Investigadores de ciberseguridad revelaron ayer detalles sorprendentes sobre una campaña generalizada de malware para Android en la que los atacantes reemplazaron silenciosamente las aplicaciones legítimas instaladas con sus versiones maliciosas en casi 25 millones de teléfonos móviles.
Según los investigadores de Check Point, los atacantes están distribuyendo un nuevo tipo de malware para Android que se disfraza de edición de fotos de aspecto inocente, entretenimiento para adultos o aplicaciones de juegos y está disponible a través de las tiendas de aplicaciones de terceros ampliamente utilizadas.
Apodado Agente Smith , el malware aprovecha múltiples vulnerabilidades de Android, como la falla de Janus y la falla de Man-in-the-Disk , e inyecta código malicioso en los archivos APK de aplicaciones específicas instaladas en un dispositivo comprometido y luego vuelve a aparecer automáticamente. Instálelos / actualícelos sin el conocimiento o interacción de las víctimas.
"No es suficiente para esta familia de malware intercambiar solo una aplicación inocente con un doble infectado. Lo hace para todas y cada una de las aplicaciones en el dispositivo, siempre que los nombres de los paquetes estén en su lista de presas", escribieron los investigadores en su informe publicado el miércoles.
"Con el tiempo, esta campaña también infectará el mismo dispositivo, repetidamente, con los últimos parches maliciosos. Esto nos lleva a estimar que hay más de 2.8 mil millones de infecciones en total, en alrededor de 25 millones de dispositivos únicos, lo que significa que, en promedio, cada víctima Habría sufrido aproximadamente 112 intercambios de aplicaciones inocentes ".
Los investigadores se encontraron inicialmente con el malware Agent Smith a principios de 2019, que se encontraba principalmente en dispositivos Android en la India (con 15 millones de dispositivos infectados) y en otros países asiáticos cercanos como Pakistán, Bangladesh, Indonesia y Nepal.
Sin embargo, el malware también afectó a un número considerable de dispositivos en los Estados Unidos (más de 300,000 dispositivos infectados), Australia (más de 140,000 dispositivos infectados) y el Reino Unido (más de 135,000 dispositivos infectados).
Además de las tiendas de aplicaciones de terceros, los investigadores también encontraron al menos 11 aplicaciones infectadas en Google Play Store en los últimos meses que contienen componentes malintencionados pero inactivos de Agent Smith.
Esto indica claramente que los actores de amenazas detrás de esta campaña de malware también están tratando de encontrar una manera en la plataforma de descarga de aplicaciones móviles de Google para difundir su adware. Google ha eliminado todas las aplicaciones de su tienda.
Dado que el Agente Smith ha infectado principalmente a los usuarios que descargaron aplicaciones de tiendas de aplicaciones de terceros, se recomienda siempre a los usuarios que descarguen aplicaciones de tiendas de aplicaciones confiables para mitigar el riesgo de infección. Además, descargue aplicaciones solo de desarrolladores de confianza.
También se recomienda a los usuarios que desinstalen las aplicaciones que sospechen que pueden ser maliciosas dirigiéndose al Menú de configuración, haciendo clic en Aplicaciones o Administrador de aplicaciones, y luego Desplácese a la aplicación sospechosa y desinstálela.
Debido a la vulnerabilidad clave que el Agente Smith está explotando se remonta a 2017 y ya se ha actualizado, se recomienda a los desarrolladores de aplicaciones móviles que implementen el último APK Signature Scheme V2 para evitar que las aplicaciones maliciosas aprovechen la vulnerabilidad de Janus de Android contra sus aplicaciones.
