Ondsindede apps inficerer 25 millioner Android-enheder med Agent Smith malware

Ondsindede apps fra en kampagne kaldet "Agent Smith" er blevet downloadet til 25 millioner Android-enheder, ifølge ny undersøgelse fra cybersikkerhedsfirmaet Check Point.

Apps, de fleste af dem spil, blev distribueret gennem tredjeparts app-butikker af en kinesisk gruppe med en legitim virksomhed, der hjælper kinesiske udviklere med at promovere deres apps på eksterne platforme. Check Point identificerer ikke virksomheden, fordi de arbejder med lokal retshåndhævelse. Omkring 300, 000 enheder blev inficeret i USA.

Malwaren var i stand til at kopiere populære apps på telefonen, inklusive WhatsApp og webbrowseren Opera, indsprøjte sin egen ondsindede kode og erstatte den originale app med den bevæbnede version, bruger en sårbarhed i den måde, Google-apps opdateres på. De kaprede apps ville stadig fungere fint, som skjulte malwaren for brugerne.

Bevæbnet med alle de tilladelser, som brugerne havde givet til de rigtige apps, "Agent Smith" var i stand til at kapre andre apps på telefonen for at vise uønskede annoncer til brugerne. Det virker måske ikke som et væsentligt problem, men de samme sikkerhedsfejl kan bruges til at kapre banker, shopping og andre følsomme apps, ifølge Aviran Hazum, leder af Check Points analyse- og responsteam for mobile enheder.

"Hypotetisk set, intet forhindrer dem i at målrette mod bankapps, ændring af funktionaliteten til at sende dine bankoplysninger" til en tredjepart, sagde Hazum. "Brugeren ville ikke kunne se nogen forskel, men angriberen kunne oprette forbindelse til din bankkonto eksternt."

Gruppen havde også 11 apps i den officielle Google Play Butik med en "sovende" version af "Agent Smith, ", som kunne være blevet udløst til handling af en bannerannonce indeholdende søgeordet "inficere." Apps, som er blevet fjernet fra Google Play Butik, var blevet downloadet over 10 millioner gange.

Det er vigtigt for brugerne at forstå, at annoncer ikke altid kun er annoncer, ifølge Dustin Childs, kommunikationschef for cybersikkerhedsvirksomheden Trend Micros Zero Day Initiative, et såkaldt 'bug bounty'-program, der udbetaler belønninger til hackere og forskere, der tipper dem om softwaresikkerhedsfejl.

"Vi har set ondsindede annoncer, der kan installere apps, når du browser til en webside fra din Android-enhed. De kan muligvis installere ransomware, de kopierer muligvis dine kontakter, " han sagde, med henvisning til tidligere forskning. "Annonceblokkere er ikke kun til at blokere annoncer."

Childs anbefaler Android-brugere at bruge annonceblokeringssoftware, altid opdatere deres enheder, når du bliver bedt om det, og download kun apps fra Google Play Butik.

"App-udvikleren kan ikke gøre noget for at forhindre dette, " sagde Hazum. "Rettelsen skal komme fra operativsystemet."

Google har allerede rettet mindst én af de Android-benyttelser, der blev brugt af "Agent Smith, "med tilnavnet Janus, i 2017, men rettelsen har ikke fundet vej til alle Android-telefoner. Det er en potent påmindelse om, at millioner af telefoner rundt om i verden bliver brugt uden de nyeste sikkerhedsforanstaltninger.

"De rene tal inficeret af denne kampagne viser, hvor mange enheder der ikke er opdateret, " sagde Hazum. "Det tager ret lang tid for en opdatering at nå hver telefon."

En stor del af problemet er, hvor fragmenteret Android-økosystemet er, især sammenlignet med iPhone-økosystemet, sagde Childs.

"Google er meget gode til at frigive rettelser til de sårbarheder, de kender til, men at få det til alle enheder er et meget vanskeligt problem."

Når Google udsteder en ny sikkerhedsrettelse, eller "patch, "hver enhedsproducent som Samsung eller LG - har sørget for, at alle deres egne apps stadig fungerer med det nye system, hvilket kan tage tid. Producenter holder normalt op med at tilbyde sikkerhedsopdateringer til telefonmodeller efter et par år, eller endda et par måneder, et betydeligt problem i betragtning af, hvor længe folk har tendens til at beholde smartphones.

Hvis producenter udsender en opdatering til enheden, alle luftfartsselskaber såsom Verizon og AT&T skal derefter godkende opdateringen.

Det sidste trin, selvfølgelig, får folk til rent faktisk at opdatere deres telefoner.

"Folk ser, at de har en opdatering og ved, at det vil tage deres telefon 30 minutter at downloade den, anvende det, og genstart enheden, " sagde Hazum. "Mange mennesker ignorerer det."

Uanset om brugere har opdateret sikkerhed på deres telefoner eller ej, en af ​​de største risici for Android-enheder kommer fra tredjeparts appbutikker, som ikke er velovervejet, sagde Daniel Thomas, en forskningsmedarbejder og underviser ved University of Cambridge.

Thomas var en del af et forskerhold, der fandt ud af, at 87 % af Android-enhederne i 2015 brugte forældede versioner af operativsystemet. Holdets Android Vulnerabilities-program distribuerer data om historiske og aktuelle risici for enhederne.

Men iPhone-brugere bør ikke blive fortrolige. Selvom Apples økosystem er mere kontrolleret end Android, hackere har fundet masser af måder at udnytte enheder ved hjælp af iOS, for ikke at nævne Apple er indstillet på at stoppe med at tilbyde sikkerhedsopdateringer til mange iPhone-modeller, der stadig er meget udbredte.

"I enhver stor kode, der vil altid være sårbarheder, vi ikke har fundet endnu, " sagde Thomas.

©2019 The Mercury News (San Jose, Californien)
Distribueret af Tribune Content Agency, LLC.