Le malware 'Agent Smith' remplace les applications Android légitimes par de fausses sur 25 millions d'appareils – Un bon serveur Minecraft

Les chercheurs du fournisseur de cybersécurité Check Point ont découvert un nouveau type de malware mobile ciblant les appareils Android.

Surnommé Agent Smith, il a été constaté que le logiciel malveillant exploitait les faiblesses connues du système d'exploitation Android pour remplacer les applications installées légitimes sur l'appareil par des versions malveillantes sans nécessiter l'intervention des utilisateurs.

Sur la base de leurs recherches, l'agent Smith s'est avéré tirer parti de ses larges privilèges d'accès pour afficher des publicités frauduleuses et en tirer profit.

Ciblant principalement les appareils en Inde et dans d'autres pays asiatiques comme le Pakistan et le Bangladesh, le malware a subrepticement affecté environ 25 millions d'appareils uniques, chaque victime subissant «environ 112 échanges d'applications innocentes».

Les infections ont été principalement signalées sur les appareils fonctionnant sous Android 5 et 6, la plupart des infections d'une durée d'au moins deux mois.

Dans sa forme actuelle, l'agent Smith est exploité à des fins financières en diffusant des publicités malveillantes. Mais étant donné ses capacités à usurper l'identité des applications Android populaires, les chercheurs avertissent qu '«il existe des possibilités infinies pour ce type de malware de nuire à l'appareil d'un utilisateur».

Comment fonctionne l'agent Smith?

Les chercheurs de Check Point ont déclaré avoir rencontré le logiciel malveillant au début de 2019 après avoir observé une vague de tentatives d'attaque de logiciels malveillants Android contre des utilisateurs en Inde. Pour compliquer les choses, sa méthodologie d'infection furtive, qui rend la détection difficile jusqu'à ce qu'un appareil soit compromis.

L'attaque exploite une chaîne d'infection en trois étapes afin de créer un botnet de périphériques contrôlés à partir d'un serveur de commande et de contrôle (C&C) pour émettre des commandes malveillantes.

  • Le point d'entrée est une application dropper, que la victime installe volontairement sur un appareil Android. Ce sont généralement des versions reconditionnées d'applications légitimes comme Temple Run avec du code supplémentaire.
  • L'application dropper installe automatiquement une application malveillante – essentiellement un fichier de package Android (.APK) – dont l'icône reste cachée du lanceur d'écran d'accueil. Ils échappent également à la détection en se déguisant en mises à jour liées à Google.
  • Le fichier APK principal des logiciels malveillants extrait la liste des applications installées sur l'appareil et la compare à une «liste de proies» d'applications – codées en dur ou émises par le serveur C&C. S'il trouve une correspondance, il extrait le fichier APK de base de l'application cible, injecte l'APK avec des modules d'annonces malveillants et installe la nouvelle version "copycat" de l'application comme s'il s'agissait d'une mise à jour régulière de l'application.
Crédit: Check Point Research