Вирус Agent Smith показывает свою рекламу на Android

В ходе атаки легитимные приложения подменяются злонамеренными копиями, которые отображают пользователю собственные рекламные объявления.

Как пишет Anti-Malware, сам вирус пострадавшие получали из стороннего магазина приложений 9Apps. Злоумышленники предлагали пользователям утилиты для редактирования фотографий, игры и даже приложения для взрослых — все они содержали вредоносную составляющую.

Попав на устройство, приложение-приманка расшифровывается и устанавливает в систему «агента Смита». Вредоносная программа пытается скрыть свое присутствие в системе, для этого в ход идет маскировка под утилиту от Google — например, Google Updater или «com.google.vending». Также приложение скрывает свою иконку от пользователя.

Следующим шагом вредонос проверяет, установлены ли на устройстве приложения из списка. Часть этого списка жестко закодирована в приложении (это, например, WhatsApp, SHAREit, MX Player, JioTV, Flipkart, Truecaller, Dailyhunt и Hotstar), а другую часть зловред получает от командного сервера.

Если «агент Смит» находит приложение из списка, он к основному файлу приложения добавляет рекламный модуль. Так легитимная версия приложения подменяется рекламной. Пользователю при этом никаких уведомлений не выводится, то есть он не в курсе происходящего. Кроме того специалисты выяснили, что хакеры также могут применять вирус для прослушки или кражи данных (однако пока таких случаев не зафиксировано).

Для завершения процесса заражения вредоносная программа использует уязвимость Janus, которая позволяет добавить произвольный код в приложение, при этом не нарушив его цифровую подпись.

Специалисты в области кибербезопасности пришли к выводу, что основной целью злоумышленников были юзеры, владеющие русским языком, а также арабским и хинди. Они посоветовали пользоваться только надежными магазинами приложений.