Новий шкідливість під ОС Android замінює код у легітимних додатках, щоб виводити в них рекламні оголошення
Новий шкідливість під ОС Android підміняє код у легітимних додатках, щоб виводити в них рекламні оголошення
Використовуючи стару вразливість, шкідлива програма Agent Smith замінює рекламу в легітимних програмах. Понад 25 млн пристроїв в Азії вже заражено.
Новий шкідливість під ОС Android замінює код у легітимних додатках, щоб виводити рекламні оголошення. Як правило, ця реклама далека від сумлінної. Шкідлива програма вже виявилася на 25 млн пристроїв, - принаймні так стверджують експерти компанії Check Point Software.
Дослідники назвали програму Agent Smith - на честь антагоніста «Матриці», здатного приймати будь-яке обличчя.
«Агент Сміт» вишукує та підміняє легітимну рекламу у додатках WhatsApp, Opera Mini та Flipkart своїми власними оголошеннями. Основна функціональність програми при цьому не страждає, тому користувачі часто не мають жодного уявлення про те, що заражені.
Проте шкідливий код також блокує всі спроби оновити атаковані програми - таким чином шкідлива програма захищає себе.
Більшість заражень припадає на Південну та Південно-Східну Азію: в одній лише Індії заражено приблизно 15 мільйонів пристроїв. За ними йдуть Бангладеш та Пакистан. У США жертвами шкідливої програми стали 300 тис. пристроїв.
За даними дослідників, більшість заражень є результатом спроб користувачів встановити щось із «лівих» магазинів додатків, наприклад, «леді функціонуючі фоторедактори, ігри або програми, пов'язані з сексом».
Потрапивши на пристрій, Agent Smith намагається зображати з себе програму, так чи інакше пов'язану з Google (наприклад, називає Google Updater) і приступає до пошуків додатків, які міг би модифікувати.
Для цього експлуатується стара вразливість Janus, виправлена у 2018 р. на пристроях з Android 7 та новіші. Ця вразливість дозволяє зловмисникам модифікувати код Android-додатків, не порушуючи їх цифровий сертифікат. Janus стосується програм, що використовують схему підпису APK Signature Scheme v1 (Android 5.0 і вище). З сьомої версії Android застосовується новіша і захищена схема Scheme v2.
В Азії, проте, досі активно використовується величезна кількість пристроїв із застарілими та незахищеними версіями Android, і кількість заражень «Агентом Смітом» це чудово ілюструє.
