Agent Smith | Novo malware substitui apps do Android por uma versão infectada

Pesquisadores de cibersegurança da Check Point descobriram que criminosos estão espalhando um novo tipo de malware que imita diversas aplicativos conhecidos — inclusive funcionando como se fosse o app real —, mas que na verdade é uma cópia usada por criminosos para ganhar dinheiro com anúncios maliciosos e possivelemente coletar os dados pessoais do usuário.

O malware, que é exclusivo para ambientes Android, utiliza diversas falhas no comportamento de leitura de arquivos do sistema operacional para injetar o código malicioso diretamente na APK dos apps que são alvo desse vírus. O interessante é que, ao ser instalado no celular, esse malware não infecta apenas um app em específico, mas todos os apps de uma lista de compatibilidade do código malicioso.

Chamado de Agent Smith (em homenagem ao personagem do filme Matrix que conseguia se replicar em qualquer componente do programa que simulava a realidade), o malware consegue se instalar no WhatsApp, JioTV, AppLock, HotStarm, Flipkart, Opera Mini e Truecaller, entre outros aplicativos que em sua maioria são de programas de edição de fotos, jogos e apps de entretenimento adulto.

Além de se instalar nos smartphones, esse componente maliciosos também possui um sistema próprio de atualização, que irá fazer o download automático de novas versões do malware que o tornam mais perigoso e mais difícil de ser encontrado por antivírus.

De acordo com a Check Point, cerca de 25 milhões de dispositivos estão infectados pelo Agent Smith, e cerca de 2,8 bilhões de apps usados no mundo rodam com versões falsas infectadas por esse malware. Isso quer dizer que, em média, cada usuário infectado teve 112 apps modificados pelo vírus. De acordo com os pesquisadores, o malware foi criado por uma empresa chinesa para lucrar em cima da divulgação de anúncios do tipo não permitidos por empresas como Google e Facebook.

O primeiro caso do Agent Smith ocorreu na Índia no início deste ano, onde infectou cerca de 15 milhões de dispositivos antes de se espalhar para o Paquistão, Bangladesh, Indonésia e Nepal. Mas agora o malware se tornou uma ameaça mundial, pois já foi encontrado em mais de 300 mil dispositivos dos Estados Unidos, 140 mil da Austrália e 35 mil do Reino Unido.

No geral, esse malware pode ser encontrado em aplicativos baixados em lojas terceirizadas do Android (ou seja, lojas de apps que não são a da Google), mas mesmo na Play Store os pesquisadores encontraram onze apps que possuíam o vírus de forma dormente. A Google já removeu todos esses apps de sua loja, mas a descoberta mostra que os criadores do malware estão procurando um jeito de também espalhar o vírus pela loja oficial do Android.

Como o vírus se utiliza de uma falha que já foi corrigida em 2017, os pesquisadores recomendam aos desenvolvedores que a melhor maneira de deixar seus apps imunes a esse malware é implementar a versão mais recente da APK Signature Scheme V2, o que irá prevenir totalmente que o Agent Smith corrompa o seu programa.

Fonte: The Hacker News