Check Point Research oppdaget nylig en ny mobil skadevare som til nå har infisert rundt 25 millioner enheter til intetanende brukere.
Forkledd som en Google-relatert applikasjon, utnytter kjernedelen av skadevaren kjente Android-sårbarheter og erstatter automatisk installerte apper på enhetene med skadelige versjoner. Brukeren er er ikke delaktig i prosessen.
Alarmerende hastighet
Skadevaren, som ifølge Check Point sprer seg i alarmerende hastighet, har fått navnet «Agent Smith» fra Matrix-triologien, og refererer til idéen om at menneskene formerer seg inntil alle ressurser er oppbrukt.
Hittil befinner hovedtyngden av ofrene seg i India og andre asiatiske land som Pakistan og Bangladesh. Også et betydelig antall enheter i UK, Australia og USA er rammet. Selskapet opplyser ikke om hvorvidt de også har funnet tilfeller i Norge.
Viruset utnytter deretter sin brede tilgang til telefonen til å vise falske annonser for økonomisk vinning.
Falske annonser
Denne metoden ligner på tidligere skadevare som Gooligan, Hummingbad og Copycat, og kan infisere alle smarttelefoner oppdatert etter Android 7.
Og selv om Check Points funn viser at skadevaren i dette tilfellet kun brukes til økonomisk vinning gjennom ondsinnede annonser, er skadepotensialet langt større.
Siden skadevaren skjuler appene fra appoversikten og erstatter eksisterende apper, kan den lett brukes til langt mer påtrengende og skadelige formål som å hente ut bankinformasjon og avlytting, skriver sikkerhetsselskapet.
Hittil ukjent skadevare funnet: Bruker PC-en din til å skjule andre ondsinnede programmer
Utnytter kjente svakheter
Ofrene lokkes til å laste ned et såkalt dropperprogram fra en tredjeparts appbutikk som for eksempel 9Apps. Programmet som inneholder skadevaren gir seg ut for å være gratis spill, nytteapper eller pornografi.
Deretter sjekker den om telefonen har lastet ned noen av appene fra angripernes forhåndsbestemte liste, som blant annet inkluderer WhatsApp, MXplayer, ShareIt.
Skadevaren i dropperprogrammet dekrypteres, og utnytter deretter flere kjente Android-svakheter for å installere den delen av skadevaren som utfører og skjuler angrepet mot Android-appene.
Check Point påpeker at bruken av tredjeparts appbutikker gjør brukerne sårbare for angrep, blant annet fordi disse ofte mangler sikkerhetstiltak som kreves for å blokkere apper med reklame.
Butikken 9Apps retter seg hovedsakelig mot indiske, arabiske og indonesiske brukere.
Google skal nå ha fjernet alle de falske appene fra Google Play-butikken.
