Le malware 'Agent Smith' remplace les applications Android légitimes par de fausses sur 25 millions d'appareils – Un bon serveur Minecraft
Les chercheurs du fournisseur de cybersécurité Check Point ont découvert un nouveau type de malware mobile ciblant les appareils Android.
Surnommé Agent Smith, il a été constaté que le logiciel malveillant exploitait les faiblesses connues du système d'exploitation Android pour remplacer les applications installées légitimes sur l'appareil par des versions malveillantes sans nécessiter l'intervention des utilisateurs.
Sur la base de leurs recherches, l'agent Smith s'est avéré tirer parti de ses larges privilèges d'accès pour afficher des publicités frauduleuses et en tirer profit.
Ciblant principalement les appareils en Inde et dans d'autres pays asiatiques comme le Pakistan et le Bangladesh, le malware a subrepticement affecté environ 25 millions d'appareils uniques, chaque victime subissant «environ 112 échanges d'applications innocentes».
Les infections ont été principalement signalées sur les appareils fonctionnant sous Android 5 et 6, la plupart des infections d'une durée d'au moins deux mois.
Dans sa forme actuelle, l'agent Smith est exploité à des fins financières en diffusant des publicités malveillantes. Mais étant donné ses capacités à usurper l'identité des applications Android populaires, les chercheurs avertissent qu '«il existe des possibilités infinies pour ce type de malware de nuire à l'appareil d'un utilisateur».
Sommaire
Comment fonctionne l'agent Smith?
Les chercheurs de Check Point ont déclaré avoir rencontré le logiciel malveillant au début de 2019 après avoir observé une vague de tentatives d'attaque de logiciels malveillants Android contre des utilisateurs en Inde. Pour compliquer les choses, sa méthodologie d'infection furtive, qui rend la détection difficile jusqu'à ce qu'un appareil soit compromis.
L'attaque exploite une chaîne d'infection en trois étapes afin de créer un botnet de périphériques contrôlés à partir d'un serveur de commande et de contrôle (C&C) pour émettre des commandes malveillantes.
- Le point d'entrée est une application dropper, que la victime installe volontairement sur un appareil Android. Ce sont généralement des versions reconditionnées d'applications légitimes comme Temple Run avec du code supplémentaire.
- L'application dropper installe automatiquement une application malveillante – essentiellement un fichier de package Android (.APK) – dont l'icône reste cachée du lanceur d'écran d'accueil. Ils échappent également à la détection en se déguisant en mises à jour liées à Google.
- Le fichier APK principal des logiciels malveillants extrait la liste des applications installées sur l'appareil et la compare à une «liste de proies» d'applications – codées en dur ou émises par le serveur C&C. S'il trouve une correspondance, il extrait le fichier APK de base de l'application cible, injecte l'APK avec des modules d'annonces malveillants et installe la nouvelle version "copycat" de l'application comme s'il s'agissait d'une mise à jour régulière de l'application.
Le code supplémentaire dans l'application dropper – appelé un chargeur – est principalement destiné à extraire et à charger un module «de base», qui communique avec le serveur C&C pour récupérer la liste des applications Android pour analyser l'appareil.
Il comprend certaines des applications les plus populaires utilisées en Inde comme WhatsApp, SHAREit, MX Player, JioTV, Flipkart, Truecaller, Dailyhunt, Hotstar (un service de streaming vidéo exploité par Star India, une filiale de Walt Disney), et plus encore.
Après avoir trouvé l'application cible sur l'appareil Android, le module «de base» profite alors de la vulnérabilité connue de Janus – précédemment signalée par la société de sécurité belge GuardSquare en 2017 – pour remplacer l'application légitime par une version infectée, mais sans altérer la la signature de l'application.
Une fois l'application infectée installée sur l'appareil, un module de «démarrage» dans l'application extrait et exécute la charge utile malveillante. Mais pour empêcher une véritable mise à jour du développeur écrasant toutes les modifications apportées à l'application, un module «patch» désactive intelligemment les mises à jour automatiques pour l'application copycat.
Avec tout en place, la charge utile malveillante demande désormais au serveur C&C de diffuser des publicités malveillantes. Les serveurs C&C, à leur tour, ont aidé les chercheurs de Check Point à restreindre les domaines utilisés par l'acteur de menace pour diffuser des listes de proies et des publicités malveillantes sur les appareils infectés.
Qui est l'acteur de la menace?
Selon les chercheurs, l'agent Smith existe depuis janvier 2016. Les pirates ont commencé à utiliser 9Apps comme canal de distribution pour les logiciels publicitaires en créant une gamme d'applications dropper.
