已感染全球2500萬臺安卓設備，新型安卓手機病毒Agent Smith來襲

"\u003Cdiv\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp9.pstatp.com\u002Flarge\u002Fpgc-image\u002Fa83a39e412a640c79d25aee257ce5762\" img_width=\"2060\" img_height=\"1030\" alt=\"已感染全球2500萬臺安卓設備，新型安卓手機病毒Agent Smith來襲\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E近日，網絡安全公司Check Point旗下的研究人員Aviran Hazum、Feixiang He、Inbal Marom、Bogdan Melnykov和Andrey Polkovnichenko發現了一種全新的手機病毒——Agent Smith。截止到目前，該病毒已在全球範圍內感染了大約2500萬臺安卓設備。\u003C\u002Fp\u003E\u003Cp\u003E初步分析顯示，Agent Smith主要通過虛假的圖片處理、遊戲或“成人”APP進行傳播，且能夠利用多個已知的安卓系統漏洞（如Janus漏洞），以及隱藏APP的圖標。\u003C\u002Fp\u003E\u003Cp\u003E在無需任何用戶交互的情況下，Agent Smith能夠使用受感染設備上已安裝APP的惡意版本替換原來的合法版本，進而通過展示大量的惡意廣告來給攻擊者帶來相當可觀的收益。\u003C\u002Fp\u003E\u003Ch1\u003E感染過程\u003C\u002Fh1\u003E\u003Cp\u003E經過深入分析，研究人員最終確認Agent Smith的感染過程大致可以分爲三個階段：\u003C\u002Fp\u003E\u003Cp\u003E1.利用虛假圖片處理、遊戲或“成人”APP引誘受害者下載及安裝；\u003C\u002Fp\u003E\u003Cp\u003E2.虛假APP安裝完成後，會自動解密並安裝僞裝成谷歌更新程序（（如Google Updater、Google Update for U或“com.google.vending”）的apk文件（內含Agent Smith）；\u003C\u002Fp\u003E\u003Cp\u003E3. 接下來，Agent Smith便會提取受感染設備中已安裝APP的列表。如果發現目標APP，則會以目標APP更新的形式安裝惡意廣告模塊。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp3.pstatp.com\u002Flarge\u002Fpgc-image\u002F1861aa000353468b8d3cc41058906e24\" img_width=\"917\" img_height=\"431\" alt=\"已感染全球2500萬臺安卓設備，新型安卓手機病毒Agent Smith來襲\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Ch1\u003EAgent Smith分析\u003C\u002Fh1\u003E\u003Cp\u003E研究人員表示，Agent Smith具有模塊化的結構，主要由如下模塊構成：\u003C\u002Fp\u003E\u003Cul\u003E\u003Cli\u003ELoader\u003C\u002Fli\u003E\u003Cli\u003ECore\u003C\u002Fli\u003E\u003Cli\u003EBoot\u003C\u002Fli\u003E\u003Cli\u003EPatch\u003C\u002Fli\u003E\u003Cli\u003EAdSDK\u003C\u002Fli\u003E\u003Cli\u003EUpdater\u003C\u002Fli\u003E\u003C\u002Ful\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp3.pstatp.com\u002Flarge\u002Fpgc-image\u002Fa8851fb2dcfd4e62a1dbd2977115e522\" img_width=\"1001\" img_height=\"321\" alt=\"已感染全球2500萬臺安卓設備，新型安卓手機病毒Agent Smith來襲\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E\u003Cstrong\u003ELoader模塊\u003C\u002Fstrong\u003E\u003C\u002Fp\u003E\u003Cp\u003ELoader模塊的作用只有一個，那就是提取並運行Agent Smith的Core模塊。\u003C\u002Fp\u003E\u003Cp\u003E提取成功之後，Loader模塊會通過安卓處理大型DEX文件的合法機制將如下所示惡意代碼注入到目標APP中。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002Ff409ae0080bb47e293f6dbd5a0d4f916\" img_width=\"743\" img_height=\"226\" alt=\"已感染全球2500萬臺安卓設備，新型安卓手機病毒Agent Smith來襲\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E一旦注入成功，Loader模塊就會使用反射技術來初始化並啓動Core模塊。\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003ECore模塊\u003C\u002Fstrong\u003E\u003C\u002Fp\u003E\u003Cp\u003ECore模塊位於僞裝成谷歌更新程序的apk文件中，且經過加密並僞裝成JPG文件的。如下圖所示，前2個字節是JPG文件的header，而剩餘部分則是使用XOR編碼的Agent Smith 的payload。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002Faa77f410103b4ed78896ead364ba53b7\" img_width=\"377\" img_height=\"163\" alt=\"已感染全球2500萬臺安卓設備，新型安卓手機病毒Agent Smith來襲\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003ECore模塊負責與C＆C服務器進行通信，以接收目標APP列表，具體如下：\u003C\u002Fp\u003E\u003Cul\u003E\u003Cli\u003Ewhatsapp\u003C\u002Fli\u003E\u003Cli\u003Elenovo.anyshare.gps\u003C\u002Fli\u003E\u003Cli\u003Emxtech.videoplayer.ad\u003C\u002Fli\u003E\u003Cli\u003Ejio.jioplay.tv\u003C\u002Fli\u003E\u003Cli\u003Ejio.media.jiobeats\u003C\u002Fli\u003E\u003Cli\u003Ejiochat.jiochatapp\u003C\u002Fli\u003E\u003Cli\u003Ejio.join\u003C\u002Fli\u003E\u003Cli\u003Egood.gamecollection\u003C\u002Fli\u003E\u003Cli\u003Eopera.mini.native\u003C\u002Fli\u003E\u003Cli\u003Estartv.hotstar\u003C\u002Fli\u003E\u003Cli\u003Emeitu.beautyplusme\u003C\u002Fli\u003E\u003Cli\u003Edomobile.applock\u003C\u002Fli\u003E\u003Cli\u003Etouchtype.swiftkey\u003C\u002Fli\u003E\u003Cli\u003Eflipkart.android\u003C\u002Fli\u003E\u003Cli\u003Ecn.xender\u003C\u002Fli\u003E\u003Cli\u003Eeterno\u003C\u002Fli\u003E\u003Cli\u003Etruecaller\u003C\u002Fli\u003E\u003C\u002Ful\u003E\u003Cp\u003E如果在受感染設備上安裝有任意一款目標APP，就會利用Bundle系列漏洞或Janus漏洞將Boot模塊注入到目標APP中。