Malware "agente Smith" lleva millones de infecciones en terminales Android.



Una nueva variante del malware móvil denominado "Agent Smith" ya se ha infiltrado en más de 25 millones de dispositivos Android, principalmente en India, Pakistán y Bangladesh. Los investigadores de Check Point descubrieron el malware disfrazado como una aplicación relacionada con Google que utiliza vulnerabilidades conocidas de Android y reemplaza automáticamente las aplicaciones instaladas con clones maliciosos sin el conocimiento o la interacción de los usuarios. El comportamiento del malware se parece a las campañas anteriores, como  Gooligan ,  HummingBad  y  CopyCat .

Actualmente, los operadores del "Agente Smith" están aprovechando el malware con el fin de ganar dinero mediante el uso de anuncios maliciosos, pero podría ser utilizado fácilmente en ataques más intrusivos y dañinos, como el robo de credenciales bancarias debido a su capacidad para ocultarlo. Ícono del iniciador y disfrazarse como cualquier aplicación popular instalada en un dispositivo.

El malware Agent Smith se disfraza como aplicaciones de utilidad (es decir, edición de fotos), entretenimiento para adultos o juegos, se propaga a través de tiendas de aplicaciones de terceros, como "9Apps", una tienda respaldada por el equipo de UC, dirigida principalmente a Indian (Hindi) , Árabe, e usuarios indonesios. El dropper inicial descifra e instala automáticamente su malware APK, que generalmente se disfraza de Google Updater, Google Update para U o "com.google.vending". El malware central extrae la lista de aplicaciones instaladas del dispositivo y, al encontrar las aplicaciones de interés, extrae los APK de aplicaciones legítimas, inyecta módulos de anuncios maliciosos y luego vuelve a instalar el APK. Para inyectar el código malicioso, el malware de Android aprovecha varias vulnerabilidades conocidas de Android, incluida la  falla de Janus, que permite omitir las firmas de una aplicación y agregarle un código arbitrario.

Aunque el malware se centró principalmente en India (más de 15 millones), Bangladesh (más de 2,5 millones) y Pakistán (casi 1,7 millones), también se observaron infecciones en dispositivos en Arabia Saudita (245k), Australia (141k), el Reino Unido (137k). ), y los EE.UU. (303k). Los investigadores creen que el malware "Agent Smith" fue desarrollado por una empresa con sede en China que lo utiliza como un medio para obtener una ganancia financiera.

Según el informe de Check Point, el malware ha estado activo desde principios de 2016. Durante dos años, sus operadores han estado probando los terrenos y utilizando la tienda 9Apps como canal de distribución, pero parece que han decidido expandirse a la tienda oficial de Google Play. Los investigadores encontraron al menos 11 aplicaciones infectadas en Google Play que contienen un SDK malicioso pero inactivo relacionado con la campaña "Agente Smith". Check Point informó a Google y todas las aplicaciones contaminadas fueron eliminadas.

Fuente: https://www.cybersecurity-help.cz/blog/617.html