安卓5.0最多:2500万台Android设备被“Agent Smith”恶意软件感染

据报道,一种名为Agent Smith的新型Android恶意软件已经感染了2500万部手机,旨在推动广告或劫持有效的广告活动。

受害者很容易从第三方应用程序商店中下载伪装成照片应用程序,色情相关应用程序或游戏的病毒程序,一旦下载,他们就会下载Agent Smith。

该恶意软件通常伪装成实用工具,例如Google Updater,适用于U的Google Update或com.google.vending,并向用户隐藏其图标。

接下来,恶意软件检查目标手机上的应用程序,然后使用恶意广告模块获取“补丁”识别APK的更新。为了完成更新安装过程,该恶意软件利用了Janus漏洞,该漏洞使它可以绕过Android的APK完整性检查。 Janus是一个Android漏洞,可以追溯到2017年。

Check Point估计,每个受害者手机上多达112个应用程序可能会被显示广告的应用程序所取代。

他们写道:“一旦完成反病毒链,Agent Smith就会使用用户应用程序来显示广告,表面上是用来宣传广告的,但其运营商可能会用它来做更坏的事情,例如窃取银行证书。”

Check Point表示,史密斯探员潜伏在第三方应用商店中,例如9 App,主要面向印度,阿拉伯和印度尼西亚用户。感染数量最多的是印度(超过1500万),其次是孟加拉国(超过250万)和巴基斯坦(近170万),印度尼西亚以570,000受感染设备排名第四。但是,在沙特阿拉伯(245 K),澳大利亚(141 K),英国(137 K)和美国(303 K)的设备中也发现了感染。

该恶意软件不仅限于感染一个应用程序,还将替换其所有目标列表,并且被感染的设备将逐渐被重新检查并提供最新的恶意补丁。恶意软件中编码的目标Android应用列表包括:

? com.whatsapp

? com.lenovo.anyshare.gps

? com.mxtech.videoplayer.ad

? com.jio.jioplay.tv

? com.jio.media.jiobeats

? com.jiochat.jiochatapp

? com.jio.join

? com.good.gamecollection

? com.opera.mini.native

? in.startv.hotstar

? com.meitu.beautyplusme

? com.domobile.applock

? com.touchtype.swiftkey

? com.flipkart.android

?cn.xender

? com.eterno

? com.truecaller

研究人员分析:“我们将Agent Smith与一家位于广州的中国互联网公司建立了联系。该公司的前端法律业务是帮助中国Android开发人员在海外平台上发布和推广他们的应用程序。”

Check Point报告说,Agent Smith在Android 5.0(40%)和6.0(34%)中最受欢迎,并且9%的受感染手机是8.0版。 Google的Android操作系统的最新版本是Pie,版本9.0。

研究人员认为:

Smith Smith提醒我们,仅靠系统开发人员的努力还不足以建立一个安全的Android生态系统,而这需要系统开发人员,设备制造商,应用程序开发人员和用户的关注和采取的行动来修补,分发和采用并安装错误修复程序。