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002Ff013f6b93b3145c79005f77e11c9cc7d\" img_width=\"901\" img_height=\"206\" alt=\"已感染全球2500萬臺安卓設備，新型安卓手機病毒Agent Smith來襲\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E\u003Cstrong\u003EBoot模塊\u003C\u002Fstrong\u003E\u003C\u002Fp\u003E\u003Cp\u003E從功能上講，Boot模塊相當於另一個Loader模塊，主要負責提取並運行Agent Smith的payload——Patch模塊。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002F167ee036d1024dd8a8a6c01af19ee5c7\" img_width=\"257\" img_height=\"678\" alt=\"已感染全球2500萬臺安卓設備，新型安卓手機病毒Agent Smith來襲\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E具體來講，在Patch模塊成功提取之後，Boot模塊就會在受感染設備每一次重啓時使用與Loader模塊所使用的相同的技術來執行它。\u003C\u002Fp\u003E\u003Cp\u003E\u003Cstrong\u003EPatch模塊\u003C\u002Fstrong\u003E\u003C\u002Fp\u003E\u003Cp\u003EPatch模塊主要負責掛鉤惡意廣告SDK，且能夠禁用目標APP的自動更新功能，以確保它不會因爲更新而被覆蓋。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002Fd543e0302578492b8bf54b1eb1e93ab2\" img_width=\"1315\" img_height=\"204\" alt=\"已感染全球2500萬臺安卓設備，新型安卓手機病毒Agent Smith來襲\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E爲此，Agent Smith使用了這樣一種方法——設置update的timeout時間，使得目標APP進入無限循環的更新檢查中。 \u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp3.pstatp.com\u002Flarge\u002Fpgc-image\u002F95f6b0a11e844de499232a3637335b1d\" img_width=\"1114\" img_height=\"128\" alt=\"已感染全球2500萬臺安卓設備，新型安卓手機病毒Agent Smith來襲\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Ch1\u003E感染狀況\u003C\u002Fh1\u003E\u003Cp\u003E研究人員表示，Agent Smith的危害性非常大，因爲只要受感染設備已安裝的APP在Agent Smith的目標APP列表之內就會遭到感染，且隨着Patch模塊的更新，目標APP列表也在更新。\u003C\u002Fp\u003E\u003Cp\u003E換句話來說，Agent Smith會重複不斷地感染同一臺設備，進而感染任何一款有可能存在的目標APP，以尋求利益最大化。\u003C\u002Fp\u003E\u003Cp\u003E到目前爲止，Agent Smith的全球感染次數總量已經超過28億次，約有2500萬臺不同的設備遭到感染，即平均每臺設備的感染次數爲112次。\u003C\u002Fp\u003E\u003Cp\u003E如上所述，Agent Smith主要通過虛假的圖片處理、遊戲或“成人”APP進行傳播。除此之外，還包括一些媒體播放器、系統工具等APP。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp3.pstatp.com\u002Flarge\u002Fpgc-image\u002F3910a39fb47c494fb652205c16c1ec5c\" img_width=\"643\" img_height=\"518\" alt=\"已感染全球2500萬臺安卓設備，新型安卓手機病毒Agent Smith來襲\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E其中，下載量排名\u003Cspan\u003E靠前\u003C\u002Fspan\u003E的5款APP已經被下載了超過780萬次。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp9.pstatp.com\u002Flarge\u002Fpgc-image\u002Fac0e3883d0424c8a9e633e3059fb1d1d\" img_width=\"960\" img_height=\"679\" alt=\"已感染全球2500萬臺安卓設備，新型安卓手機病毒Agent Smith來襲\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E從地理位置來看，Agent Smith的主要感染目標似乎是印度用戶，佔感染總量的59%。另外，與此前類似的病毒不同，Agent Smith不僅對發展中國家造成了影響，一些發達國家也未能倖免遇難。比如，美國的感染量爲30.3萬、沙特阿拉伯 24.5萬、澳大利亞 14.1萬、英國13.7萬。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp3.pstatp.com\u002Flarge\u002Fpgc-image\u002F25b0d01340e9495dafb01030a1f8d701\" img_width=\"1489\" img_height=\"875\" alt=\"已感染全球2500萬臺安卓設備，新型安卓手機病毒Agent Smith來襲\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E至於受感染設備的品牌，則包含了三星、小米、Vivo、Oppo、聯想等等，具體如下圖所示。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002F6d03dd5c19b84cf586ce8cdc6995ca6e\" img_width=\"998\" img_height=\"815\" alt=\"已感染全球2500萬臺安卓設備，新型安卓手機病毒Agent Smith來襲\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Ch1\u003E結論\u003C\u002Fh1\u003E\u003Cp\u003E從目前來看，儘管隱藏在Agent Smith背後的攻擊者似乎主要是想通過展示惡意廣告來獲取非法收益，但Agent Smith所具備的功能使得它能夠被用來進行更廣泛的惡意操作，如信息竊取、加密勒索等。\u003C\u002Fp\u003E\u003Cp\u003EAgent Smith的出現提醒我們，單靠系統開發人員的努力並不足以構建一個安全的安卓生態系統。它還需要設備製造商、APP開發人員以及用戶的關注和行動，以便及時發現、修補可能存在的安全漏洞。\u003C\u002Fp\u003E\u003Cp\u003E本文由 \u003Cstrong\u003E黑客視界\u003C\u002Fstrong\u003E 綜合網絡整理，圖片源自網絡；轉載請註明“\u003Cstrong\u003E轉自黑客視界\u003C\u002Fstrong\u003E”，並附上鍊接。\u003C\u002Fp\u003E\u003Cp\u003E想了解相關安全技術，請搜索\u003Cstrong\u003E“墨者學院”\u003C\u002Fstrong\u003E，或直接訪問“\u003Cstrong\u003Ewww.mozhe.cn\u003C\u002Fstrong\u003E”。\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E"'.slice(6, -6), groupId: '6713798799338242572

