Agent Smith, il malware Android che ha colpito 25 milioni di dispositivi

11 Luglio 2019 275

Agent Smith identifica un malware recentemente scoperto dai ricercatori di Check Point Research che ha infettato circa 25 milioni di dispostivi Android. Oltre al numero di per sé rilevante delle vittime, è degna di nota anche la tecnica utilizzata dagli hacker per finalizzare l'attacco ed utile l'insegnamento che l'utente finale dovrebbe trarre dalla vicenda.

Agent Smith - omaggio all'omonimo personaggio della trilogia di Matrix (foto in apertura) - può infettare tutti i dispositivi basati su Android 7 e versioni superiori, si nasconde in un'app scaricabile da store non ufficiali e sostituisce in automatico applicazioni installate sullo smartphone con versioni dannose, il tutto all'insaputa dell'utente.

L'app così modificata inizia a mostrare annunci pubblicitari a scopo di lucro. Il malware tuttavia potrebbe però essere utilizzato per raggiungere ulteriori scopi, come ad esempio la sottrazione di informazioni personali - come i dati bancari - o le intercettazioni. La buona notizia è che, al momento, le principali segnalazioni provengono dall'India e da altri Paesi asiatici, ma non mancano casi registrati negli Stati Uniti, in America e nel Regno Unito.

Lo schema d'attacco di Agent Smith

Lo schema di attacco può essere sintetizzato in tre fasi:

  • Nella prima l'utente scarica l'applicazione dropper (è un tipo di trojan progettato per installare altri malware) da uno store non ufficiale, come 9Apps. Si presenta sotto forma di giochi gratuiti, app per la produttività personale o che offrono contenuti per adulti. Una volta scaricata, l'app dropper controlla se sono installate nel dispositivo app molto diffuse (es. WhatsApp o MXPlayer) per individuare il bersaglio
  • Nella seconda fase, l'app dropper decripta nella forma originale il malware (un file APK) di cui si fa vettore e procede ad installarlo sfruttando diverse vulnerabilità di Android
  • Nell'ultima fase la parte centrale del malware estrae i file APK delle applicazioni precedentemente identificate e inizia a modificarli con elementi dannosi; da ultimo, sfruttando altre vulnerabilità, sostituisce la versione originale con quella modificata.

Come si può intuire, la tecnica è particolarmente insidiosa per l'utente finale che prima non si rende mai conto dell'azione dell'app dropper e, quando il malware completa la sua azione, di utilizzare la versione modificata di un'app innocua e molto popolare

Per tornare all'insegnamento accennato in apertura, scaricare app da store non ufficiali non è consigliato. Anche quando si tratta di contenuti inseriti nel Play Store si verificano casi di app che o contengono malware o continuano a rimanere online anche in violazione delle regole fissate da Google - si veda il recente report sulle app che raccolgono dati personali anche senza permesso. A maggior ragione gli store non ufficiali, che come tali hanno tendenzialmente misure di sicurezza inferiori, dovrebbero essere evitati per non incappare in app dannose. Chi invece sospetta di utilizzare un'app colpita da Agent Smith dovrà procedere alla disinstallazione.

Il miglior display sul mercato e un design fantastico? OnePlus 7 Pro è in offerta oggi su a 596 euro oppure da Amazon a 761 euro.

275

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
franky29

io farei un tentativo

Federico

Ma cosa diavolo c'entra la difficoltà con la correttezza del confronto?
Se devi paragonare due oggetti è evidente che le condizioni debbano essere omogenee.
Quindi va stabilita la facilità di contrarre malware da parte di terminali iOS che scaricano software indifferente da sorgenti ufficiali e non ufficiali
È semplicemente ridicolo sotto il profilo statistico raffrontare iOS che prelevano software unicamente attraverso canali ufficiali con Android che (contrariamente alle indicazioni del costruttore) lo fanno anche da sorgenti diverse.
È una statistica che non sta in piedi, capisci?

Senzanima

Continui ad arrampicarti sugli specchi. È oggettivamente più difficile se non impossibile, per un utente medio, effettuare il jailbreak. Infatti questo è un virus che ha colpito maggiormente Android. Stai in errore e lo sai, basta prenderne atto. Il paragone va fatto tra i due OS così come sono. Uno dà la possibilità di installare app al di fuori dello store ufficiale, l'altro no. La questione finisce qui.

Federico

Stiamo parlando di un malware che si contrae SOLO fuori dal Play Store, così come la grande parte dei malware.
Dunque se vuoi fare un paragone con Apple devi parlare di dispositivi iOS che installano applicazioni da sorgenti differenti da quella Apple
In caso contrario il confronto non ha senso.
È una questione di correttezza di metodo, non di difendere qualcosa

Senzanima

Ti arrampichi sugli specchi. Per installare applicazioni fuori dal Play Store basta spuntare qualche voce nelle impostazioni, cosa che chiunque saprebbe fare. Per effettuare il jailbreak su iOS (per poi installare applicazioni da Cydia o chissà dove) è necessario seguire una lunga guida che richiede un computer ed appositi programmi, non alla portata di tutti. Le due cose non sono comparabili. Inoltre è Android stesso che dà la possibilità di installare applicazioni fuori dal Play Store, mentre iOS no, ed effettuare il jailbreak invalida la garanzia. Diciamo che pur di difendere un OS bucato come un colabrodo, insicuro, e pieno di virus anche nello store ufficiale scrivi corbellerie, sì insomma, fandonie, inesattezze, frottole, favole, bugie.

Federico

Sono fantastiche queste repliche prive di motivazione, le uniche che può dare chi interviene senza adeguata preparazione

Senzanima

https://uploads.disquscdn.c...

MetalSir

Ma lo sai che tra i tanti siti che mi metteva in evidenza Google now, ho aperto solo quello di HDblog proprio per questo pensiero?

