Malware para android «Agente Smith» infectó 25 millones de dispositivos
Los investigadores de Check Point descubrieron recientemente una nueva variante de malware para Android, llamada Agent Smith, que ya ha infectado a aproximadamente 25 millones de dispositivos. El malware está disfrazado de una aplicación relacionada con Google y explota varias vulnerabilidades conocidas de Android para reemplazar las aplicaciones instaladas en el dispositivo de la víctima sin la interacción del usuario.
«Los investigadores de Check Point descubrieron recientemente una nueva variante de malware para dispositivos móviles que ha infectado silenciosamente a unos 25 millones de dispositivos, mientras que el usuario permanece completamente inconsciente», dice el análisis publicado por los expertos. «Disfrazada como una aplicación relacionada con Google, la parte central del malware explota varias vulnerabilidades conocidas de Android y reemplaza automáticamente las aplicaciones instaladas en el dispositivo con versiones maliciosas sin la interacción del usuario».
La mayoría de las víctimas se encuentran en India, Pakistán y Bangladesh, seguidas de Reino Unido, Australia y los Estados Unidos.
El malware Agente Smith se disfraza de aplicaciones de utilidad (es decir, edición de fotos), entretenimiento para adultos o juegos, y se propaga a través de tiendas de aplicaciones de terceros. El malware de Android aprovecha varias vulnerabilidades conocidas de Android, incluida la falla de Janus y la falla de Man-in-the-Disk para inyectar el código malicioso en los archivos APK de aplicaciones legítimas que están instaladas en un dispositivo comprometido. Luego, el código malintencionado los vuelve a instalar / actualiza automáticamente sin la interacción del usuario.
Los expertos creen que el malware fue desarrollado por una empresa con sede en China para monetizar sus esfuerzos sirviendo a publicidades maliciosas.
Los expertos describieron una cadena de ataques compuesta de tres etapas. En la primera etapa, los atacantes engañan a las víctimas para que descarguen una aplicación dropper de tiendas de aplicaciones de terceros, como 9Apps. La aplicación dropper verifica si alguna aplicación popular está instalada en el dispositivo y luego la apunta con el malware Agente Smith.
Una vez que el dropper se haya posicionado en el dispositivo de la víctima, descifrará automáticamente la carga maliciosa en un archivo APK que representa la parte central del ataque del «Agente Smith». El dropper explota varias vulnerabilidades conocidas para instalar malware central sin la interacción del usuario.
En la tercera etapa, el malware principal se dirige a las aplicaciones instaladas en el dispositivo que se incluyen en su lista de destino.
«El malware central extrae silenciosamente el archivo APK de una aplicación inocente dada, lo repara con módulos maliciosos adicionales y finalmente abusa de un conjunto adicional de vulnerabilidades del sistema para intercambiar silenciosamente la versión inocente por una maliciosa», continúa el informe.
«Al invertir una gran cantidad de recursos en el desarrollo de este malware, el actor detrás de Agente Smith no quiere una actualización real para eliminar todos los cambios realizados, por lo que aquí es donde entra en juego el módulo Patch»
«Con el único propósito de deshabilitar las actualizaciones automáticas para la aplicación infectada, este módulo observa el directorio de actualización de la aplicación original y elimina el archivo una vez que aparece».
Los investigadores explicaron que la estructura modular del malware facilita su uso para otros fines malintencionados, como el robo de información confidencial.
CheckPoint también encontró al menos 11 aplicaciones infectadas en Google Play Store que contienen un SDK malicioso pero inactivo asociado con los atacantes del «Agente Smith», un problema que sugiere que los actores de amenazas intentan infectar a los usuarios de Android a través de la tienda oficial. Según los informes, Google ha eliminado de Play Store todas las aplicaciones contaminadas.
Los expertos sugieren que los usuarios descarguen aplicaciones solo de las tiendas de aplicaciones de confianza y mantengan sus dispositivos actualizados porque el Agente Smith explota las fallas conocidas que se remontan a 2017.
Se recomienda a los desarrolladores que implementen el último APK Signature Scheme V2 para evitar el abuso de Janus.