已感染全球2500万台安卓设备，新型安卓手机病毒Agent Smith来袭

"\u003Cdiv\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp9.pstatp.com\u002Flarge\u002Fpgc-image\u002Fa83a39e412a640c79d25aee257ce5762\" img_width=\"2060\" img_height=\"1030\" alt=\"已感染全球2500万台安卓设备，新型安卓手机病毒Agent Smith来袭\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E近日，网络安全公司Check Point旗下的研究人员Aviran Hazum、Feixiang He、Inbal Marom、Bogdan Melnykov和Andrey Polkovnichenko发现了一种全新的手机病毒——Agent Smith。截止到目前，该病毒已在全球范围内感染了大约2500万台安卓设备。\u003C\u002Fp\u003E\u003Cp\u003E初步分析显示，Agent Smith主要通过虚假的图片处理、游戏或“成人”APP进行传播，且能够利用多个已知的安卓系统漏洞（如Janus漏洞），以及隐藏APP的图标。\u003C\u002Fp\u003E\u003Cp\u003E在无需任何用户交互的情况下，Agent Smith能够使用受感染设备上已安装APP的恶意版本替换原来的合法版本，进而通过展示大量的恶意广告来给攻击者带来相当可观的收益。\u003C\u002Fp\u003E\u003Ch1\u003E感染过程\u003C\u002Fh1\u003E\u003Cp\u003E经过深入分析，研究人员最终确认Agent Smith的感染过程大致可以分为三个阶段：\u003C\u002Fp\u003E\u003Cp\u003E1.利用虚假图片处理、游戏或“成人”APP引诱受害者下载及安装；\u003C\u002Fp\u003E\u003Cp\u003E2.虚假APP安装完成后，会自动解密并安装伪装成谷歌更新程序（（如Google Updater、Google Update for U或“com.google.vending”）的apk文件（内含Agent Smith）；\u003C\u002Fp\u003E\u003Cp\u003E3. 接下来，Agent Smith便会提取受感染设备中已安装APP的列表。如果发现目标APP，则会以目标APP更新的形式安装恶意广告模块。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp3.pstatp.com\u002Flarge\u002Fpgc-image\u002F1861aa000353468b8d3cc41058906e24\" img_width=\"917\" img_height=\"431\" alt=\"已感染全球2500万台安卓设备，新型安卓手机病毒Agent Smith来袭\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Ch1\u003EAgent Smith分析\u003C\u002Fh1\u003E\u003Cp\u003E研究人员表示，Agent Smith具有模块化的结构，主要由如下模块构成：\u003C\u002Fp\u003E\u003Cul\u003E\u003Cli\u003ELoader\u003C\u002Fli\u003E\u003Cli\u003ECore\u003C\u002Fli\u003E\u003Cli\u003EBoot\u003C\u002Fli\u003E\u003Cli\u003EPatch\u003C\u002Fli\u003E\u003Cli\u003EAdSDK\u003C\u002Fli\u003E\u003Cli\u003EUpdater\u003C\u002Fli\u003E\u003C\u002Ful\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp3.pstatp.com\u002Flarge\u002Fpgc-image\u002Fa8851fb2dcfd4e62a1dbd2977115e522\" img_width=\"1001\" img_height=\"321\" alt=\"已感染全球2500万台安卓设备，新型安卓手机病毒Agent Smith来袭\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E\u003Cstrong\u003ELoader模块\u003C\u002Fstrong\u003E\u003C\u002Fp\u003E\u003Cp\u003ELoader模块的作用只有一个，那就是提取并运行Agent Smith的Core模块。\u003C\u002Fp\u003E\u003Cp\u003E提取成功之后，Loader模块会通过安卓处理大型DEX文件的合法机制将如下所示恶意代码注入到目标APP中。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002Ff409ae0080bb47e293f6dbd5a0d4f916\" img_width=\"743\" img_height=\"226\" alt=\"已感染全球2500万台安卓设备，新型安卓手机病毒Agent Smith来袭\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E一旦注入成功，Loader模块就会使用反射技术来初始化并启动Core模块。\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003ECore模块\u003C\u002Fstrong\u003E\u003C\u002Fp\u003E\u003Cp\u003ECore模块位于伪装成谷歌更新程序的apk文件中，且经过加密并伪装成JPG文件的。如下图所示，前2个字节是JPG文件的header，而剩余部分则是使用XOR编码的Agent Smith 的payload。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002Faa77f410103b4ed78896ead364ba53b7\" img_width=\"377\" img_height=\"163\" alt=\"已感染全球2500万台安卓设备，新型安卓手机病毒Agent Smith来袭\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003ECore模块负责与C＆C服务器进行通信，以接收目标APP列表，具体如下：\u003C\u002Fp\u003E\u003Cul\u003E\u003Cli\u003Ewhatsapp\u003C\u002Fli\u003E\u003Cli\u003Elenovo.anyshare.gps\u003C\u002Fli\u003E\u003Cli\u003Emxtech.videoplayer.ad\u003C\u002Fli\u003E\u003Cli\u003Ejio.jioplay.tv\u003C\u002Fli\u003E\u003Cli\u003Ejio.media.jiobeats\u003C\u002Fli\u003E\u003Cli\u003Ejiochat.jiochatapp\u003C\u002Fli\u003E\u003Cli\u003Ejio.join\u003C\u002Fli\u003E\u003Cli\u003Egood.gamecollection\u003C\u002Fli\u003E\u003Cli\u003Eopera.mini.native\u003C\u002Fli\u003E\u003Cli\u003Estartv.hotstar\u003C\u002Fli\u003E\u003Cli\u003Emeitu.beautyplusme\u003C\u002Fli\u003E\u003Cli\u003Edomobile.applock\u003C\u002Fli\u003E\u003Cli\u003Etouchtype.swiftkey\u003C\u002Fli\u003E\u003Cli\u003Eflipkart.android\u003C\u002Fli\u003E\u003Cli\u003Ecn.xender\u003C\u002Fli\u003E\u003Cli\u003Eeterno\u003C\u002Fli\u003E\u003Cli\u003Etruecaller\u003C\u002Fli\u003E\u003C\u002Ful\u003E\u003Cp\u003E如果在受感染设备上安装有任意一款目标APP，就会利用Bundle系列漏洞或Janus漏洞将Boot模块注入到目标APP中。