Agent Smith(被趋势科技检测为AndroidOS_InfectionAds.HRXA)是一种新型的移动恶意软件,它通过利用操作系统(OS)中发现的漏洞将已安装的应用程序替换为带有恶意版本的恶意软件,从而感染了Android设备。 用户了解。 据Check Point研究人员称,该恶意软件可在受害者的手机上显示欺诈性广告,尽管该恶意软件可用于更多恶意目的,例如窃取银行信息或监视目标用户。 在,沙特阿拉伯,巴基斯坦,孟加拉国,英国,和澳大利亚,感染设备的数量最多。
研究人员发现,在2019年4月之前,对Janus漏洞(称为CVE-2017-13156)的滥用有所增加。他们还观察到Play商店中流行的工具,游戏,美容过滤器和成人内容应用丢弃了Agent Smith 恶意软件,会执行伪装成Google官方补丁的后续恶意应用更新。 恶意Android软件包(APK)版本提取已安装的应用程序列表,并将其引用为从命令和控制服务器(C&C)发送的猎物列表,并提取基本APK以替换为恶意广告模块和APK,并将其安装为 虚假更新。
[相关:Android安全性:点击欺诈应用推动了2018年Google Play恶意软件的增长100%]
攻击者通过发现更多漏洞并考虑采用Android的新安全措施,考虑了更复杂的感染链,从而使该恶意软件与之前的移动恶意软件活动有所不同。 根据研究人员的说法,这种三阶段感染包括Janus,Bundle和磁盘上的人,建立了一个设备僵尸网络,并使这成为“第一个发现并吞并所有这些漏洞的武器的运动”。 计划并部署了这些基础工作之后,攻击者可能一直在为更大的攻击活动做准备,因为它试图提高Play商店的渗透率。 研究人员已经通知谷歌,谷歌已确认删除了这些恶意应用。
[阅读:据报道,Android恶意软件活动SimBad广告软件和“羊皮行动”安装了2.5亿次]
2019年第一季度,趋势科技在内部检测到恶意应用程序,并将恶意软件分别标识为AndroidOS_HiddenAds.HRXA和AndroidOS_Janus.ISO。 当时,这些零星的检测没有显示出相关的特征,直到全世界的感染报告开始增加并且沙盒开始解压缩以删除带有AndroidOS_Janus.ISO标志的Android Dalvik Executable(DEX)文件为止。 进一步的分析表明,在流行的第三方Android商店(如9Apps)中,将近900个应用程序已嵌入了恶意模块,并且少数恶意应用程序的下载总数超过11,000。 这些功能几乎不起作用的应用通常在其证书内容上具有APK自签名签名。
图1.感染了Agent Smith的应用的证书内容中列出的签名者和所有者完全相同。
所有应用程序的恶意版本都占用了更多操作系统空间,并且包含 android.support,multidex.MultiDexApplication ,从而使攻击者能够使用自动工具将其代码重新打包为恶意代码。 趋势科技已通知Google。 Google在发布时已删除了其余应用。
建议用户检查其设备,如果怀疑受到感染,请卸载可疑应用程序或最近安装的应用程序。 还提醒应用程序开发人员,系统开发人员和移动解决方案提供商监视各自的产品,并及时修补和分发更新,以确保相应地修复了漏洞。 用户和企业可以考虑使用多层移动安全解决方案,以防止在他们的设备中尝试安装广告软件和其他可能有害的应用程序(PUA)。
还有Lorin Wu的其他见解。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