Спецпроекты

Безопасность Пользователю Техника Мобильность

Скрытый в WhatsApp троян заразил 25 млн смартфонов на Android

Используя старую уязвимость, вредоносная программа Agent Smith заменяет рекламу в легитимных приложениях. Более 25 млн устройств в Азии уже заражены.

Матрица владеет твоим телефоном

Новый вредонос под ОС Android подменяет код в легитимных приложениях, чтобы выводить в них рекламные объявления. Как правило, эта реклама далека от добросовестной. Вредоносная программа уже проявилась на 25 млн устройств, - по крайней мере, так утверждают эксперты компании Check Point Software.

Исследователи назвали программу Agent Smith - в честь антагониста «Матрицы», способного принимать любое обличье.

«Агент Смит» выискивает и подменяет легитимную рекламу в приложениях WhatsApp, Opera Mini и Flipkart своими собственными объявлениями. Основная функциональность приложения при этом не страдает, так что пользователи зачастую не имеют ни малейшего представления о том, что заражены.

Однако вредоносный код также блокирует все попытки обновить атакованные приложения, - таким образом вредоносная программа защищает себя.

Вредоносная программа Agent Smith заразила более 25 млн устройств на Android

Большинство заражений приходятся на Южную и Юго-восточную Азию: в одной только Индии заражены примерно 15 миллионов устройств. За ними следуют Бангладеш и Пакистан. В США жертвами вредоносной программы стали 300 тыс. устройств.

Вектор атаки

По данным исследователей, большинство заражений являются результатом попыток пользователей установить что-то из «левых» магазинов приложений, например, «едва функционирующие фоторедакторы, игры или приложения, связанные с сексом».

Попав на устройство, Agent Smith пытается изображать из себя приложение, так или иначе связанное с Google (например, именует себя Google Updater) и приступает к поискам приложений, которые мог бы модифицировать.

Для этого эксплуатируется старая уязвимость Janus, исправленная в 2018 г. на устройствах с Android 7 и новее. Эта уязвимость позволяет злоумышленникам модифицировать код Android-приложений, не нарушая при этом их цифровой сертификат. Janus затрагивает приложения, использующие схему подписи APK Signature Scheme v1 (Android 5.0 и выше). С седьмой версии Android применяется более новая и защищённая схема Scheme v2.

В Азии, однако, до сих пор активно используется огромное количество устройств с устаревшими и незащищёнными версиями Android, и количество заражений «Агентом Смитом» это прекрасно иллюстрирует.

«Неофициальные магазины приложений - главный рассадник вредоносных приложений для Android, - отмечает Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. - Даже в Google Play регулярно просачивается вредоносное ПО. Ну, а попытки устанавливать приложения из «неофициальных» ресурсов, где защита заведомо хуже, а то и вовсе отсутствует, - это почти гарантированный способ нажить неприятности. «Agent Smith» может пока только показывать сомнительную рекламу, но его легко можно использовать и для совершения куда более опасных действий».

Роман Георгиев

Короткая ссылка