不少的駭客著眼於不法利益而侵入裝置系統,日前資安公司 Check Points 發現一家中國公司藉由感染 Android 手機,再掉包裡面的 App 塞廣告,像是電影《駭客任務》的史密斯探員一樣具備吸收別人,變成自己分身的能力,每個顯示入侵者想要呈現的廣告。
Check Points 追查到「史密斯探員」惡意程式背後是一家廣州科技公司,這家公司有正當的業務,幫助中國 Android 開發者開拓海外市場,然而掉包 App 增加廣告曝光的業務,則是該公司暗黑未曝光的業務。
史密斯探員惡意程式總共感染超過 2,500 萬個 Android 裝置,其中南亞的三國印度、巴基斯坦和孟加拉是重災區,都有百萬以上的感染數據,分別是 1,520 萬、170 萬與 250 萬的數字。
史密斯探員惡意程式被發現運用阿里巴巴 UC 優視旗下的第三方 App 市集 9Apps,然而 Check Points 在 2018 年開始觀察到史密斯探員惡意程式元件,出現在 Google Play 市集中的 App 當中。
Check Points 指出,根據掌握的證據,史密斯探員開始在為入侵 Google Play 市集,提高感染 App 的比率,伺機等待時機發動攻擊。Check Points 也向 Google 資安小組回報史密斯探員惡意程式,讓他們採取行動將含有惡意程式的 App 下架。
細數史密斯探員的侵入與取代手法相當複雜,採用 Janus 手法注入惡意程式碼,導致不會改變原先 App 的 md5 資訊,接著會將惡意程式碼放入要取代的 App,並且阻擋既有的更新程序。史密斯探員不只鎖定印度風行的 App,也鎖定一些國際市場熱門 App,如 WhatsApp、聯想的 AnyShare、Opera Mini、Flipkart 和 TrueCaller。
目前還不知道這家廣州科技公司的詳細資訊,Check Points 說仍在法律調查階段不便透露更多訊息。Check Points 藉由觀察該公司相關的職缺資訊,推測該公司開職缺時間 2018 年與史密斯探員惡意程式開始活躍時間是吻合的。
史密斯探員還只有放廣告賺取利益的狀況,但難保有一天利用已經潛入的優勢,變換任務竊取資料,像是手機持有者的銀行帳戶資料、個人隱私通訊內容等。
Agent Smith: A New Species of Mobile
New Android malware replaces legitimate apps with ad-infested doppelgangers
‘Agent Smith’ malware replaces legit Android apps with fake ones on 25 million devices
(首圖來源:時代華納 via Shift Frquency)
