«Агент Смит» зиянкес нақты мобильді қосымшаларды жарнамалық көшірмелермен ауыстырады

Check Point компаниясының сарапшылары Agent Smith атын алған Android үшін жаңа қауіп тапты. Хабарланғандай, жаңа малвардан 25 000 000-нан астам адам зардап шекті. Құрбан болғандардың басым көпшілігі Үндістанда (15,2 миллион), Бангладеште (2,5 миллион) және Пәкістанда (1,7 миллион). Көптеген құрылғылар кем дегенде екі ай бойы жұқтырған болады.

Agent Smith 2016 жылдан бері бар, бірақ ағымдағы түрде зиянкес 2018 жылдың басында «ресімделді». Соңғы уақытқа дейін ол Android үшін UCWEB браузерін әзірлеуші UCWeb компаниясының басқаруындағы 9 Apps тәуелсіз каталогындағы қосымшалар арқылы таралды. Бірақ енді CheckPoint, Agent Smith бар қосымша соңғы айларда Google Play - да пайда болды деп ескертеді.

Зерттеушілер Google каталогында осындай 11 зиянды қосымшаны тапты. Сарапшылардың пікірінше, осылайша, малвари операторлары Agent Smith тарату бойынша одан арғы науқан үшін іргетас жасайды. Сарапшылардың есебін жариялау кезінде екі қосымша 10 000 000 жүктеуге жетті, ал басқалары әлі ерте кезеңде болған. Сарапшылар Google инженерлерін табу туралы жедел хабардар етті және қазіргі уақытта зиянды қосымшалар каталогтан алынып тасталды.

Мамандар Agent Smith анықтау өте қиын деп жазады, өйткені зиянкес тым кеш болғанға дейін оның табылуын қиындататын күрделі құрылымы мен жұқтыру әдістемесі бар және смартфон бұзылмайынша.

2018 жылдың мамырынан бастап Agent Smith үш кезеңді жұқтыру механизмін пайдалана бастады, ол сарапшылар Сopycat, Gooligan және HummingBad сияқты Android-қа қарсы ең озық кибершабуылдармен бір қатарға қояды.

Малвари операторлары қосымшалардың дүкендерін толық жұмыс істейтін және бір қарағанда қауіпсіз қосымшалармен толтырады. Осылайша, 9 Apps-да ойындар, жүйелік утилиталар немесе ересектер үшін бағдарламаларда жасырынады. Алайда, бұл қолданбаларда зиянды компонент (SDK астында жасырынған) бар, ол кейіннен Аgent Smith малварьы бар басқа АРК шифрлейді және орнатады. Дроппер пайдаланушымен қандай да бір өзара іс-қимылсыз негізгі пайдалы жүктемені орнату үшін бірнеше белгілі осалдықтарды қолданады.

Құрылғыға кіріп, малварь орнатылған қосымшаларды сканерлейді және мақсаттардың ішкі тізімін пайдалана отырып, осы қосымшаларды жарнамаға толтырылған клондармен ауыстырады. Бұл тізімге 16 қосымша кіреді, және жалпыға белгілі WhatsApp, Lenovo AnyShare, Opera Mini, Flipkart және TrueCaller қосымшаларынан басқа, олардың көпшілігі үнді нарығында танымал (мысалы, Jio және Hotstar). Сарапшылар легитимді қосымшаларды ауыстыру үдерісі өте қиын екенін айтады. Ол үшін Agent Smith зиянды кодты заңды қолданбаға енгізу үшін Janus техникасын пайдаланады, бірақ оның MD5 хэшіне әсер етпейді. Егер шабуыл сәтті болса, малварь заңды қосымшаның ішінде зиянды кодты бекіте отырып, енгізілген қолданбаны жаңартуды бастайды, содан кейін зиянды код жойылмау үшін болашақ жаңартуларды бұғаттайды.

Check Point талдаушылары әдеттегі жарнамалық зиянды арсеналдағы озық техниканы көруге өте қызық деп жазады. Зерттеушілер Agent Smith тек қажетсіз жарнама көрсетеді, бірақ кез келген уақытта құпия ақпаратты ұрлауды бастай алады: жеке хабарламадан банктік есепке алу мәліметтеріне дейін.

Айта кету керек, CheckPoint сарапшылары өз есебінде олар қатерді Гуанчжоуда орналасқан атауы жоқ қытай технологиялық компаниясына дейін бақылай алғаның айтады. Бұл компанияның заңды бизнесі бар және қытайлық Android-қосымшаларын әзірлеушілерге өз өнімдерін шетелдік платформаларда жариялауға және жылжытуға көмектеседі. Бірақ осы фирманың желісінде орналасқан бос орындар арасында малвари Agent Smith инфрақұрылымымен анық байланысты және заңды бизнеске ешқандай қатысы жоқ хабарландырулар табылды. Мұндай бос орындар 2018 жылдан бастап жарияланады. Әзірге CheckPoint талдаушылары құқық қорғау органдары жүргізіп жатқан тергеуге сілтеме жасай отырып, болып жатқан осы аспектілер туралы ешқандай егжей-тегжейді ашпады.

Ақпарат көзі: xakep.ru