25 милиони уреди со Android се заразени од малициозен софтвер преправен како апликации поврзани со Google

25 juta perangkat Android terinfeksi oleh malware yang menyamar sebagai aplikasi terkait Google
25 милиони уреди со Android се заразени од малициозен софтвер преправен како апликации поврзани со Google 1 Слика преку Камил Трокински (ArtWorks)

Името „Агент Смит“ обично се поврзува со познатата трилогија на филмот „Матрикс“. Како и да е, сега се користи за да се идентификуваат новите варијанти на малициозен софтвер, пронајдени од провајдерите за безбедност на Check Point Research. Компанијата известува дека околу 25 милиони уреди со Android се заразени од агентот Смит во текот на изминатите три години и дека напаѓачите што стојат зад сцената можеби бараат да го прошират својот дострел.

Овој малициозен софтвер се шири низ 9Apps, трета продавница за апликации и ги насочи повеќето азиски корисници; како и да е, земји како САД и Велика Британија имаат голем број прекршувања на уредите. Во основа, животниот циклус на малициозен софтвер се врти околу три фази кои се опишани на следниов начин:

  1. Апликацијата dropper ги наведува жртвите доброволно да се инсталираат. Првичниот пад имаше пакет Фенг Шуи, кој беше вооружен како датотека со криптирани средства. Варијантата на dropper обично нема никаква функционална алатка за апликација за фотографии, игри или сексуални односи.
  2. Dropper автоматски ги декриптира и инсталира основните малициозен софтвер АПК што потоа врши опасно ажурирање и ажурирање на апликации. Основниот малвер е обично маскиран како Google Updater, Google Update за U или „com.google.vending“. Иконата за основни малициозен софтвер е скриена.
  3. Основниот малициозен софтвер извлекува список на инсталирани апликации на уреди. Ако најде апликација во својот список на плен (со код или испратен од сервер C&C), тој ќе ја извади основната АПК од целната невина апликација на уредот, ќе го закрпи АПК со злонамерен модул за рекламирање, повторно инсталирајте ја АПК и ќе го замени оригиналот како да е обновување.
25 милиони уреди со Android се заразени од малициозен софтвер преправен како апликации поврзани со Google 2 преку истражување на контролен пункт

За да се прошири малку во секоја од овие фази, „изметниците“ се апликации што имитираат популарни комунални услуги, додека тајно инсталираат злонамерна содржина на уредите. Варијантата што се користи како дел од овој напад вклучува голем број на различни апликации кои можат да привлечат корисници од сите возрасти. Ова обично нуди малку или нема функционалност, но потребна е само еднократна инсталација за надминување на главната фаза на нападот – всушност добивање на малициозен софтвер на целниот уред.

Следно, основниот модул „натоварувач“ се кодира дополнително со инсталиран dropper и започнува со пребарување на заразени уреди за однапред дефинирани популарни апликации. Список со предодредени апликации се добива преку контакт со серверот за командување и контрола (C&C). Апликациите вклучуваат некои кои се многу популарни и широко користени, како што се WhatsApp, ShareIt, MX Player, прелистувач за Opera и многу други. Натоварувачот потоа работи со разни други модули за да зарази легитимни апликации со свој код. Како резултат на оваа промена, управителот на пакетите Андроид беше измамен да размисли за злонамерната датотека како ажурирање на апликацијата. Во текот на следниот процес на „ажурирање“, маскирани маскирани средства како алатка за ажурирање поврзани со Google, за да не се предизвикаат сомневања од корисниците.

25 милиони уреди со Android се заразени од малициозен софтвер преправен како апликации поврзани со Google

Скршените апликации, кои сега носат малициозни модули за рекламирање, пренесени на нивните APKS, започнуваат да ги прикажуваат овие реклами наместо активност во апликација. Дури и ако апликацијата не е наведена во претходно креираната листа, рекламите се прикажани само за која било активност што се вчитува во тоа време. Поточно, „Агентот Смит“ ќе продолжи да го инфицира истиот уред неколку пати, секогаш кога е достапна најновата злонамерна лепенка.

Во однос на статистиката што ја собра компанијата од 2016 година, беа пронајдени повеќе од 360 варијанти на dropper, од кои најшироко се користи во форма на игри. Покрај тоа, додека повеќето напади биле извршени на уреди што работат со Android верзија 5 или 6, околу 25% од заразените лица се на верзиите 7 и 8, многу голем број. Во однос на пејзажот на напади, Индија е на врвот на списокот со повеќе од 15 милиони уреди кои се повредени, околу четири пати повеќе од комбинираната вкупна Бангладеш и Пакистан, и двете се на второ и трето место. САД се шеста најпогодена земја со 302.852 заразени уреди, додека Мјанмар е рангирана во првите 10 со 234.338. Во другите развиени земји како Австралија, Саудиска Арабија и Велика Британија, секоја има повеќе од 100.000 уреди. Топлинската мапа подолу покажува општа идеја за ширењето на нападот.

25 милиони уреди со Android се заразени од малициозен софтвер преправен како апликации поврзани со Google 4 преку истражување на контролен пункт

Врз основа на неговото истражување, „Чек Поинт“ смета дека кинеските компании кои работат во градот Гуангжу се главната причина за нападот. Името на компанијата е отстрането од објавување, а информациите поврзани со нападот им беа дадени на службениците за спроведување на законот, како и на Гугл, за да им помогнат во понатамошните истраги. Иако оваа форма на малициозен софтвер првично се шири преку 9Apps, истражувачите пронајдоа траги на малициозни актери кои сакаа да го шират својот систем и во апликацијата Play Store, исто така. За време на пребарувањето, откриено е дека 11 апликации на Play Store се поврзани со напаѓачот. Сепак, Check Point наведува дека соработувал со Google за да го отстрани сето ова од Play Store.

Гугл сè уште нема издадено јавна изјава за ова прашање, иако ние ќе продолжиме да ви ги доставуваме најновите информации. Засега, проверете дали ја преземете апликацијата од продавница за доверливи апликации и внимавајте на реклами што може да се појават во необични периоди.

Извор: Истражување на пунктовите