特工史密斯恶意软件感染25M Android手机推送恶意广告

研究人员表示,恶意软件会感染手机,以便在设备上隐藏广告以获取利润。

根据周三公布的研究报告显示,该恶意软件针对的是尚未修补过旧漏洞的手机,例如Janus,一个可追溯到2017年的Android漏洞。受害者被诱骗下载作为图像编辑器,色情相关应用或来自第三方应用商店的游戏伪装的有害程序,然后下载Agent Smith有效负载。

对于那些从第三方应用程序商店下载应用程序的未打补丁的手机受害者来说,情况会变得越来越糟。“核心恶意软件的图标是隐藏的,它们通常伪装成Google Updater,Google Update for U或'com.google.vending'来诱骗受害者。”
 

恶意软件检查目标手机上的应用程序,然后获取更新以使用恶意广告模块“修补”已识别的APK。为此,攻击者依赖于Janus漏洞(由Google于2017年12月修复),该漏洞允许威胁玩家绕过Android的APK完整性检查并将其“猎物列表”中的任何应用程序替换为受感染版本。

Check Point估计,每个受害者可以在手机上更换多达112个应用程序,并显示流氓广告。他们写道:“特工史密斯将劫持被入侵的用户应用以展示广告。在某些情况下,变体拦截受感染的应用程序的原始合法广告会显示事件,并使用Agent Smith广告系列黑客的广告ID向目标广告交换报告。”

Check Point表示,代理史密斯有害程序通过名为9App的第三方应用商店扩散,主要由印度(印地语),阿拉伯和印度尼西亚用户光顾。

研究人员认为,恶意软件背后的威胁行为者是位于广州的一个中国组织,他们基于对Agent Smith命令和控制服务器的分析。

研究人员写道:“我们将与Agent Smith公司和位于广州的中国互联网公司联合起来,该公司的前端合法业务是帮助中国Android开发者在海外平台上发布和推广他们的应用程序。”

他们补充道,“我们从最常用的C&C域名'a *** d.com','a *** d.net'和'a *** d.org'开始。在多个子域名中,'ad.a *** d.org'和'gd.a *** d.org'历史上都解析为同一个可疑的IP地址。“

Google最新版本的Android操作系统是Pie,9.0版。Check Point报道,Agent Smith在运行Android 5.0(40%)和6.0版(34%)的手机中最为普遍,9%的受感染手机运行8.0版。

研究人员写道:“史密斯特工提醒人们,单靠系统开发人员的努力还不足以建立一个安全的Android生态系统,它还需要系统开发人员,设备制造商,应用程序开发人员和用户的关注和行动,以便及时修补,分发,采用和安装漏洞修复程序。”

 

原文链接:https://threatpost.com/malware-agent-smith-android-ads/146359/

发表评论