Спецпроекты

Скрытый в WhatsApp троян заразил 25 млн смартфонов на Android

9845
Безопасность Пользователю Техника Мобильность
Используя старую уязвимость, вредоносная программа Agent Smith заменяет рекламу в легитимных приложениях. Более 25 млн устройств в Азии уже заражены.

Матрица владеет твоим телефоном

Новый вредонос под ОС Android подменяет код в легитимных приложениях, чтобы выводить в них рекламные объявления. Как правило, эта реклама далека от добросовестной. Вредоносная программа уже проявилась на 25 млн устройств, - по крайней мере, так утверждают эксперты компании Check Point Software.

Исследователи назвали программу Agent Smith - в честь антагониста «Матрицы», способного принимать любое обличье.

«Агент Смит» выискивает и подменяет легитимную рекламу в приложениях WhatsApp, Opera Mini и Flipkart своими собственными объявлениями. Основная функциональность приложения при этом не страдает, так что пользователи зачастую не имеют ни малейшего представления о том, что заражены.

Однако вредоносный код также блокирует все попытки обновить атакованные приложения, - таким образом вредоносная программа защищает себя.

Вредоносная программа Agent Smith заразила более 25 млн устройств на Android

Большинство заражений приходятся на Южную и Юго-восточную Азию: в одной только Индии заражены примерно 15 миллионов устройств. За ними следуют Бангладеш и Пакистан. В США жертвами вредоносной программы стали 300 тыс. устройств.

Вектор атаки

По данным исследователей, большинство заражений являются результатом попыток пользователей установить что-то из «левых» магазинов приложений, например, «едва функционирующие фоторедакторы, игры или приложения, связанные с сексом».

Попав на устройство, Agent Smith пытается изображать из себя приложение, так или иначе связанное с Google (например, именует себя Google Updater) и приступает к поискам приложений, которые мог бы модифицировать.

Для этого эксплуатируется старая уязвимость Janus, исправленная в 2018 г. на устройствах с Android 7 и новее. Эта уязвимость позволяет злоумышленникам модифицировать код Android-приложений, не нарушая при этом их цифровой сертификат. Janus затрагивает приложения, использующие схему подписи APK Signature Scheme v1 (Android 5.0 и выше). С седьмой версии Android применяется более новая и защищённая схема Scheme v2.

В Азии, однако, до сих пор активно используется огромное количество устройств с устаревшими и незащищёнными версиями Android, и количество заражений «Агентом Смитом» это прекрасно иллюстрирует.

«Неофициальные магазины приложений - главный рассадник вредоносных приложений для Android, - отмечает Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. - Даже в Google Play регулярно просачивается вредоносное ПО. Ну, а попытки устанавливать приложения из «неофициальных» ресурсов, где защита заведомо хуже, а то и вовсе отсутствует, - это почти гарантированный способ нажить неприятности. «Agent Smith» может пока только показывать сомнительную рекламу, но его легко можно использовать и для совершения куда более опасных действий».



Решение месяца

Какие СХД выбирают компании со стремительно растущими объемами данных

Игорь Буланов

руководитель отдела инфраструктурных сервисов ABBYY

ABBYY
Технология месяца

Почему российские компании переходят на новую Exadata X8M

Алексей Курочка

директор Oracle Systems в России и СНГ