'Agent Smith' Android Malware Secretly Replacing WhatsApp and Others Infects 25 Million Devices
Android設備對惡意軟件威脅和各種惡意攻擊並不陌生,主要是通過受感染的應用程序。不幸的是,對於Android設備,用戶傾向於從Google Play商店或各種第三方來源獲取應用程序惡意應用程序,而iPhone用戶通常從受控且主要是無惡意軟件的Apple App Store環境獲取應用程序。事實證明,最新一批受惡意軟件困擾的應用程序是以被稱為Agent Smith的惡意軟件的形式出現的,該軟件以秘密取代Android設備上的WhatsApp應用程序而聞名。
Agent Smith Android惡意軟件希望利用操作系統中的漏洞,它會在沒有用戶注意的情況下自動替換合法應用程序。 Agent Smith被發現秘密取代的主要應用程序是WhatsApp,Flipkart,Opera Mini,據說是來自聯想和Swiftkey的應用程序。
有關WhatsApp及其被Agent Smith惡意軟件利用的一個特別注意事項是WhatsApp在180多個國家/地區擁有超過15億活躍用戶。但是,這些用戶中只有一部分是Android用戶,這導致Agent Smith應用程序迄今為止影響了超過2500萬台設備。
特工史密斯來自哪裡?
Check Point是第一批發現Agent Smith惡意軟件的人之一,它從流行的The Matrix系列電影中得到了它的聰明名字,因為它的行為有點類似於電影中名為"Agent Smith"的角色。
還懷疑在Agent Smith惡意軟件的核心模塊上使用默認的應用列表來搜索受感染的設備。 Check Point揭示的app命令和控制服務器列表如下:
- WhatsApp的
- lenovo.anyshare.gps
- mxtech.videoplayer.ad
- jio.jioplay.tv
- jio.media.jiobeats
- jiochat.jiochatapp
- jio.join
- good.gamecollection
- opera.mini.native
- startv.hotstar
- meitu.beautyplusme
- domobile.applock
- touchtype.swiftkey
- flipkart.android
- cn.xender
- ETERNO
- truecaller
至於惡意軟件的起源,計算機安全研究人員認為,一家幫助中國Android開發者的中國互聯網公司在其他國外市場上發布和營銷應用程序。該惡意軟件最初是在第三方應用商店9Apps上發現的,主要針對孟加拉國,巴基斯坦和印度的Android用戶。然而,在2500萬台受感染的Android設備中,在美國檢測到超過300,000個,在英國檢測到超過130,000個。
特工史密斯有一個欺騙性的議程
在某些情況下,Check Point的研究人員透露,特工史密斯偽裝成與穀歌相關的應用程序,進一步避免了Android用戶的任何懷疑。此外,由Agent Smith惡意軟件執行的攻擊最終會在受感染的設備上顯示欺詐性廣告,從而可能允許惡意軟件背後的網絡犯罪分子通過廣告展示或點擊廣告來賺錢。
至於Agent Smith惡意軟件的構成,研究人員對威脅樣本進行了比較,並與Janus漏洞進行了類似的比較,該漏洞允許威脅行為者用受感染的版本替換任何應用程序. 在Windows PC , Mac計算機和移動設備上 ,這種方法過去曾被無數次使用 ,其中應用程序偽裝成合法應用程序,只有在沒有用戶意識的情況下才能訪問系統並執行惡意操作。
目前,應用程序開發人員已經了解Agent Smith威脅,但最終Android用戶需要採取適當的預防措施來緩解此類攻擊。 Android用戶可以做的一件事就是限制從第三方下載應用程序,並且只能從受信任的來源獲取應用程序。此外,用戶可以阻止加載廣告軟件的應用或啟用其他安全功能。無論哪種方式,我們都沒有看到史密斯特工程師或其他新興惡意軟件威脅的最後一個,我們必須保持警惕,因為我們不想陷入這個矩陣。