已感染全球2500萬臺安卓設備，新型安卓手機病毒Agent Smith來襲

熱門新聞

週熱門

已感染全球2500萬臺安卓設備，新型安卓手機病毒Agent Smith來襲

應對AI帶來的安全挑戰，業內專家給出這些建議

安全專家稱微軟 Copilot + 新功能“回顧”存嚴重安全隱患，數據可被遠程竊取

築牢數字安全基石，嘉銀科技推出“白澤”安全系統

2024 常見 macOS 惡意軟件洞察：勒索軟件、木馬仍占主導地位

數字化應用要落到“實”處

大豪科技：2023年扣非淨利同比增長15.61% 2024年一季度淨利潤同比增長103.69%

微軟支持的網絡安全獨角獸Rubrik即將登陸美股 估值約61億美元

天融信2023年營收31.24億元 信創業務收入增長33.01%

谷歌照片或正在開發“電影時刻”功能 讓視頻更具電影感

谷歌增強安卓無障礙體驗：用 AI 描述周圍環境等

小米澎湃OS首批適配Android 15！小米14等四款機型已發佈開發者預覽版

阿里投資 Kimi AI 開發商月之暗面：8 億美元購入約 36% 股權

OpenAI和谷歌對於AI助手的行爲方式存在分歧

iOS 版谷歌 Chrome 瀏覽器正測試引入“圈選即搜”功能

安卓新一代”神機“即將發佈 參數全面曝光

熱門新聞

週熱門

微軟支持的網絡安全獨角獸Rubrik即將登陸美股估值約61億美元

天融信2023年營收31.24億元信創業務收入增長33.01%

谷歌照片或正在開發“電影時刻”功能讓視頻更具電影感

安卓新一代”神機“即將發佈參數全面曝光