{"id":220632,"date":"2019-07-16T00:07:53","date_gmt":"2019-07-15T22:07:53","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=220632"},"modified":"2023-04-11T07:21:34","modified_gmt":"2023-04-11T05:21:34","slug":"malware-agent-smith-befllt-android-apps","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/07\/16\/malware-agent-smith-befllt-android-apps\/","title":{"rendered":"Malware Agent Smith befällt Android-Apps"},"content":{"rendered":"

[English<\/a>]Sicherheitsforscher von Check Point haben k\u00fcrzlich eine neue Variante von mobiler Malware, Agent Smith  genannt, entdeckt, die Android-Apps \u00fcber Sicherheitsl\u00fccken infiziert. Aktuell wurden wohl rund 25 Millionen Ger\u00e4te in aller Stille infiziert. <\/p>\n

<\/p>\n

\"\"Gem\u00e4\u00df der Beschreibung von CheckPoint<\/a> nutzt die Agent Smith getaufte Malware Sicherheitsl\u00fccken in Android, um Android-Apps auf Ger\u00e4ten mit Android 7 und h\u00f6her zu infizieren und Schadfunktionen zu injizieren. Aktuell  wird \"Agent Smith\" dazu benutzt, \u00fcber die infizierten Apps Werbung einzublenden und dadurch finanzielle Vorteile zu erzielen. Die Malware k\u00f6nnte jedoch leicht f\u00fcr weitaus sch\u00e4dlichere Zwecke wie Banking-Trojaner oder \u00dcberwachung missbraucht werden. <\/p>\n

Die Angriffsmethode<\/h2>\n

\"Agent Smith\" verwendete haupts\u00e4chlich drei Phasen bei seinem Angriff. In der ersten Phase verleitet der Angreifer Benutzer dazu, eine Dropper-Anwendung aus einem App Store wie 9Apps<\/em> herunterzuladen. Diese Dropper sind in der Regel als kostenlose Spiele, Utility-Anwendungen oder Adult Entertainment-Anwendungen getarnt, enthalten aber eine verschl\u00fcsselte b\u00f6sartige Nutzlast. Die Dropper-Anwendung pr\u00fcft dann, ob beliebte Anwendungen wie WhatsApp, MXplayer, ShareIt und andere aus der vorgegebenen Liste des Angreifers auf dem Ger\u00e4t installiert sind. Wird eine der Anwendungen gefunden, greift \"Agent Smith\" diese Anwendungen zu einem sp\u00e4teren Zeitpunkt an.<\/p>\n

In der zweiten Phase, nachdem der Dropper auf dem Ger\u00e4t des Opfers Fu\u00df gefasst hat, entschl\u00fcsselt er automatisch die b\u00f6sartige Nutzlast, die eine APK-Datei (Android-Installationsdatei) ist. Der Dropper missbraucht dann mehrere bekannte Systemschwachstellen, um die Malware ohne jegliche Benutzerinteraktion zu installieren.<\/p>\n

\"\" <\/p>\n

Diagramm: \"Agent Smith\"'s Attack Flow, Quelle: Check Point <\/p>\n

In der dritten Phase f\u00fchrt die Malware Angriffe gegen jede installierte Anwendung aus einer Zielliste, die auf dem Ger\u00e4t vorhanden ist, durch. Die Kernkomponente der Malware extrahiert die APK-Datei einer bestimmten harmlosen Anwendung, patcht sie mit zus\u00e4tzlichen b\u00f6sartigen Modulen und missbraucht schlie\u00dflich eine weitere Reihe von Systemschwachstellen, um die urspr\u00fcngliche App im Hintergrund gegen die nun mit Malware verseuchte Version auszutauschen.<\/p>\n

Verbreitung \u00fcber App-Store<\/h2>\n

\"Agent Smith\" wurde urspr\u00fcnglich aus dem weit verbreiteten Drittanbieter-App Store 9Apps heruntergeladen. Dieser Store richtet sich haupts\u00e4chlich an indisch (Hindi), arabisch, russisch und indonesisch sprechende Benutzer. Daher ist es nicht verwunderlich, dass die Malware eine so hohe Infektionsrate in diesen L\u00e4ndern erreichte. <\/p>\n

Die Forscher von Check Point gehen davon aus, dass rund 25 Millionen Ger\u00e4te infiziert sind.  Bisher sind die Hauptopfer in Indien ans\u00e4ssig, aber auch andere asiatische L\u00e4nder wie Pakistan und Bangladesch sind betroffen, ebenso wie eine beachtliche Anzahl von Ger\u00e4ten in Gro\u00dfbritannien, Australien und den USA. (via<\/a>, via<\/a>)<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Sicherheitsforscher von Check Point haben k\u00fcrzlich eine neue Variante von mobiler Malware, Agent Smith  genannt, entdeckt, die Android-Apps \u00fcber Sicherheitsl\u00fccken infiziert. Aktuell wurden wohl rund 25 Millionen Ger\u00e4te in aller Stille infiziert.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[131,426],"tags":[4308,4346,4328],"class_list":["post-220632","post","type-post","status-publish","format-standard","hentry","category-android","category-sicherheit","tag-android","tag-app","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/220632","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=220632"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/220632\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=220632"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=220632"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=220632"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}