Check Point 安全研究人员发现了一种新的恶意活动,该活动正在 Android 生态系统中迅速传播,并已在全球造成超过 2500 万受害者。这些主要分布在印度、巴基斯坦和孟加拉国,但也分布在英国、澳大利亚和美国。该活动名为“Agent Smith”,基于另类商店“9Apps”,黑客在其中放置了数百个特洛伊木马,主要以游戏或照片软件的形式存在。
如果用户安装其中一个木马,它将从命令和控制服务器下载应用程序列表。在那里我们可以找到 WhatsApp、Opera Mini、Swiftkey 或 Lenovo Anyshare 等名称。如果设备上也有这些应用程序中的一个或多个,恶意软件就会用恶意代码偷偷地感染它们。显然,它们将保持原来的功能。事实上,他们现在将被海盗控制。目前,期望的目标是插入欺诈性广告。“但是,该系统很容易被用来执行更具侵入性和危险的操作,例如盗窃银行凭证”,在博客文章中解释了 Check Point。
有两种技术用于将合法应用程序转换为恶意软件。首先是反编译应用程序,插入恶意代码,然后重新编译整个应用程序。如果反编译不起作用,“Agent Smith”将尝试修补应用程序,就像更新一样。为此,特洛伊木马将利用一个名为“Janus”的漏洞,该漏洞于 2017 年被发现,允许您在保留原始签名的同时修改 Android 应用程序。为了纠正这个缺陷,谷歌引入了新的签名系统,但这并不总是由应用程序开发人员实施。
海盗们有好几个火堆。据 Check Point 称,他们成功在 Google Play 上放置了 11 个休眠木马。该恶意软件有一个“终止开关”,一旦激活,就可以下载恶意代码。第二次活动被称为“Jaguar Kill Switch”。
这两次感染活动的幕后黑手是谁?根据检查点侦探的说法,这是一个“总部位于广州的中国互联网公司”其官方活动是帮助中国Android开发者在海外推广他们的应用程序。
来源:检查点
