特工史密斯惡意軟件感染25M Android手機推送惡意廣告
責編:gltian |2019-07-12 13:04:03
研究人員表示,惡意軟件會感染手機,以便在設備上隱藏廣告以獲取利潤。
根據周三公布的研究報告顯示,該惡意軟件針對的是尚未修補過舊漏洞的手機,例如Janus,一個可追溯到2017年的Android漏洞。受害者被誘騙下載作為圖像編輯器,色情相關應用或來自第三方應用商店的游戲偽裝的有害程序,然后下載Agent Smith有效負載。
對于那些從第三方應用程序商店下載應用程序的未打補丁的手機受害者來說,情況會變得越來越糟。“核心惡意軟件的圖標是隱藏的,它們通常偽裝成Google Updater,Google Update for U或’com.google.vending’來誘騙受害者。”
惡意軟件檢查目標手機上的應用程序,然后獲取更新以使用惡意廣告模塊“修補”已識別的APK。為此,攻擊者依賴于Janus漏洞(由Google于2017年12月修復),該漏洞允許威脅玩家繞過Android的APK完整性檢查并將其“獵物列表”中的任何應用程序替換為受感染版本。
Check Point估計,每個受害者可以在手機上更換多達112個應用程序,并顯示流氓廣告。他們寫道:“特工史密斯將劫持被入侵的用戶應用以展示廣告。在某些情況下,變體攔截受感染的應用程序的原始合法廣告會顯示事件,并使用Agent Smith廣告系列黑客的廣告ID向目標廣告交換報告。”
Check Point表示,代理史密斯有害程序通過名為9App的第三方應用商店擴散,主要由印度(印地語),阿拉伯和印度尼西亞用戶光顧。
研究人員認為,惡意軟件背后的威脅行為者是位于廣州的一個中國組織,他們基于對Agent Smith命令和控制服務器的分析。
研究人員寫道:“我們將與Agent Smith公司和位于廣州的中國互聯網公司聯合起來,該公司的前端合法業務是幫助中國Android開發者在海外平臺上發布和推廣他們的應用程序。”
他們補充道,“我們從最常用的C&C域名’a *** d.com’,’a *** d.net’和’a *** d.org’開始。在多個子域名中,’ad.a *** d.org’和’gd.a *** d.org’歷史上都解析為同一個可疑的IP地址。“
Google最新版本的Android操作系統是Pie,9.0版。Check Point報道,Agent Smith在運行Android 5.0(40%)和6.0版(34%)的手機中最為普遍,9%的受感染手機運行8.0版。
研究人員寫道:“史密斯特工提醒人們,單靠系統開發人員的努力還不足以建立一個安全的Android生態系統,它還需要系統開發人員,設備制造商,應用程序開發人員和用戶的關注和行動,以便及時修補,分發,采用和安裝漏洞修復程序。”