Новый вредонос под ОС Android подменяет код в легитимных приложениях, чтобы выводить в них рекламные объявления
Новый вредонос под ОС Android подменяет код в легитимных приложениях, чтобы выводить в них рекламные объявления
Используя старую уязвимость, вредоносная программа Agent Smith заменяет рекламу в легитимных приложениях. Более 25 млн устройств в Азии уже заражены.
Новый вредонос под ОС Android подменяет код в легитимных приложениях, чтобы выводить в них рекламные объявления. Как правило, эта реклама далека от добросовестной. Вредоносная программа уже проявилась на 25 млн устройств, - по крайней мере, так утверждают эксперты компании Check Point Software.
Исследователи назвали программу Agent Smith - в честь антагониста «Матрицы», способного принимать любое обличье.
«Агент Смит» выискивает и подменяет легитимную рекламу в приложениях WhatsApp, Opera Mini и Flipkart своими собственными объявлениями. Основная функциональность приложения при этом не страдает, так что пользователи зачастую не имеют ни малейшего представления о том, что заражены.
Однако вредоносный код также блокирует все попытки обновить атакованные приложения, - таким образом вредоносная программа защищает себя.
Большинство заражений приходятся на Южную и Юго-восточную Азию: в одной только Индии заражены примерно 15 миллионов устройств. За ними следуют Бангладеш и Пакистан. В США жертвами вредоносной программы стали 300 тыс. устройств.
По данным исследователей, большинство заражений являются результатом попыток пользователей установить что-то из «левых» магазинов приложений, например, «едва функционирующие фоторедакторы, игры или приложения, связанные с сексом».
Попав на устройство, Agent Smith пытается изображать из себя приложение, так или иначе связанное с Google (например, именует себя Google Updater) и приступает к поискам приложений, которые мог бы модифицировать.
Для этого эксплуатируется старая уязвимость Janus, исправленная в 2018 г. на устройствах с Android 7 и новее. Эта уязвимость позволяет злоумышленникам модифицировать код Android-приложений, не нарушая при этом их цифровой сертификат. Janus затрагивает приложения, использующие схему подписи APK Signature Scheme v1 (Android 5.0 и выше). С седьмой версии Android применяется более новая и защищённая схема Scheme v2.
В Азии, однако, до сих пор активно используется огромное количество устройств с устаревшими и незащищёнными версиями Android, и количество заражений «Агентом Смитом» это прекрасно иллюстрирует.