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002Ff013f6b93b3145c79005f77e11c9cc7d\" img_width=\"901\" img_height=\"206\" alt=\"已感染全球2500万台安卓设备，新型安卓手机病毒Agent Smith来袭\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E\u003Cstrong\u003EBoot模块\u003C\u002Fstrong\u003E\u003C\u002Fp\u003E\u003Cp\u003E从功能上讲，Boot模块相当于另一个Loader模块，主要负责提取并运行Agent Smith的payload——Patch模块。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002F167ee036d1024dd8a8a6c01af19ee5c7\" img_width=\"257\" img_height=\"678\" alt=\"已感染全球2500万台安卓设备，新型安卓手机病毒Agent Smith来袭\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E具体来讲，在Patch模块成功提取之后，Boot模块就会在受感染设备每一次重启时使用与Loader模块所使用的相同的技术来执行它。\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003EPatch模块\u003C\u002Fstrong\u003E\u003C\u002Fp\u003E\u003Cp\u003EPatch模块主要负责挂钩恶意广告SDK，且能够禁用目标APP的自动更新功能，以确保它不会因为更新而被覆盖。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002Fd543e0302578492b8bf54b1eb1e93ab2\" img_width=\"1315\" img_height=\"204\" alt=\"已感染全球2500万台安卓设备，新型安卓手机病毒Agent Smith来袭\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E为此，Agent Smith使用了这样一种方法——设置update的timeout时间，使得目标APP进入无限循环的更新检查中。 \u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp3.pstatp.com\u002Flarge\u002Fpgc-image\u002F95f6b0a11e844de499232a3637335b1d\" img_width=\"1114\" img_height=\"128\" alt=\"已感染全球2500万台安卓设备，新型安卓手机病毒Agent Smith来袭\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Ch1\u003E感染状况\u003C\u002Fh1\u003E\u003Cp\u003E研究人员表示，Agent Smith的危害性非常大，因为只要受感染设备已安装的APP在Agent Smith的目标APP列表之内就会遭到感染，且随着Patch模块的更新，目标APP列表也在更新。\u003C\u002Fp\u003E\u003Cp\u003E换句话来说，Agent Smith会重复不断地感染同一台设备，进而感染任何一款有可能存在的目标APP，以寻求利益最大化。\u003C\u002Fp\u003E\u003Cp\u003E到目前为止，Agent Smith的全球感染次数总量已经超过28亿次，约有2500万台不同的设备遭到感染，即平均每台设备的感染次数为112次。\u003C\u002Fp\u003E\u003Cp\u003E如上所述，Agent Smith主要通过虚假的图片处理、游戏或“成人”APP进行传播。除此之外，还包括一些媒体播放器、系统工具等APP。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp3.pstatp.com\u002Flarge\u002Fpgc-image\u002F3910a39fb47c494fb652205c16c1ec5c\" img_width=\"643\" img_height=\"518\" alt=\"已感染全球2500万台安卓设备，新型安卓手机病毒Agent Smith来袭\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E其中，下载量排名\u003Cspan\u003E靠前\u003C\u002Fspan\u003E的5款APP已经被下载了超过780万次。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp9.pstatp.com\u002Flarge\u002Fpgc-image\u002Fac0e3883d0424c8a9e633e3059fb1d1d\" img_width=\"960\" img_height=\"679\" alt=\"已感染全球2500万台安卓设备，新型安卓手机病毒Agent Smith来袭\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E从地理位置来看，Agent Smith的主要感染目标似乎是印度用户，占感染总量的59%。另外，与此前类似的病毒不同，Agent Smith不仅对发展中国家造成了影响，一些发达国家也未能幸免遇难。比如，美国的感染量为30.3万、沙特阿拉伯 24.5万、澳大利亚 14.1万、英国13.7万。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp3.pstatp.com\u002Flarge\u002Fpgc-image\u002F25b0d01340e9495dafb01030a1f8d701\" img_width=\"1489\" img_height=\"875\" alt=\"已感染全球2500万台安卓设备，新型安卓手机病毒Agent Smith来袭\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E至于受感染设备的品牌，则包含了三星、小米、Vivo、Oppo、联想等等，具体如下图所示。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002F6d03dd5c19b84cf586ce8cdc6995ca6e\" img_width=\"998\" img_height=\"815\" alt=\"已感染全球2500万台安卓设备，新型安卓手机病毒Agent Smith来袭\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Ch1\u003E结论\u003C\u002Fh1\u003E\u003Cp\u003E从目前来看，尽管隐藏在Agent Smith背后的攻击者似乎主要是想通过展示恶意广告来获取非法收益，但Agent Smith所具备的功能使得它能够被用来进行更广泛的恶意操作，如信息窃取、加密勒索等。\u003C\u002Fp\u003E\u003Cp\u003EAgent Smith的出现提醒我们，单靠系统开发人员的努力并不足以构建一个安全的安卓生态系统。它还需要设备制造商、APP开发人员以及用户的关注和行动，以便及时发现、修补可能存在的安全漏洞。\u003C\u002Fp\u003E\u003Cp\u003E本文由 \u003Cstrong\u003E黑客视界\u003C\u002Fstrong\u003E 综合网络整理，图片源自网络；转载请注明“\u003Cstrong\u003E转自黑客视界\u003C\u002Fstrong\u003E”，并附上链接。\u003C\u002Fp\u003E\u003Cp\u003E想了解相关安全技术，请搜索\u003Cstrong\u003E“墨者学院”\u003C\u002Fstrong\u003E，或直接访问“\u003Cstrong\u003Ewww.mozhe.cn\u003C\u002Fstrong\u003E”。\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E"'.slice(6, -6), groupId: '6713798799338242572

