Agent Smith, le malware publicitaire sous Android qui aurait infecté 25 millions de terminaux mobiles ! (Mr Adwarson)

Telle une infection parasitaire, le malware "Agent Smith" s'ajoute à la liste bien longue des applications sécuritairement douteuses / dangereuses. En effet, l'équipe CheckPoint vient de mettre en lumière un adware qui a la capacité non seulement de diffuser des contenus publicitaires sans interaction directe aucune, forcément, de l'utilisateur, mais, aussi, d'intégrer une application - saine - existante pour mieux l'infecter afin que cette dernière puisse devenir, à son tour, un vecteur de contamination... une contamination qui toucherait les dernières versions d'Android et qui aurait ciblés essentiellement les applications mobiles de jeux vidéos, entre-autres.

 

 

Comme détaillé dans son billet du 10 Juillet dernier, CheckPoint alerte sur la réactivité sur le moment du malware, dont la technique usitée (JIT : Just-in-Time ou compilation à la volée) permet des attaques redoutablement souple et dynamique tout en s'adaptant à l'environnement-système (mobile) ; d'où la dénomination "Agent Smith" (personnage de la trilogie cinématographique "Matrix", qui encadre le "code", la matrice).

Si aujourd'hui, il est confirmé que plus aucune application contenant ce malware n'existe au sein du Play Store (Google en avait été informé par CheckPoint qui a travaillé "étroitement" avec le géant tout du long), celui-ci a été longuement observé, dès son point de départ, pendant environ deux ans à partir de Janvier 2016, via 9Apps, une application tierce qui visait, dans le monde entier, essentiellement l'Inde (15 230 123 de terminaux), l'Arabie Saoudite (245 698 terminaux), l'Indonésie (572 025), voire le Royaume-Uni (environ 137 000 terminaux), l'Australie (environ 141 000 terminaux) et les États-Unis (302 852 terminaux).

 

(Source : research.CheckPoint.com)

 

A compter de Mai 2018 et pendant environ 1 année, l'adware mute pour s'instiller au sein d'autres applications (saines) afin de les utiliser (dropper) pour étendre la charge malveillante virale via une campagne de type C&C (les services Cloud d'Amazon - AWS - sont cités...). Cet "échange" de mauvais procédé s'assied sur d'autres vulnérabilités déjà éprouvé comme Janus. En finalité, la partie "core" du malware, grâce à l'exploit lié à Janus, permettra de télécharger (après pointage avec le serveur distant malveillant d'une liste prédéfinie actualisée ou par défaut) les fausses mises à jour de l'application ainsi tronquée (l'icône étant caché aux yeux de l'utilisateur) tout en modulant à souhait une partie du code, notamment la partie publicitaire qui définie l'affichage ou les types de publicités (AdMob, Facebook, MoPub ou encore Unity Ads sont cités).

Tendance actuelle oblige, la section jeux vidéos du Play Store était une cible de choix pour sélectionner les futures applications vérolées mais les applications dédiées aux éditions et montages photographiques étaient, aussi, visées, entre-autres. De plus, à hauteur de 40,2 % selon l'analyse de CheckPoint, Android 5 (Lollipop) était concerné, suivi de près par Android 6 (Marshmallow) avec 33,5 % ; Android 7 - 15,8 % - (Nougat) et 8 (Oréo) - 9,3 % - terminant la marche. Si actuellement, la version stable du système mobile de Google est Android Pie (version 9), force est de constater qu'Android (surtout Oréo) paraît bien frêle sécuritairement alors que le système est encore installé (toutes versions confondues évoquées ci-avant) sur de nombreux smartphones et tablettes... A veiller !

 

Source : CheckPoint - 10 Juillet 2019 - Agent Smith : adware-dropper en trois étapes avec C&C et possibilité de tronquer une application saine du Play Store.