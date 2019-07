Dział Check Point Researchers odkrył nowy wariant złośliwego oprogramowania, atakującego urządzenia mobilne, który w sposób niezauważalny zainfekował około 25 milionów urządzeń, o czym ich użytkownicy nie mieli najmniejszego pojęcia. Główna część tego programu, ukrywającego się pod postacią aplikacji Google, wykorzystuje różne luki systemu Android i automatycznie zastępuje aplikacje zainstalowane na urządzeniu ich złośliwymi wersjami bez jakiegokolwiek udziału użytkownika.

Jak do tej pory największa grupa ofiar to mieszkańcy Indii, chociaż są wśród nich również mieszkańcy innych krajów Azji, takich jak Pakistan i Bangladesz, a nawet znaczna liczba mieszkańców Wielkiej Brytanii, Australii i USA.

Malware, określany jako “Agent Smith”, wykorzystuje szeroki dostęp do zasobów urządzenia do wyświetlania fałszywych reklam w celu osiągnięcia korzyści finansowych. Jego działanie przypomina działanie występujących w przeszłości złośliwych programów, np. Gooligan, Hummingbad oraz CopyCat i może infekować wszystkie smartfony, nawet te z wersjami programu Android 7.0.

"Agent Smith" może być z łatwością wykorzystywany do działań o większym stopniu ingerencji i szkodliwości, np. kradzieży danych umożliwiających dostęp do kont bankowych, a także podsłuchów. Co więcej, ze względu na zdolność do ukrywania ikon tak, że nie są widoczne oraz do udawania istniejących popularnych aplikacji cieszących się zaufaniem użytkownika, złośliwe oprogramowanie może spowodować wiele szkód na urządzeniu użytkownika.

Co robi "Agent Smith"?

Atak oprogramowania “Agent Smith” odbywa się w ramach trzech zasadniczych etapów.

1. Najpierw użytkownik urządzenia mobilnego jest nakłaniany do pobrania aplikacji wprowadzającej ze sklepu z aplikacjami, takiego jak 9Apps. Aplikacje te zazwyczaj mają formę bezpłatnych gier, aplikacji użytkowych lub aplikacji rozrywkowych dla osób dorosłych, jednak zawierają zaszyfrowane złośliwe oprogramowanie. Następnie aplikacja inicjująca sprawdza, czy na urządzeniu zainstalowane są popularne aplikacje, np. WhatsApp, MXplayer, ShareIt i inne aplikacje znajdujące się na liście atakującego. Jeśli jakakolwiek z tych aplikacji znajduje się na zainfekowanym urządzeniu, “Agent Smith” na kolejnym etapie atakuje oryginalne aplikacje.

2. Po pobraniu aplikacji wprowadzającej na urządzenie ofiary, aplikacja automatycznie odszyfrowuje złośliwe oprogramowanie do formy pierwotnej, tzn. pliku APK (plik instalacyjny systemu Android), który stanowi zasadniczą część ataku “Agenta Smitha”. Następnie aplikacja inicjująca wykorzystuje kilka znanych luk oprogramowania do zainstalowania właściwego programu złośliwego bez jakiejkolwiek interakcji z użytkownikiem.

3. Następnie złośliwy program prowadzi atak na każdą zainstalowaną aplikację znajdującą się na jego liście. Program w sposób niezauważalny pobiera plik APK danej aplikacji, uzupełnia go o dodatkowe złośliwe moduły, a następnie wykorzystuje kolejny zestaw luk systemu do niezauważalnego zastąpienia oryginalnej wersji aplikacji wersją złośliwą.

"Agent Smith" został pierwotnie pobrany z popularnego niezależnego sklepu z aplikacjami 9Apps, przeznaczonego głównie dla klientów mówiących w językach hindi, arabskim, rosyjskim i indonezyjskim, nic dziwnego, że liczba zainfekowanych urządzeń jest tak duża. Jak wiadomo niezależne sklepy z aplikacjami często nie posiadają zabezpieczeń niezbędnych do blokowania aplikacji z oprogramowaniem adware. Ze względu na tak przebiegłą metodę infekcji, jaką jest zastępowanie aplikacji zainstalowanych na urządzeniu ich złośliwymi wersjami, użytkownicy muszą pamiętać o konieczności pobierania aplikacji wyłącznie z zaufanych sklepów z aplikacjami, w celu ograniczenia ryzyka infekcji.

Jeśli Twoje urządzenie zostało zainfekowane przez aplikacje podobne do “Agenta Smitha” lub inne, wykonaj następujące działania w celu usunięcia złośliwych aplikacji:

1. W przypadku urządzeń z systemem Android

Przejdź do Menu Ustawienia.

Kliknij Aplikacje lub Menedżer Aplikacji.

Przejdź do podejrzanej aplikacji i odinstaluj ją.

Jeśli nie możesz znaleźć danej aplikacji, usuń wszystkie ostatnio zainstalowane aplikacje.

2. W przypadku iPhone'a

Przejdź do Menu Ustawienia.

Przejdź do “Safari”.

Sprawdź, czy na liście opcji zaznaczona jest opcja “blokuj wyskakujące okienka”.

Następnie przejdź do “Zaawansowane” -> “Dane strony internetowej”.

Jeśli na liście znajdują się dane jakiejkolwiek strony, której nie rozpoznajesz, usuń te strony.