已感染全球2500万台安卓设备，新型安卓手机病毒Agent Smith来袭

热门新闻

周热门

已感染全球2500万台安卓设备，新型安卓手机病毒Agent Smith来袭

数字化应用要落到“实”处

大豪科技：2023年扣非净利同比增长15.61% 2024年一季度净利润同比增长103.69%

微软支持的网络安全独角兽Rubrik即将登陆美股 估值约61亿美元

天融信2023年营收31.24亿元 信创业务收入增长33.01%

天融信2023年报“喜忧参半”：现金流增长近8亿元，商誉减值拖累利润

操弄网络攻击溯源 栽赃陷害中国——揭开“伏特台风”真相

美国电信巨头承认了：7000多万用户信息遭泄露

谷歌增强安卓无障碍体验：用 AI 描述周围环境等

小米澎湃OS首批适配Android 15！小米14等四款机型已发布开发者预览版

iOS 版谷歌 Chrome 浏览器正测试引入“圈选即搜”功能

安卓新一代”神机“即将发布 参数全面曝光

Google Cloud首次推出基于Arm的Axion云CPU

聚焦企业AI应用 谷歌云计算大会发布Google Vids、Gemini代码助手等新产品

开发者称苹果过度注重隐私，Vision Pro 潜能难发挥

Google Maps 引入 AI 工具：概述餐厅 / 景点特色、增强本地人推荐内容等

热门新闻

周热门

微软支持的网络安全独角兽Rubrik即将登陆美股估值约61亿美元

天融信2023年营收31.24亿元信创业务收入增长33.01%

操弄网络攻击溯源栽赃陷害中国——揭开“伏特台风”真相

安卓新一代”神机“即将发布参数全面曝光

聚焦企业AI应用谷歌云计算大会发布Google Vids、Gemini代码助手等新产品