SIKKERHET

Skadevaren «Agent Smith» har erstattet apper på 25 millioner telefoner

Den nye skadevaren rammer mobile enheter uten at brukerne vet om det, melder sikkerhetsselskapet Check Point.

Illustrasjonsbilde. Ny mobil skadevare erstatter populære Android-apper uten at brukeren vet om det.
Illustrasjonsbilde. Ny mobil skadevare erstatter populære Android-apper uten at brukeren vet om det. Skjermbilde: digi.no
Heidi SævoldHeidi SævoldJournalist
11. juli 2019 - 21:00

Check Point Research oppdaget nylig en ny mobil skadevare som til nå har infisert rundt 25 millioner enheter til intetanende brukere.

Forkledd som en Google-relatert applikasjon, utnytter kjernedelen av skadevaren kjente Android-sårbarheter og erstatter automatisk installerte apper på enhetene med skadelige versjoner. Brukeren er er ikke delaktig i prosessen.

Alarmerende hastighet

 Skadevaren, som ifølge Check Point sprer seg i alarmerende hastighet, har fått navnet «Agent Smith» fra Matrix-triologien, og refererer til idéen om at menneskene formerer seg inntil alle ressurser er oppbrukt.

Hittil befinner hovedtyngden av ofrene seg i India og andre asiatiske land som Pakistan og Bangladesh. Også et betydelig antall enheter i UK, Australia og USA er rammet. Selskapet opplyser ikke om hvorvidt de også har funnet tilfeller i Norge. 

Viruset utnytter deretter sin brede tilgang til telefonen til å vise falske annonser for økonomisk vinning.

Falske annonser

Kart over forekomsten av «Agent Smith» <i>Skjermbilde:  Check Point Research</i>
Kart over forekomsten av «Agent Smith» Skjermbilde:  Check Point Research

Denne metoden ligner på tidligere skadevare som Gooligan, Hummingbad og Copycat, og kan infisere alle smarttelefoner oppdatert etter Android 7.

Og selv om Check Points funn viser at skadevaren i dette tilfellet kun brukes til økonomisk vinning gjennom ondsinnede annonser, er skadepotensialet langt større.

Siden skadevaren skjuler appene fra appoversikten og erstatter eksisterende apper, kan den lett brukes til langt mer påtrengende og skadelige formål som å hente ut bankinformasjon og avlytting, skriver sikkerhetsselskapet.

Les også

Hittil ukjent skadevare funnet: Bruker PC-en din til å skjule andre ondsinnede programmer

Utnytter kjente svakheter

Ofrene lokkes til å laste ned et såkalt dropperprogram fra en tredjeparts appbutikk som for eksempel 9Apps. Programmet som inneholder skadevaren gir seg ut for å være gratis spill, nytteapper eller pornografi.

Deretter sjekker den om telefonen har lastet ned noen av appene fra angripernes forhåndsbestemte liste, som blant annet inkluderer WhatsApp, MXplayer, ShareIt.

Vis mer

Skadevaren i dropperprogrammet dekrypteres, og utnytter deretter flere kjente Android-svakheter for å installere den delen av skadevaren som utfører og skjuler angrepet mot Android-appene.

Check Point påpeker at bruken av tredjeparts appbutikker gjør brukerne sårbare for angrep,  blant annet fordi disse ofte mangler sikkerhetstiltak som kreves for å blokkere apper med reklame.

Butikken 9Apps retter seg hovedsakelig mot indiske, arabiske og indonesiske brukere.

Google skal nå ha fjernet alle de falske appene fra Google Play-butikken. 

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.