Un nouveau malware Android remplace les applications légitimes par des sosies infestés de publicités

Une nouvelle opération malveillante «Agent Smith» se prépare à envahir le Google Play Store.

Une nouvelle souche de malware Android a été découverte qui peut infecter les appareils et remplacer les applications légitimes par des clones qui affichent un déluge de publicités pour les bénéfices d’un groupe criminel.

Le malware, nommé Agent Smith, a fait plus de 25 millions de victimes, selon un rapport partagé avec ZDNet avant sa publication par la société de cybersécurité Check Point.

La grande majorité des victimes se trouvent en Inde (15,2 millions), au Bangladesh (2,5 millions) et au Pakistan (1,7 million), et la plupart des utilisateurs restent infectés pendant une période d’au moins deux mois.

LOGICIEL MALVEILLANT EXPLOITÉ PAR UNE SOCIÉTÉ CHINOISE

Check Point, qui a découvert ce malware plus tôt cette année, affirme avoir retrouvé ses opérateurs dans une entreprise technologique chinoise située dans la ville de Guangzhou.

Selon les chercheurs, la société exploite une entreprise légitime frontale qui aide les développeurs d’applications Android chinois à publier et à promouvoir leurs applications sur des plates-formes étrangères.

Cependant, Check Point a déclaré avoir trouvé des annonces pour des postes qui étaient cohérents avec l’exploitation de l’infrastructure du logiciel malveillant Agent Smith et n’avaient aucun lien avec les activités réelles de l’entreprise.

Les offres d’emploi ont été publiées à partir de 2018, lorsque Check Point a déclaré que les premières versions du logiciel malveillant avaient également commencé à apparaître. Les chercheurs n’ont pas partagé d’autres détails sur l’entreprise, citant une enquête policière en cours.

ACTIF DEPUIS 2018, CIBLE DÉSORMAIS LE PLAY STORE

Quant au malware lui-même, il y a des nouvelles inquiétantes pour les utilisateurs d’Android.

Alors que la forme actuelle du malware Agent Smith est apparue au début de 2018 et existe depuis plus d’un an, la plupart du temps, elle n’a été distribuée que via des applications Android piégées téléchargées sur 9Apps, une boutique d’applications Android indépendante gérée par UCWeb, le développeur derrière le navigateur Android UC Browser.

Cependant, Check Point a déclaré qu’au cours des derniers mois, des applications infectées par des composants utilisés dans le déploiement du malware Agent Smith ont également commencé à apparaître sur le Google Play Store.

La société a déclaré qu’elle avait déjà détecté 11 applications de ce type, montrant que les opérateurs de logiciels malveillants établissaient la base d’une campagne de distribution tirant parti de la boutique d’applications Android officielle.

Chronologie de l'agent Smith
Image: Point de contrôle

« Les preuves suggèrent que l’acteur de ‘Agent Smith’ jette actuellement les bases, augmentant son taux de pénétration de Google Play et attendant le bon moment pour lancer les attaques », a déclaré Check Point.

« Au moment de cette publication, deux applications infectées par [Agent Smith] ont atteint 10 millions de téléchargements, tandis que d’autres en sont encore à leurs débuts. »

Heureusement, Check Point a saboté ce déploiement précoce, signalant les applications infectées à l’équipe de sécurité de Google, qui est intervenue et a supprimé toutes les applications.

MODUS OPERANDI SOURNOIS DE L’AGENT SMITH

Mais malgré ce retrait précoce, les utilisateurs d’Android ne devraient pas se sentir en sécurité. Le malware Agent Smith est incroyablement difficile à détecter et possède également une nouvelle structure et une méthodologie d’infection qui le rendent difficile à détecter jusqu’à ce qu’il soit trop tard et qu’un téléphone ait été compromis.

Le logiciel malveillant, qui est apparu pour la première fois en 2016, mais fonctionnait comme tout autre logiciel publicitaire ennuyeux qui fustigeait les utilisateurs avec des publicités, s’est transformé en une opération très complexe en 2018.

Depuis mai 2018 environ, le malware Agent Smith a commencé à utiliser un mécanisme d’infection en trois parties comparable aux opérations de malware Android les plus avancées connues à ce jour, telles que CopyCat , Gooligan et HummingBad .

Le logiciel malveillant s’appuie sur ses opérateurs qui jonchent un magasin d’applications avec des applications bénignes mais pleinement opérationnelles. Dans ce cas particulier, l’équipe de l’agent Smith a utilisé un code malveillant caché dans des jeux, des utilitaires ou des applications sur le thème des adultes téléchargées sur le magasin 9Apps.

Les utilisateurs téléchargeraient ces applications, qui contenaient un composant malveillant (déguisé en SDK – un kit de développement logiciel) qui téléchargerait et installerait plus tard un autre package d’application Android (APK) contenant le malware Agent Smith.

Une fois sur un téléphone infecté, l’agent Smith analysait les applications installées localement et, en utilisant une liste interne de cibles, remplaçait les applications d’origine par des clones infectés par la publicité.

Cette liste comprend 16 noms de packages d’applications, la grande majorité des applications étant celles qui sont populaires sur le marché indien, telles que diverses applications Jio et Hotstar, mais également des applications internationales telles que WhatsApp, AnyShare de Lenovo, Opera Mini, Flipkart et TrueCaller.

Ce processus de « remplacement » est en lui-même très complexe, a déclaré Check Point. Le malware Agent Smith utilise la technique Janus pour injecter du code malveillant dans une application légitime, mais sans affecter son hachage de fichier MD5.

Si cela réussit, l’agent Smith déclenche une mise à jour de l’application injectée, cimentant le code malveillant dans l’application légitime, puis bloquant les futures mises à jour de l’application, de sorte qu’il ne sera pas supprimé lors d’une mise à jour ultérieure de l’application.

L’ensemble du processus est assez furtif et innovant, et il est très surprenant de le voir utilisé pour quelque chose d’aussi banal qu’un adware, alors que c’est une technique que vous vous attendez à voir utilisée pour des logiciels espions ou des menaces plus dangereuses – ce que les chercheurs de Check Point sont également très bien conscient.

«Aujourd’hui, ce malware affiche des publicités indésirables, demain il pourrait voler des informations sensibles; des messages privés aux informations d’identification bancaires et bien plus encore», ont-ils déclaré.