Il malware Android "Agent Smith" che sostituisce segretamente WhatsApp e altri, infetta 25 milioni di dispositivi
I dispositivi Android non sono estranei alle minacce malware e ai vari attacchi dannosi principalmente attraverso app infette. Sfortunatamente per i dispositivi Android, gli utenti tendono a ottenere app dannose dal Google Play Store o da varie fonti di terze parti rispetto a un utente iPhone che spesso ottiene le proprie app dal ambiente Apple App Store controllato e per lo più privo di malware. A quanto pare, la più recente eruzione cutanea di app affette da malware si presenta sotto forma di malware soprannominato Agent Smith, noto per aver sostituito segretamente app WhatsApp su dispositivi Android.
Il malware Android Agent Smith cerca di sfruttare le vulnerabilità al interno del sistema operativo in cui sostituirà automaticamente le app legittime senza che utente se ne accorga. Le app primarie che Agent Smith ha scoperto di sostituire segretamente sono WhatsApp, Flipkart, Opera Mini e, a quanto si dice, le app di Lenovo e Swiftkey.
Una cosa particolare da notare su WhatsApp e sul suo sfruttamento da parte del malware Agent Smith è il fatto che WhatsApp ha oltre 1,5 miliardi di utenti attivi in oltre 180 paesi. Tuttavia, solo una parte di quegli utenti sono utenti Android, il che ha portato app Agent Smith a colpire fino a 25 milioni di dispositivi finora.
Da dove viene agente Smith?
Check Point è stato tra i primi a scoprire il malware Agent Smith, che prende il nome intelligente dalla popolare serie di film The Matrix in quanto si comporta in qualche modo simile al personaggio del film "Agent Smith".
Si sospetta inoltre che un elenco predefinito di app venga utilizzato sul modulo principale del malware Agent Smith per la ricerca su un dispositivo infetto. elenco dei server di comando e controllo delle app, come rivelato da Check Point, è il seguente:
- lenovo.anyshare.gps
- mxtech.videoplayer.ad
- jio.jioplay.tv
- jio.media.jiobeats
- jiochat.jiochatapp
- jio.join
- good.gamecollection
- opera.mini.native
- startv.hotstar
- meitu.beautyplusme
- domobile.applock
- touchtype.swiftkey
- flipkart.android
- cn.xender
- eterno
- TrueCaller
Per quanto riguarda origine del malware, i ricercatori sulla sicurezza informatica credono che u azienda cinese di Internet che aiuti gli sviluppatori Android in Cina a pubblicare e commercializzare app in altri mercati esteri. Il malware è stato scoperto per la prima volta sul app store di terze parti 9Apps e ha principalmente preso di mira gli utenti Android in Bangladesh, Pakistan e India. Tuttavia, nei 25 milioni di dispositivi Android infetti, sono stati rilevati poco più di 300.000 negli Stati Uniti e oltre 130.000 nel Regno Unito.
agente Smith ha u agenda ingannevole
In alcuni casi, i ricercatori di Check Point hanno rivelato che Agent Smith è stato camuffato da u app correlata a Google, eludendo ulteriormente ogni sospetto da parte degli utenti Android. Inoltre, gli attacchi compiuti dal malware Agent Smith mirano a visualizzare annunci pubblicitari fraudolenti su dispositivi infetti che consentono potenzialmente ai cyber-criminali dietro il malware di fare soldi attraverso campagne pubblicitarie di impressione o clic.
Per quanto riguarda la composizione del malware Agent Smith, i ricercatori hanno confrontato campioni di minacce e hanno tracciato confronti simili a quelli della vulnerabilità di Janus, che consente a un attore di minaccia di sostituire qualsiasi applicazione con una versione infetta. Tale metodo è stato utilizzato in passato innumerevoli volte su PC Windows , computer Mac e dispositivi mobili , in cui le app sono mascherate da app legittime solo per ottenere accesso a un sistema ed eseguire azioni dannose senza la consapevolezza del utente.
Attualmente, gli sviluppatori di app sono stati informati della minaccia di Agent Smith, ma alla fine spetta agli utenti Android prendere le precauzioni adeguate per mitigare un simile attacco. Un passo che gli utenti Android possono fare è limitare il download di app da terze parti e ottenerle solo da fonti attendibili. Inoltre, gli utenti possono bloccare app caricate adware o abilitare funzionalità di sicurezza aggiuntive. Ad ogni modo, non abbiamo visto le ultime minacce di Agent Smith o altre minacce malware emergenti e dobbiamo essere vigili in ogni fase perché non vogliamo essere scoperti in QUESTA Matrice.