9Apps est un magasin d'applications Android tiers soutenu par UCWeb, qu'Alibaba Group a acquis en 2014. L'un de ses plus populaires est UC Browser – une application de navigateur Web avec une forte présence sur des marchés comme la Chine, l'Inde, et l'Indonésie.
La campagne contre les logiciels malveillants, qui a commencé comme une série d'explosions de logiciels publicitaires de type jardin, s'est intensifiée au cours du second semestre 2018, avant de baisser considérablement plus tôt cette année.
Au cours des derniers mois, les chercheurs ont également découvert 11 applications infectées sur le Google Play Store qui contenaient des composants malveillants mais dormants utilisés dans l'agent Smith, suggérant que l'acteur de la menace commence à utiliser la propre plate-forme de distribution d'applications de Google pour diffuser des logiciels publicitaires. Google a depuis supprimé les applications après que Check Point a rendu compte de ses conclusions.
Armés de ces informations, les chercheurs ont relié la campagne Agent Smith à une société Internet chinoise située à Guangzhou. La firme de technologie, a-t-elle découvert, exploitait une véritable entreprise frontale pour aider les développeurs Android chinois à publier et à promouvoir leurs applications sur les plateformes étrangères.
Mais Check Point a déclaré avoir trouvé des annonces pour des postes liés à l'infrastructure de logiciels malveillants Agent Smith et n'ayant aucun lien avec les activités réelles de l'entreprise.
Ils ont également révélé que «la liste des proies de l'agent Smith ne contient pas seulement des applications vulnérables mais encore vulnérables à Janus pour assurer une prolifération élevée, mais contient également des applications concurrentes du bras commercial légitime de l'acteur pour supprimer la concurrence».
L'impact
"Les compte-gouttes de l'agent Smith montrent une tactique d'infection très gourmande", a noté Check Point. «Il ne suffit pas que cette famille de logiciels malveillants permute une seule application innocente avec un double infecté. Il le fait pour chaque application sur l'appareil tant que les noms des packages figurent sur sa liste de proies. »
La prolifération du malware dépendait également des opérateurs inondant 9Apps de centaines d'applications dropper – principalement des variantes d'utilitaires photo, de jeux ou d'applications liées au divertissement pour adultes.
L'agent Smith ciblait spécifiquement les utilisateurs indiens, mais les chercheurs ont également découvert une pénétration réussie en Arabie saoudite, au Royaume-Uni et aux États-Unis. L'Inde compte à elle seule plus de 15 millions d'appareils Android infectés.
De plus, la recherche a révélé que les 5 plus gros compte-gouttes les plus infectieux ont été téléchargés plus de 7,8 millions de fois, les appareils Samsung et Xiaomi représentant le plus d'infections en Inde.
Quel est le plat à emporter?
Ce n'est pas la première fois qu'un attaquant exploite des mécanismes de distribution d'applications tiers pour infecter des appareils avec des logiciels malveillants. Outre le fait qu’une vulnérabilité corrigée est exploitée, il est préoccupant de constater que le Les opérateurs de logiciels malveillants jettent les bases d'une campagne de distribution via la boutique d'applications Android officielle.
«L'AOSP a corrigé la vulnérabilité de Janus depuis [Android] version 7 en introduisant APK Signature Scheme V2. Cependant, afin de bloquer les abus de Janus, les développeurs d'applications doivent signer leurs applications avec le nouveau schéma afin que le composant de sécurité du cadre Android puisse effectuer des vérifications d'intégrité avec des fonctionnalités améliorées », ont déclaré les chercheurs.
Il souligne comment les appareils exécutant des versions plus anciennes d'Android peuvent être sensibles à diverses attaques. Mais il souligne également la nécessité d'une action collaborative de la part des développeurs de systèmes, des fabricants d'appareils, des développeurs d'applications et des utilisateurs, afin que les correctifs de vulnérabilité soient corrigés, distribués, adoptés et installés à temps.
"Bien que l'acteur derrière" l'agent Smith "ait décidé de faire un profit illégalement acquis en exploitant l'utilisation de publicités, un autre acteur pourrait facilement emprunter une voie plus intrusive et nuisible. Aujourd'hui, ce malware montre des publicités indésirables, demain il pourrait voler des informations sensibles; des messages privés aux informations bancaires et bien plus encore », ont conclu les chercheurs.
Les shitposters utilisent des satellites Bitcoin sophistiqués pour se troller les uns les autres
Commentaires
Laisser un commentaire