Des chercheurs de Check Point ont récemment découvert une nouvelle variante de logiciel malveillant pour mobile qui a discrètement infecté environ 25 millions d’appareils à l’insu total des utilisateurs.
Déguisée en application associée à Google, la partie centrale du logiciel malveillant exploite différentes vulnérabilités Android connues, et remplace automatiquement les applications installées sur l’appareil par des versions malveillantes sans nécessiter d’intervention de la part des utilisateurs.
Cette approche unique, juste-à-temps et embarquée sur l’appareil a incité les chercheurs à nommer le logiciel malveillant « Agent Smith ».
Ce logiciel malveillant accède actuellement aux ressources des appareils pour afficher des publicités frauduleuses et engranger des gains financiers. Cette activité ressemble aux campagnes précédentes telles que Gooligan, HummingBad et CopyCat. Jusqu’à présent, les principales victimes sont situées en Inde, bien que d’autres pays asiatiques tels que le Pakistan et le Bangladesh ont également été touchés.
Dans un environnement Android nettement plus sécurisé, les auteurs de « Agent Smith » semblent être passés au monde plus complexe de la recherche constante de nouvelles vulnérabilités, telles que Janus, Bundle et Man-in-the-Disk, pour créer un processus d’infection en trois étapes et constituer un botnet générant des profits. « Agent Smith » est probablement la première campagne à avoir intégré toutes ces vulnérabilités pour les utiliser ensemble. Son processus est décrit en détail ci-dessous.
Dans ce cas, « Agent Smith » est utilisé à des fins de gain financier via des publicités malveillantes. Il pourrait toutefois facilement être utilisé à des fins beaucoup plus intrusives et nuisibles, telles que le vol d’identifiants bancaires. En effet, sa capacité à ne pas faire apparaître son icône dans le lanceur et imiter les applications populaires existantes sur un appareil, lui apporte d’innombrables possibilités de nuire à l’appareil de l’utilisateur.
Check Point Research a communiqué des données à Google et aux forces de l’ordre afin de faciliter les investigations. En conséquence, les informations relatives au pirate sont provisoirement masquées dans cette publication.
Rencontre
Début 2019, l’équipe de recherche de Check Point a constaté une recrudescence des tentatives d’attaque de logiciels malveillants sur des utilisateurs d’Android en Inde, qui présentaient de fortes caractéristiques d’exploitation de vulnérabilité Janus. Tous les échantillons recueillis par notre équipe au cours de l’enquête préliminaire étaient en mesure de masquer les icônes de leurs applications, et affirmaient être des modules de mise à jour ou de vente associés à Google (un composant clé du framework Google Play).
Au bout d’une analyse plus poussée, il est apparu clairement que l’application était malveillante, et qu’elle ressemblait initialement au logiciel malveillant CopyCat découvert par Check Point Research en avril 2016. Au fur et à mesure de l’avancement des recherches, des caractéristiques uniques ont été découvertes, ce qui nous a amené à penser qu’il s’agissait d’une toute nouvelle campagne de logiciel malveillant.
Après une série d’analyses techniques (détaillées ci-dessous) et d’une recherche de menaces heuristique, nous avons découvert qu’une infection « Agent Smith » complète comporte trois phases principales :
- Une application d’injection incite une victime à l’installer de son plein gré. Elle contient le Bundle Feng Shui sous forme de fichiers chiffrés. Les variantes de cette application d’injection sont généralement des utilitaires photo, des jeux ou des applications pour adultes.
- L’application d’injection déchiffre et installe automatiquement l’APK de son code malveillant principal, qui ajoute ensuite des correctifs malveillants à des applications. Le logiciel malveillant principal est généralement déguisé en programme de mise à jour Google, Google Update pour U ou « com.google.vending ». L’icône du programme malveillant principal n’apparaît pas dans le lanceur.
- Le logiciel malveillant principal extrait la liste des applications installées sur l’appareil. S’il trouve des applications faisant partie de sa liste de proies (codée en dur ou envoyée par le serveur de commande et de contrôle), il extrait l’APK de base de l’application cible innocente sur l’appareil, ajoute des modules publicitaires malveillants à l’APK, réinstalle l’APK et remplace l’original, comme s’il s’agissait d’une mise à jour.
« Agent Smith » repackage les applications ciblées au niveau smali/baksmali. Au cours du processus d’installation de la mise à jour finale, il s’appuie sur la vulnérabilité Janus pour contourner les mécanismes d’Android de vérification de l’intégrité d’une APK. À la fin de la chaîne d’infection, « Agent Smith » détourne les applications utilisateur compromises pour afficher des publicités. Dans certains cas, les variantes interceptent les événements d’affichage des publicités légitimes des applications compromises et s’identifient sur leur réseau publicitaire avec les identifiants de publicité du pirate de la campagne « Agent Smith ».
Selon nos informations, les applications d’injection de « Agent Smith » prolifèrent via « 9Apps », une app store tierce qui cible principalement les utilisateurs indiens (hindi), arabes et indonésiens. « Agent Smith » lui-même semble toutefois cibler principalement les utilisateurs indiens.
Contrairement aux campagnes précédentes non associées à Google Play, dont les victimes sont presque exclusivement situées dans des régions et des pays moins développés, « Agent Smith » s’est immiscé avec succès dans un nombre considérable d’appareils dans des pays développés tels que l’Arabie saoudite, le Royaume-Uni et les États-Unis.