不少的骇客着眼于不法利益而侵入装置系统,而日前资安公司 Check Points 发现一家中国公司借由感染 Android 手机,再掉包里面的 App 塞广告,像是电影《骇客任务》的史密斯探员一样具备吸收别人,变成自己分身的能力,每个显示入侵者想要呈现的广告。
Check Points 追查到“史密斯探员”恶意程式背后是一家广州科技公司,这家公司有正当的业务,帮助中国 Android 开发者开拓海外市场,然而掉包 App 增加广告曝光的业务,则是该公司暗黑未曝光的业务。
史密斯探员恶意程式总共感染超过 2,500 万只 Android 装置,其中南亚的三国印度、巴基斯坦和孟加拉是重灾区,都有百万以上的感染数据,分别是 1,520 万、170 万与 250 万的数字。
史密斯探员恶意程式被发现运用阿里巴巴 UC 优视旗下的第三方 App 市集 9Apps,然而 Check Points 在 2018 年开始观察到史密斯探员恶意程式元件,出现在 Google Play 市集中的 App 当中。
Check Points 指出,根据掌握的证据,史密斯探员开始在为入侵 Google Play 市集,提高感染 App 的比率,伺机等待时机发动攻击。Check Points 也向 Google 资安小组回报史密斯探员恶意程式,让他们采取行动将含有恶意程式的 App 下架。
细数史密斯探员的侵入与取代手法相当复杂,采用 Janus 手法注入恶意程式码,导致不会改变原先 App 的 md5 资讯,接着会将恶意程式码放入要取代的 App,并且阻挡既有的更新程序。史密斯探员不只锁定印度风行的 App,也锁定一些国际市场热门 App,如 WhatsApp、联想的 AnyShare、Opera Mini、Flipkart 和 TrueCaller。
目前还不知道这家广州科技公司的详细资讯,Check Points 说仍在法律调查阶段不变透漏更多讯息。Check Points 借由观察该公司相关的职缺资讯,推测该公司贴职缺时间 2018 年与史密斯探员恶意程式开始活跃时间是吻合的。
史密斯探员还只有放广告赚取利益的状况,但难保有一天利用已经潜入的优势,变换任务窃取资料,像是手机持有者的银行账户资料、个人隐私通讯内容等。
- Agent Smith: A New Species of Mobile
- New Android malware replaces legitimate apps with ad-infested doppelgangers
- ‘Agent Smith’ malware replaces legit Android apps with fake ones on 25 million devices
(首图来源:时代华纳 via Shift Frquency)