Агенты «Матрицы» не так уж и круты
2019 ж. 26 шілде, жұма
Слухи бродят по дворам… На этот раз – о вирусе, который заразил 25 миллионов Android-устройств.
Вирус Agent Smith заразил 25 миллионов устройств под управлением ОС Android
Это ПО незаметно для пользователя заражает устройство и заменяет обычное ПО вредоносными клонами, которые показывают большое количество рекламы.
Наши постоянные читатели знают, что вирусов (вредоносного ПО, которое умеет помещать вредоносный код в другие приложения) под Android не существует. Типичная угроза для Android OS – троянские программы. Чтобы устройство оказалось заражено, нужно, чтобы кто-то установил на него вредоносное ПО. Но, быть может, мы ошибаемся и вирусы есть? Читаем статью дальше:
После того, как жертва устанавливала мобильное приложение, вводился в работу этот компонент, который загружал и устанавливал еще один пакет приложений с вредоносом Agent Smith.
Как мы и говорили – это типичный троянец, интересный лишь тем, что начинал вредить не после установки приложения, а после загрузки обновления к нему.
Свежеустановленный (и обновленный) троянец маскируется в системе под легитимное ПО (например, Google Updater, Google Installer for U, Google Powers, Google Installer) и скрывает свой значок. Далее Android.InfectionAds.1 (так называется эта программа по классификации Dr.Web) подключается к управляющему серверу и получает от него список программ, которые ему необходимо заразить. Если же соединиться с удаленным центром ему не удалось, он инфицирует приложения, которые указаны в его первоначальных настройках. Затем троянец проверяет наличие на устройстве указанных приложений.
Найдя их, троянец добавляет свои компоненты в структуру указанных apk-файлов, не изменяя их цифровую подпись. Затем он устанавливает модифицированные версии приложений вместо оригиналов. Поскольку из-за уязвимости цифровая подпись инфицированных файлов остается прежней, программы инсталлируются как их собственные обновления.
Важно, что для системы данные «обновления», вполне возможно, будут считаться безопасными, так как вредоносный код внедрен в них без нарушения цифровой подписи. Для этого используется уязвимость Janus (CVE-2017-13156), которая дает возможность добавлять вредоносный код в установочный пакет (APK) без нарушения его целостности и, соответственно, цифровой подписи.
Зачастую подписывается не весь файл, а его часть. Цели могут быть разными. Например, если файл большой, то подсчет контрольной суммы может занять много времени. Или часть файла несет важные данные – их мы и подписываем, а информационная часть файла содержит данные о содержимом и может формироваться уже после подписания.
Уязвимость CVE-2017-13156 дает злоумышленнику возможность внедрять в приложения вредоносный код, не затронув подписанную часть файла.
Внешне измененный пакет для проверяющих подпись систем выглядит так же, как и раньше.
При этом установка также выполняется с использованием уязвимости EvilParcel без участия пользователя. В результате атакованные программы продолжают нормально работать, но содержат в себе копию Android.InfectionAds.1, которая незаметно функционирует вместе с ними. При заражении приложений троянцу становятся доступны их данные. Например, при инфицировании WhatsApp – переписка пользователя, а при инфицировании браузера – сохраненные в нем логины и пароли.
Проблема в том, что уязвимость Janus, хотя и исправлена, но только для ОС Android 7 и выше. А троянец встречается в основном на Android 5.0 и 6.0.
#Android #мобильный #обновления_безопасности #рекламное_ПО #уязвимость #цифровая_подпись #эксплойт
Антивирусная правДА! рекомендует
- Паниковать не следует. Новость об Android.InfectionAds.1, позже названного Agent Smith, вышла у нас еще 12 апреля. Пользователи Dr.Web защищены от агентов Матрицы :-)
- Agent Smith – это рекламное ПО. Пользователь вполне может и не заметить, что реклама стала немного другой или ее стало больше. Для обнаружения и удаления такого ПО нужен антивирус.
- Проверить, способно ли вредоносное ПО использовать на вашем устройстве уязвимость Janus, можно с помощью Менеджера уязвимостей Dr.Web в составе Dr.Web Security Space для Android.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
voyaka
22:55:53 2019-07-27
razgen
23:40:14 2019-07-26
Andromeda
23:10:03 2019-07-26
Альфа
23:02:55 2019-07-26
Natalya_2017
21:23:08 2019-07-26
sanek-xf
21:13:20 2019-07-26
Dvakota
20:36:50 2019-07-26
orw_mikle
20:36:20 2019-07-26
Lia00
19:55:08 2019-07-26
Геральт
19:41:29 2019-07-26
I23
19:23:26 2019-07-26
robot
19:21:28 2019-07-26
Например: троян Сиффреди)))
I46
18:55:38 2019-07-26
Sasha50
15:43:03 2019-07-26
Oleg
15:13:59 2019-07-26
tigra
15:03:25 2019-07-26
Шалтай Александр Болтай
14:19:59 2019-07-26
Татьяна
14:08:27 2019-07-26
Toma
13:40:14 2019-07-26
vinnetou
12:59:42 2019-07-26
anatol
12:51:34 2019-07-26
Masha
12:17:22 2019-07-26
admin_29
11:56:57 2019-07-26
maestro431
11:52:16 2019-07-26
Денисенко Павел Андреевич
10:52:48 2019-07-26
Dmur
10:52:06 2019-07-26
Alexander
10:09:13 2019-07-26
EvgenyZ
09:33:38 2019-07-26
DrKV
09:02:42 2019-07-26
Неуёмный Обыватель
08:27:28 2019-07-26
— Нет.
— Почему?
— Неприятно думать, что тобой манипулируют.
Zserg
08:19:31 2019-07-26
vkor
08:10:21 2019-07-26
Lenba
08:03:53 2019-07-26
marisha-san
07:56:25 2019-07-26
Пaвeл
07:36:35 2019-07-26
Vlad X
07:35:56 2019-07-26
этого и телевизор перестал смотреть.
ka_s
07:02:13 2019-07-26
Korney
06:16:40 2019-07-26
Любитель пляжного футбола
06:01:47 2019-07-26
Перефразируя строчку из стиха Маяковского "...Да будь я и негром преклонных годов, и то, без унынья и лени, я русский бы выучил только за то, что им разговаривал Ленин...",
"Я бы купил смартфон только лишь для того, чтобы на нём установить Dr.Web". :)))
P.S. Я не почитатель творчества Маяковского, отнюдь. :)))
L1t1um
05:28:57 2019-07-26
Morpheus
04:08:14 2019-07-26