‘Agent Smith’ è un nuovo malware scoperto dai ricercatori di Check Point che sostituisce le app Android legittime con quelle malevole e che ha infettato già 25 milioni di dispositivi in tutto il mondo.
I ricercatori dell’azienda di sicurezza Check Point hanno recentemente scoperto un nuovo malware Android identificato come Agent Smith, che ha già infettato circa 25 milioni di dispositivi in tutto il mondo. Il malware è camuffato come un’applicazione correlata a Google e sfrutta diverse vulnerabilità note di Android per sostituire le app installate sul dispositivo della vittima con versioni malevole delle stesse, il tutto senza alcuna interazione dell’utente.
“I ricercatori di Check Point hanno recentemente scoperto una nuova variante del malware mobile che ha infettato circa 25 milioni di dispositivi, all’insaputa dell’utente “, si legge nell’analisi pubblicata dagli esperti. “Camuffata da un’applicazione correlata a Google, la componente principale del malware sfrutta varie vulnerabilità note di Android e sostituisce automaticamente le app installate sul dispositivo con versioni malevole senza l’interazione dell’utente”.
La maggior parte delle vittime si trova in India, Pakistan e Bangladesh, seguita da Regno Unito, Australia e Stati Uniti.
Il malware Agent Smith si traveste da app di generica utilità (e.g. un’applicazione per foto editing), intrattenimento per adulti o giochi, ed è diffuso attraverso app store di terze parti. Il malware sfrutta diverse vulnerabilità note di Android, tra cui un difetto noto come Janus e la modalità di attacco identificata come Man-in-the-Disk, per iniettare il codice malevolo negli APK delle app legittime installate su un dispositivo compromesso.
L’estensione APK indica un file Android Package, ovvero il formato di file utilizzato da Google per la distribuzione e l’installazione di componenti per dispositivi mobili Android.
Come evidenziato in precedenza, Agent Smith sfrutta le metodiche sopra citate per reinstallare/aggiornare automaticamente le applicazioni presenti sul dispositivo senza l’interazione dell’utente.
Gli esperti credono che il malware sia stato sviluppato da una società con sede in Cina allo scopo di monetizzare i propri sforzi offrendo servizi pubblicitari malevoli. Gli esperti hanno riconosciuto nell’attacco le seguenti fasi:
Nella prima fase, gli aggressori ingannano le vittime convincendole a scaricare un’applicazione (dropper) da app store di terze parti come 9Apps. L’applicazione dropper controlla le eventuali applicazioni installate sul dispositivo e verifica quali tra esse possono essere sostituite con versioni malevole dal componente principale di Agent Smith.
Una volta che il dropper è riuscito a compromettere il dispositivo della vittime, decifra automaticamente il codice malevolo presente in un file APK e che che rappresenta la parte principale dell’Agent Smith. Il dropper sfrutta diverse vulnerabilità note per installare malware senza che l’utente se ne accorga.
Nella terza fase, il malware attacca tutte le applicazioni installate sul dispositivo e che sono incluse in un elenco da esso gestito.
“Il malware di base estrae silenziosamente un file APK di un’applicazione innocua, lo modifica aggiungendo moduli aggiuntivi malevoli e infine abusa di un ulteriore insieme di vulnerabilità del sistema per sostituire la versione legittima installata sul dispositivo con una malevola.” Continua il rapporto.
Il malware ha una struttura modulare, a ciascun componente è affidato un compito specifico, ad esempio un modulo assolve alla funzione di disabilitare eventuali aggiornamenti dell’applicazione compromessa per evitare che il codice malevolo iniettato possa essere eliminato.
“Questo modulo osserva la directory di aggiornamento per l’applicazione originale e rimuove il file una volta visualizzato.” Continua il rapporto.
I ricercatori ritengono che la struttura modulare del malware lo renda utilizzabile in un’amplia gamma di attacco, ad esempio per il furto di informazioni sensibili dai dispositivi delle vittime.
CheckPoint ha trovato almeno 11 app infette persino nel Google Play Store che contengono un SDK malevolo, ma attualmente inattivo e che è associato agli attaccanti dietro “Agente Smith.” Questa circostanza suggerisce che gli attori dietro la minaccia hanno lo scopo di infettare gli utenti Android anche attraverso lo store ufficiale di Google. Non appena informata della scoperta, Google ha prontamente rimosso dal Play Store tutte le app contaminate.
Gli esperti suggeriscono agli utenti di scaricare app solo da app store affidabili e di tenere aggiornati i loro dispositivi perché Agent Smith sfrutta i difetti noti che risalgono al 2017.
Infine, si raccomanda gli sviluppatori di implementare l’ultimo schema di firma APK V2 per evitare abusi della falla Janus.
