信息化觀察網(wǎng)

根據(jù)報(bào)道，一種名為 Agent Smith 的新型 Android 惡意軟件已經(jīng)感染了 2500 萬部手機(jī)，其目的是推送廣告或劫持有效的廣告事件。

受害者被引誘從第三方應(yīng)用商店下載偽裝成照片應(yīng)用程序、色情相關(guān)應(yīng)用程序或游戲等病毒程序，一旦下載完畢，這些程序就會下載 Agent Smith。

該惡意軟件通常偽裝成 Google Updater、Google Update for U 或 com.google.vending 等實(shí)用工具 ，并對用戶隱藏其圖標(biāo)。

接下來，惡意軟件檢查目標(biāo)手機(jī)上的應(yīng)用程序，然后獲取帶有惡意廣告模塊的“補(bǔ)丁”識別 APK 的更新。為了完成更新安裝過程，惡意軟件利用 Janus 漏洞，該漏洞可以讓其繞過 Android 的 APK 完整性檢查。Janus 是一個(gè)可追溯到 2017 年的 Android 漏洞。

Check Point 估計(jì)，每個(gè)受害者手機(jī)上可能有多達(dá) 112 個(gè)應(yīng)用程序被那些顯示廣告的應(yīng)用程序所取代。

他們寫道：“一旦完成了殺毒鏈，Agent Smith 就會利用用戶應(yīng)用程序來顯示廣告，表面上只是用來推銷廣告，但是它的運(yùn)營商可能會利用它來做更壞的事情，比如竊取銀行憑證”。

Check Point 說，Agent Smith 潛伏在第三方應(yīng)用商店，如 9 App，主要為印度用戶，阿拉伯人和印度尼西亞用戶服務(wù)。受感染數(shù)量最多的是印度(超過1 500萬)，其次是孟加拉國(超過250萬)和巴基斯坦(近170萬)，印度尼西亞以 57 萬個(gè)受感染的設(shè)備名列第四。但是還發(fā)現(xiàn)，在沙特阿拉伯(245 K)、澳大利亞(141 K)、英國(137 K)和美國(303 K)的設(shè)備上也出現(xiàn)了感染。

該惡意軟件并不局限于只感染一個(gè)應(yīng)用程序，它將取代其目標(biāo)列表中的任何和全部，受感染的設(shè)備將逐漸得被重新檢查，并提供最新的惡意補(bǔ)丁。惡意軟件中被編碼的目標(biāo) Android 應(yīng)用程序列表包括以下內(nèi)容：

研究人員分析說：“我們將 Agent Smith 傳播與位于廣州的一家中國互聯(lián)網(wǎng)公司聯(lián)系起來，該公司的前端合法業(yè)務(wù)是幫助中國 Android 開發(fā)者在海外平臺上發(fā)布和推廣他們的應(yīng)用程序”。

Check Point 報(bào)告說，Agent Smith 在 Android 5.0 版(40%)和 6.0 版(34%)的手機(jī)中最為普遍，9% 的受感染手機(jī)的是 8.0 版。谷歌最新版本的 Android 操作系統(tǒng)是 Pie，版本為 9.0。

研究人員認(rèn)為：

Agent Smith 提醒我們，僅靠系統(tǒng)開發(fā)人員的努力還不足以建立一個(gè)安全的 Android 生態(tài)系統(tǒng)，它需要系統(tǒng)開發(fā)人員、設(shè)備制造商、應(yīng)用程序開發(fā)人員和用戶的關(guān)注和行動，以便及時(shí)修補(bǔ)、分發(fā)、采用和安裝漏洞修補(bǔ)程序。