заменяет легитимные приложения аналогами, которые показывают нежелательную рекламу.

ИБ-исследователи обнаружили ранее неизвестный Android-зловред, который устанавливает на скомпрометированное устройство приложения для демонстрации нежелательной рекламы. Программа, получившая название Agent Smith, заразила не менее 25 млн смартфонов в Индии, Пакистане и других странах Азии, а ее командные серверы находятся в Китае.

Установщик вредоносного ПО попадает на целевое устройство под видом графического редактора, игры или порнографического приложения из репозитория 9App. Он, в свою очередь, ориентирован на посетителей, говорящих на хинди, арабском и индонезийском языках. После распаковки дроппер загружает основной модуль Agent Smith, который маскируется под Google Update или другое легитимное приложение и скрывает свой значок.

Вредоносная программа сканирует установленное на телефоне ПО в поисках приложений, для которых у нападающих есть дистрибутивы с полезной нагрузкой. Обнаружив их, Agent Smith связывается с командным сервером и загружает на устройство фальшивые обновления.

Чтобы обойти системы безопасности, злоумышленники используют уязвимость Janus, позволяющую внедрить сторонний скрипт в APK с действительным сертификатом безопасности. Баг известен с 2017 года, однако некоторые смартфоны все еще не получили патч для него.

Чаще всего зловред встречается на устройствах под управлением Android 5.0 — 40% заражений приходится на пользователей этой ОС. Еще 34% составляют владельцы телефонов с релизом 6.0, а версия 8.0 фигурирует лишь в 9% инцидентов.

По оценкам ИБ-экспертов, киберпреступники могут заменить вредоносными аналогами 112 приложений, в ряде случаев приложение-двойник перехватывает баннеры, выводимые на экран легитимной версией, и заменяет их своими.

Изучив IP-адреса командных серверов Agent Smith, исследователи сделали вывод, что за вредоносным ПО стоит организация, расположенная в Гуанчжоу. Они связывают атаки с одной из китайских интернет-компаний, занимающейся продвижением мобильных приложений на зарубежных платформах.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
19:45
17:45
14:45
12:45
11:45
09:45
09:45
19:45
18:45
16:45
15:45
14:45
13:45
10:45
10:45
09:45
19:45
19:45


© 2013—2024 SOS :: Security Operation Space (Пространство Операций Безопасности)  // AMS  // Обратная связь  | 0.148
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.