Специалисты Check Point обнаружили новый вид вредоносного ПО для Android, успевшего заразить более 25 млн устройств. Вредонос, окрещенный «Agent Smith», незаметно для пользователя заражает устройство и заменяет официальные приложения клонами, показывающими большое количество рекламы. В основном жертвами кампании стали пользователи в Индии (15,2 млн), Бангладеш (2,5 млн) и Пакистане (1,7 млн).

Исследователям удалось отследить оператора вредоносного ПО, им оказалась некая китайская технологическая компания. Фирма специализируется на помощи китайским разработчикам в продвижении своих Android-приложений, однако, помимо этого, занимается и иной деятельностью. В частности, эксперты обнаружили на китайских сайтах по поиску работы вакансии, указывающие на связь компании с вредоносным ПО «Agent Smith».

Злоумышленники начали распространять вредоносное ПО в 2018 году через 9Apps - независимый магазин приложений от разработчика мобильного браузера UC Browser.

В последние месяцы приложения, зараженные вредоносным ПО «Agent Smith», начали появляться в магазине Google Play. Специалисты обнаружили 11 инфицированных приложений, что говорит о готовящейся кампании по распространению вредоноса через официальный магазин Google. После сообщения в службу безопасности Google зараженные приложения были удалены.

Инфицированные приложения содержали вредоносный компонент, замаскированный под SDK, который загружал и устанавливал другой пакет приложений с вредоносным ПО «Agent Smith». Оказавшись на зараженном телефоне, он сканировал установленные приложения и на основании встроенного списка целей заменял их клонами с рекламой. Список включает 16 приложений, в частности, WhatsApp, Lenovo AnyShare, Opera Mini, Flipkart и TrueCaller, а также программы, в основном популярные на индийском рынке, такие как Jio и Hotstar.

По словам исследователей, «подмена» приложений - сам по себе сложный процесс. Для внедрения вредоносного кода внутри легитимной программы эксплуатируется уязвимость Janus (CVE-2017-13156) в Android, позволяющая добавить контент в APK, не нарушая целостности цифровой подписи. В случае успеха «Agent Smith» инициирует обновление целевого приложения, а затем блокирует будущие обновления для предотвращения удаления вредоносного кода при следующем апдейте.