Gadgets

«Agent Smith» заразив понад 25 млн Android-пристроїв (2 фото)


Багато компаній використовують шкідливепрограмне забезпечення для трансляції несанкціонованої реклами. Фахівці компанії Check Point виявили незаконну програму, що отримала назву «Agent Smith», вразила понад 25 млн пристроїв працюють під Android. На зараженому пристрої проводилася несанкціонована заміна легальних програм на додатки-клони, які і розповсюджували несанкціоновану рекламу.

Фахівці змогли відстежити розробника «AgentSmith »- китайську компанію, що працює в області високих технологій, що спеціалізується на просуванні додатків від китайських розробників. Також було визначено, що початок поширення незаконного програмного забезпечення датується 2018 роком. Перші «Agent Smith» потрапили в інтернет через магазин додатків 9Apps, пов'язаний з розробниками браузера для мобільних пристроїв UC Browser. Основна маса заражених пристроїв належить користувачам з Азії: в Індії постраждало 15,2 млн пристроїв, в Бангладеш - 2,5 млн і Пакистані - 1,7 млн. У США їх виявилося близько 300 тис. "Інфікування" схильні до смартфони з застарілими версіями Android - 5 і 6, для яких давно не випускаються актуальні оновлення ОС.

Заражені «Agent Smith» програми стализ'являтися і в магазині Google Play. Експерти виявили 11 таких додатків, які після повідомлення в службу безпеки Google були оперативно видалені з Google Play.


У зараженому додатку шкідливий компонентмаскувався під SDK, роль якого зводилася до завантаження та встановлення цілого пакета додатків, що містять «Agent Smith». Після установки зловредів перевіряв наявність встановлених додатків, порівнював їх список з цільовим переліком і міняв їх на програми-клони, які займаються поширенням несанкціонованої реклами. У переліку було 16 додатків, в тому числі WhatsApp, Lenovo AnyShare, Opera Mini, Flipkart і TrueCaller.

Така заміна додатків досить складнийтехнічний процес, в якому використовувалася уразливість Janus (CVE-2017-13156) в Android, що дозволяє додати контент в APK, в обхід захисту використовує цифровий підпис. При цьому «Agent Smith» після установки програми клону блокував поновлення для запобігання видалення шкідливого коду.

Джерело: checkpoint.com