Эксперты Check Point обнаружили новый вредонос под названием «Agent Smith» с уникальной манерой заражения (шутка с названием понятна тем, кто смотрел фильм «Матрица: Перезагрузка»): он по-тихому способен подменять установленные на устройстве приложения их двойниками. Отличие от оригиналов – реклама, тонны рекламы, ну и отсутствие обновлений, что выливается в уязвимости для дальнейших кибератак.
По оценкам специалистов, с 2018 года «Агент Смит» успел заразить 25 миллионов устройств. В основном, жертвами кампании стали пользователи в Индии (15,2 млн), Бангладеш (2,5 млн) и Пакистане (1,7 млн). США на шестом месте с 302852 инфицированными устройствами. В других развитых странах вроде Австралии, Саудовской Аравии и Великобритании более 100000 пострадавших устройств.
Вирус распространяется через 360 вариантов установочных файлов. Чаще всего страдают устройства на версиях Android 5 или 6, около 25% случаев происходит с Android 7 и 8. Злоумышленники начали распространять вредоносное ПО в 2018 году через 9Apps, независимый магазин приложений от разработчика мобильного браузера UC Browser. Однако в последние месяцы приложения, зараженные вредоносным ПО «Agent Smith», начали появляться в магазине Google Play.
Специалисты обнаружили 11 инфицированных приложений, что, по их мнению, говорит о готовящейся кампании по распространению вредоноса через официальный магазин Google. Инфицированные приложения содержали вредоносный компонент, замаскированный под SDK, который загружал и устанавливал другой пакет приложений с вредоносным ПО «Agent Smith». Оказавшись на зараженном телефоне, он сканировал установленные приложения и на основании встроенного списка целей заменял их клонами с рекламой. Список включает 16 приложений, в частности, WhatsApp, Lenovo AnyShare, Opera Mini, Flipkart и TrueCaller, а также программы, в основном популярные на индийском рынке, такие как Jio и Hotstar.
Любопытна техническая сторона «подмены» приложений. Для внедрения вредоносного кода внутри легитимной программы эксплуатируется уязвимость Janus (CVE-2017-13156) в Android, позволяющая добавить контент в APK, не нарушая целостности цифровой подписи. В случае успеха «Agent Smith» инициирует обновление целевого приложения, а затем блокирует будущие обновления для предотвращения удаления вредоносного кода при следующем апдейте.
Исследователям удалось отследить оператора вредоносного ПО, им оказалась некая китайская технологическая компания из города Гуанчжоу. Фирма специализируется на помощи китайским разработчикам в продвижении своих Android-приложений, однако, помимо этого, занимается и иной деятельностью. В частности, эксперты обнаружили на китайских сайтах по поиску работы вакансии, указывающие на связь компании с вредоносным ПО «Agent Smith». Информация о компании была представлена в правоохранительные органы и в Google, после чего приложения в Google Play зачистили.
