Aggiornamenti recenti Febbraio 7th, 2025 11:57 AM
Lug 11, 2019 Marco Schiaffino Attacchi, In evidenza, Malware, News, RSS, Vulnerabilità 0
Si chiama Agent Smith il nuovo spauracchio che si aggira per la rete e che colpisce i dispositivi Android per intasarli di pubblicità indesiderate.
Il malware sarebbe comparso su alcuni store di terze parti, infettando la bellezza di 25 milioni di dispositivi Android. Secondo Check Point, che descrive le caratteristiche del malware in un report sul suo sito Internet, il primo “focolaio” sarebbe stato 9Apps, uno store Android molto usato in India.
Il malware, contenuto all’interno di applicazioni gratuite e giochi per smartphone, agisce in maniera particolarmente insidiosa. Il codice del modulo principale è crittografato all’interno di un’immagine JPEG.
Una volta installata l’applicazione, il codice del malware viene estratto e avviato sullo smartphone sfruttando una serie di vulnerabilità conosciute che consentono la sua installazione senza che sia necessaria alcuna interazione da parte dell’utente.
Agent Smith si “mimetizza” per sembrare un’applicazione di Google e nasconde la sua icona in modo che la vittima non riesca a individuarne la presenza. I nomi utilizzati possono cambiare, ma sono sempre del tipo “Google Updater” o “Google Update for U”.
In una seconda fase, il malware si collega al server Command and Control e, subito dopo, controlla l’elenco delle applicazioni installate sullo smartphone alla ricerca di alcune app di uso comune, come Whatsapp.
Utilizza poi una vulnerabilità conosciuta come Janus, che permette di sostituire le applicazioni legittime con una versione malevola, al cui interno è presente il modulo che gestisce la visualizzazione di pubblicità indesiderate sul telefono.
Una volta completata la sua opera, il malware deve solo preoccuparsi di garantire la persistenza delle applicazioni “modificate”. Per farlo, evita che possano eseguire gli aggiornamenti da parte del legittimo sistema di update.
I trucchi utilizzati sono due. Il primo è un sistema di monitoraggio che controlla costantemente la directory dedicata agli aggiornamenti e cancella immediatamente qualsiasi file di installazione compaia al suo interno.
Il secondo, invece, impatta sul sistema che gestisce il controllo degli aggiornamenti per fare in modo che l’applicazione non abbia scadenze per il controllo.
Oltre alle caratteristiche tecniche, i ricercatori di Check Point sottolineano nel loro report il fatto che la campagna di attacchi avviata da questo gruppo di pirati informatici è estremamente aggressiva. Analizzando lo store 9Apps, gli esperti hanno infatti individuato più di 360 varianti del dropper.
Non solo: l’elenco delle applicazioni che Agent Smith prende di mira è estremamente ampio. Secondo le analisi della società di sicurezza, i 25 milioni di dispositivi infetti conterrebbero in totale 2,8 miliardi di app “modificate”. Una media di 112 per dispositivo.
Le preoccupazioni, però, riguardano anche altri aspetti. Secondo quanto si legge nel report, infatti, gli autori del malware starebbero pianificando un attacco che prenderebbe di mira direttamente Google Play. Gli esperti di Check Point, infatti, hanno individuato 11 app nello store ufficiale di Google che contengono una versione “dormiente” del malware.
Il vero rischio, però, è che Agent Smith possa evolvere in maniera ancora più preoccupante. La struttura modulare del malware, infatti, permette di introdurre qualsiasi tipo di funzionalità. In futuro potremmo assistere alla comparsa di varianti con obiettivi decisamente più nocivi rispetto alla semplice visualizzazione di messaggi pubblicitari.
Ma chi c’è dietro questo attacco? Dalle indagini dei ricercatori emerge un collegamento con una società cinese con sede a Guangzhou, che opera alla luce del sole, proponendo servizi di assistenza per gli sviluppatori Android che vogliono pubblicare le loro app sulle piattaforme estere. In pratica, una copertura perfetta.
Feb 07, 2025 0
Dic 02, 2024 0
Set 24, 2024 0
Set 16, 2024 0
Feb 06, 2025 0
Feb 05, 2025 0
Feb 04, 2025 0
Feb 03, 2025 0
Gen 30, 2025 0
Quando si parla di dati e di privacy, gli utenti si dicono...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Gen 15, 2025 0
Gli ultimi giorni dell’anno sono da sempre...Gen 08, 2025 0
Se finora l’FBI e il governo degli Stati Uniti ha...Gen 02, 2025 0
Oggi le aziende italiane non solo devono affrontare nuove e...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Feb 07, 2025 0
Un bug critico e noto di Outlook è stato sfruttato...Feb 06, 2025 0
Silent Lynx, un gruppo APT di origine kazaka, è tornato...Feb 05, 2025 0
Il team di Threat Hunting della Zero Day Initiative di...Feb 04, 2025 0
Sophos ha completato l’acquisizione di Secureworks,...Feb 03, 2025 0
Meta ha annunciato di aver smantellato una campagna di...