Federico

No perché senza jailbreak non si possono installare applicazioni non ufficiali e questo malware (come la stragrande maggioranza dei malware) si contrae SOLO al di fuori del Play Store.
Dunque per un confronto paritetico quanto a pericolosità devi confrontare il dispositivo Android con un iOS sbloccato il cui utente scarica software da sorgenti non ufficiali.

Senzanima

Appunto, con un semplice tap. Mentre per eseguire il jailbreak occorre eseguire una procedura che richiede programmi specifici ed un computer. Molto diversa la cosa. Praticamente mi hai dato ragione.

Andrea Z.

e quindi? forse non lo sai ma è capitato che venissero bucati i repository di una distribuzione linux e sostituiti i pacchetti con malware.
tu vedi i sorgenti da una parte, e ti "fidi" di f-droid sul fatto che il binario apk che scarichi sia la conseguenza di quei sorgenti.
Ma non hai alcun modo di esserne sicuro.
Ripeto, senza malizia verso f-droid, se è una azienda piccola e con poche risorse non è uno store sicuro. E non si sa chi siano, dove siano, a quali autorità obbediscano.

Martino Fontana

Le app su F-Droid devono essere per forza open source.

Giorgio
dbomab
Davide Peretti

11 millioni di utenti solo un anno fa.. Ad oggi sicuramente di più e sono pochi?

Davide Peretti

L'ho pensato mentre leggevo anche io.. Certo e che più le tecnologie vanno verso l'integrazione dei dati.. Vedi google che registra le password per semplificare l'inserimento delle decine di password o semplicemente il fatto che sul cellulare ci sono praticamente tutti di una persona, più infettare un dispositivo può portare a dei gravi danni. La sicurezza dovrebbe cambiare e migliorare a partire da un controllo incrociato impronta scansione oculare e non centinaia di password da cambiare in continuazione..

Lightlink

Dici che è necessario? Fra pochi mesi penso di cambiare telefono, mi scoccia fare hard reset.

Guglielmi Maurizio

E una volta installato il virus, scopri che hanno pure il tarallo

Darioxx96
UnoQualunque

Non è assolutamente vero, lo store di microsoft è praticamente abbandonato, Office lo scarichi dal tuo account di office 365 e non dallo store, tutte le app si possono usare tranquillamente senza account microsoft. L'unica cosa che non puoi fare senza account è la sincronizzazione tra dispositivi, cosa che interessa a me e a pochi altri, ed è anche per quello che non voglio un account google. Ho tutto su un account e non voglio avere altri miei account aperti ma inutilizzati. Con un account devo poter fare tutto.

daniele

Ehm.. si? Qualsiasi test lo dimostra. Questo dell'articolo invece è autolesionismo

Salvatore Esposito
Salvatore Esposito
franky29

Formatta

franky29

Bravoh

franky29

Non è che per essere utilizzabile deve essere per forza stabile

Happy Harry
Barone Von Zeppeli

Vabbè basta un piede di God Sigma per spiaccicare Smith

Barone Von Zeppeli

In realtà ti ha infettato, e anche tu ora sei un clone si Smith.
Trinity aiutami!

Happy Harry
daniele

Sono stupito, da qaundo iphone ha il copia incolla? iOS 133?

daniele

Ahaha 250gr di ferro vecchio

daniele

Beh ci sono anche bambini con android, siamo l'80% d'altronde

Maximus

era ironia..il riferimento a windows mobile non ha alcun senso.

daniele

Esatto non nelle vie ufficiali

daniele

Ti piacerebbe, android è sicuro tanto quanto se nn più di ios

daniele

Mai nella vita in un iPhone

Salvatore Esposito
TheFluxter
SLM

Mediocramente stitico.

dbomab

Plot twist: aprendo questa webpage installerai il virus sul tuo dispositivo

Salvatore Esposito
TheFluxter
Federico

Assolutamente no, basta abilitare il browser all'installazione del software ed autorizzare il terminale ad installare da sorgenti esterne al Play Store.
Entrambe le opzioni sono disabilitate di default (ovviamente) ma l'utente è libero di abilitarle con un semplice tap.

Ciskje

Attenzione, agent Smith usa la vulnerabilità janus che NON infetta Android 7 che usa le signature v2 (quindi niente injection Dex) al contrario di quello che avete scritto.
C'è un bell'articolo su guardsquare

Senzanima

Ma per scaricare fuori dal Play Store non occorre effettuare lo sblocco del dispositivo seguendo una lunga procedura da fare con un computer. Sbaglio?

LordRed

Si, probabilmente voleva solo pubblcizzare il suo blog di seconda scelta che non ha neanche un dominio proprietario

Federico

Questa malware si contrae solo scaricando software fuori dal Play Store, e mi pare che per scaricare fuori dall'app Store sis necessario il Jailbreak.
Sbaglio?

ErCipolla

Stai ingigantendo il fenomeno delle installazioni fuori Store. Una cura più attenta a ciò che passa dal play store ufficiale e a mio avviso il problema non si pone.

Perché diciamocelo: il tuo contenzioso è con le installazioni fuori store, ma te lo dice anche google che sei a rischio quando attivi le origini sconosciute. Tanto è che se noti ste notizie arrivano sempre da paesi dove c'è scarsa cultura informatica e alto tasso di pirateria (in questo caso l'India).

Samsung

Xiaomi Mi 9T VS Samsung Galaxy A50: confronto fra best buy

HDMotori.it

Mazda Skyactiv-X: come funziona il benzina che si crede un diesel

Samsung

Recensione Samsung Galaxy A80 (2019): la fotocamera rotante non basta

Amazon

Le migliori offerte dell'Amazon Prime Day 2019 | Martedì 16 luglio