[English]Sicherheitsforscher von Check Point haben kürzlich eine neue Variante von mobiler Malware, Agent Smith genannt, entdeckt, die Android-Apps über Sicherheitslücken infiziert. Aktuell wurden wohl rund 25 Millionen Geräte in aller Stille infiziert.
Anzeige
Gemäß der Beschreibung von CheckPoint nutzt die Agent Smith getaufte Malware Sicherheitslücken in Android, um Android-Apps auf Geräten mit Android 7 und höher zu infizieren und Schadfunktionen zu injizieren. Aktuell wird "Agent Smith" dazu benutzt, über die infizierten Apps Werbung einzublenden und dadurch finanzielle Vorteile zu erzielen. Die Malware könnte jedoch leicht für weitaus schädlichere Zwecke wie Banking-Trojaner oder Überwachung missbraucht werden.
Die Angriffsmethode
"Agent Smith" verwendete hauptsächlich drei Phasen bei seinem Angriff. In der ersten Phase verleitet der Angreifer Benutzer dazu, eine Dropper-Anwendung aus einem App Store wie 9Apps herunterzuladen. Diese Dropper sind in der Regel als kostenlose Spiele, Utility-Anwendungen oder Adult Entertainment-Anwendungen getarnt, enthalten aber eine verschlüsselte bösartige Nutzlast. Die Dropper-Anwendung prüft dann, ob beliebte Anwendungen wie WhatsApp, MXplayer, ShareIt und andere aus der vorgegebenen Liste des Angreifers auf dem Gerät installiert sind. Wird eine der Anwendungen gefunden, greift "Agent Smith" diese Anwendungen zu einem späteren Zeitpunkt an.
In der zweiten Phase, nachdem der Dropper auf dem Gerät des Opfers Fuß gefasst hat, entschlüsselt er automatisch die bösartige Nutzlast, die eine APK-Datei (Android-Installationsdatei) ist. Der Dropper missbraucht dann mehrere bekannte Systemschwachstellen, um die Malware ohne jegliche Benutzerinteraktion zu installieren.
Anzeige
Diagramm: "Agent Smith"'s Attack Flow, Quelle: Check Point
In der dritten Phase führt die Malware Angriffe gegen jede installierte Anwendung aus einer Zielliste, die auf dem Gerät vorhanden ist, durch. Die Kernkomponente der Malware extrahiert die APK-Datei einer bestimmten harmlosen Anwendung, patcht sie mit zusätzlichen bösartigen Modulen und missbraucht schließlich eine weitere Reihe von Systemschwachstellen, um die ursprüngliche App im Hintergrund gegen die nun mit Malware verseuchte Version auszutauschen.
Verbreitung über App-Store
"Agent Smith" wurde ursprünglich aus dem weit verbreiteten Drittanbieter-App Store 9Apps heruntergeladen. Dieser Store richtet sich hauptsächlich an indisch (Hindi), arabisch, russisch und indonesisch sprechende Benutzer. Daher ist es nicht verwunderlich, dass die Malware eine so hohe Infektionsrate in diesen Ländern erreichte.
Die Forscher von Check Point gehen davon aus, dass rund 25 Millionen Geräte infiziert sind. Bisher sind die Hauptopfer in Indien ansässig, aber auch andere asiatische Länder wie Pakistan und Bangladesch sind betroffen, ebenso wie eine beachtliche Anzahl von Geräten in Großbritannien, Australien und den USA. (via, via)
Anzeige
