Agent Smith zararli dasturi 25 million Android qurilmalarini zararlagan.
«Agent Smith» deb nomlangan zararli dastur qurilmaga zarar etkazishi va barcha rasmiy ilovalarni reklama qo’llab-quvvatlanadigan klonlar bilan almashtirishga qodir.
Check Point tadqiqotchilari 25 milliondan ortiq qurilmalarni yuqtirgan Android zararli dasturlarining yangi turini aniqladilar. “Agent Smit” nomini olgan zararli dastur jimgina qurilmalarga zarar yetkazadi va rasmiy ilovalarni ko‘plab reklamalarni aks ettiruvchi klonlar bilan almashtiradi. Kampaniya asosan Hindiston (15,2 million), Bangladesh (2,5 million) va Pokiston (1,7 million) foydalanuvchilariga qaratilgan. Tadqiqotchilar zararli dasturiy ta’minot operatorini Xitoy texnologiya kompaniyasiga kuzatishdi. Firma xitoylik ishlab chiquvchilarga o’zlarining Android ilovalarini targ’ib qilishda yordam berishga ixtisoslashgan, ammo boshqa faoliyat bilan ham shug’ullanadi. Xususan, tadqiqotchilar xitoylik ish qidirish saytlarida kompaniyani “Agent Smit” zararli dasturi bilan bog‘laydigan ish o‘rinlari e’lonlarini aniqladilar.
Hujumchilar zararli dasturlarni 2018 yilda UC Browser mobil brauzeri ishlab chiqaruvchisi mustaqil ilovalar do‘koni 9Apps orqali tarqata boshladi.
So’nggi oylarda Google Play do’konida «Agent Smith» zararli dasturi bilan zararlangan ilovalar paydo bo’la boshladi. Tadqiqotchilar 11 ta zararlangan ilovalarni aniqladilar, bu esa zararli dasturni Google rasmiy doʻkoni orqali tarqatish boʻyicha kampaniya davom etayotganidan dalolat beradi. Google xavfsizlik guruhiga xabar berilganidan so’ng, zararlangan ilovalar o’chirildi.
Yuqtirilgan ilovalarda SDK sifatida yashiringan zararli komponent mavjud bo‘lib, u “Agent Smith” zararli dasturini o‘z ichiga olgan boshqa ilovalar to‘plamini yuklab olib o‘rnatgan. Yuqtirilgan telefonda u o’rnatilgan ilovalarni skanerdan o’tkazdi va o’rnatilgan maqsadli ro’yxatga asoslanib, ularni reklama bilan qo’llab-quvvatlanadigan klonlar bilan almashtirdi. Roʻyxatga WhatsApp, Lenovo AnyShare, Opera Mini, Flipkart va TrueCaller kabi 16 ta ilova hamda Jio va Hotstar kabi Hindiston bozorida birinchi navbatda mashhur boʻlgan ilovalar kiritilgan.
Tadqiqotchilarning fikricha, ilovalarni buzish o‘z-o‘zidan murakkab jarayon. Zararli kodni qonuniy ilovaga kiritish uchun ular Android tizimidagi Janus zaifligidan (CVE-2017-13156) foydalanadi, bu esa raqamli imzoni buzmasdan APK ga kontent qo‘shish imkonini beradi. Muvaffaqiyatli bo’lsa, Agent Smit maqsadli ilovani yangilashni boshlaydi va keyingi yangilanish paytida zararli kodni olib tashlashning oldini olish uchun kelajakdagi yangilanishlarni bloklaydi.
