Les logiciels malveillants Android «Agent Smith» qui remplacent secrètement WhatsApp et d’autres infectent 25 millions d’appareils
Les appareils Android ne sont pas étrangers aux menaces de logiciels malveillants et à diverses attaques malveillantes, principalement via des applications infectées. Malheureusement pour les appareils Android, les utilisateurs obtiennent généralement des applications malveillantes sur le Google Play Store ou différentes sources tierces, contrairement aux utilisateurs iPhone qui utilisent souvent leurs applications depuis environnement Apple App Store, contrôlé et pratiquement exempt de logiciels malveillants. Il s’est avéré que la plus récente flambée d’applications envahies par des programmes malveillants se présentait sous la forme de logiciels malveillants baptisés Agent Smith, connu pour avoir secrètement remplacé l’application WhatsApp sur les appareils Android.
Le logiciel malveillant de Agent Smith Android cherche à exploiter les vulnérabilités du système exploitation où il remplacera automatiquement les applications légitimes sans que utilisateur en aperçoive. Les principales applications que agent Smith a secrètement remplacées sont WhatsApp, Flipkart, Opera Mini et, semble-t-il, des applications de Lenovo et de Swiftkey.
Une chose particulière à noter à propos de WhatsApp et de son exploitation par le logiciel malveillant Agent Smith est le fait que WhatsApp compte plus de 1,5 milliard utilisateurs actifs dans plus de 180 pays. Cependant, seule une partie de ces utilisateurs sont des utilisateurs Android, ce qui a amené application Agent Smith à toucher plus de 25 millions appareils jusqu à présent.
où vient agent Smith?
Check Point a été l’un des premiers à découvrir le logiciel malveillant Agent Smith, qui tire son nom astucieux de la série de films très populaire The Matrix, car il ressemble un peu au personnage du film nommé "Agent Smith".
Une liste applications par défaut est également suspectée être utilisée sur le module principal du logiciel malveillant Agent Smith à rechercher sur un appareil infecté. Cette liste de serveurs de commande et de contrôle application, telle que révélée par Check Point, est la suivante:
- lenovo.anyshare.gps
- mxtech.videoplayer.ad
- jio.jioplay.tv
- jio.media.jiobeats
- jiochat.jiochatapp
- jio.join
- bon.gamecollection
- opera.mini.native
- startv.hotstar
- meitu.beautyplusme
- domobile.applock
- touchtype.swiftkey
- flipkart.android
- cn.xender
- eterno
- truecaller
Les chercheurs en sécurité informatique estiment qu’une société Internet chinoise aidant les développeurs Android en Chine à publier et à commercialiser des applications sur d’autres marchés étrangers. Le malware a été découvert en premier sur app store tiers 9Apps et ciblait principalement les utilisateurs Android au Bangladesh, au Pakistan et en Inde. Cependant, parmi les 25 millions appareils Android infectés, un peu plus de 300 000 ont été détectés aux États-Unis et plus de 130 000 au Royaume-Uni.
Agent Smith a un programme trompeur
Dans certains cas, des chercheurs de Check Point ont révélé que l’agent Smith était déguisé en application liée à Google, évitant ainsi toute suspicion des utilisateurs d’Android. En outre, les attaques effectuées par les logiciels malveillants de agent Smith visent à afficher des publicités frauduleuses sur des appareils infectés, permettant ainsi aux cyber-criminels à origine des programmes malveillants de gagner de argent grâce à des campagnes impression ou de campagnes publicitaires.
En ce qui concerne la composition du logiciel malveillant Agent Smith, les chercheurs ont comparé des exemples de menaces et établi des comparaisons similaires à celle de la vulnérabilité Janus, ce qui permet à un acteur menaçant de remplacer toute application par une version infectée.. Une telle méthode a été utilisée maintes fois par le passé sur des PC Windows , des ordinateurs Mac et des appareils mobiles , où les applications sont déguisées en applications légitimes uniquement pour accéder à un système et effectuer des actions malveillantes à insu de utilisateur.
Actuellement, les développeurs applications ont été informés de la menace de agent Smith, mais il appartient en dernier lieu aux utilisateurs Android de prendre les précautions appropriées pour atténuer une telle attaque. Une étape que les utilisateurs d’Android peuvent faire est de limiter le téléchargement d’applications de tiers et de ne les obtenir que de sources fiables. De plus, les utilisateurs peuvent bloquer les applications chargées de logiciel publicitaire ou activer des fonctionnalités de sécurité supplémentaires. Quoi q il en soit, nous avons pas encore vu Agent Smith ni aucune autre menace de logiciel malveillant émergent et nous devons rester vigilants à chaque étape du processus, car nous ne voulons pas nous laisser prendre à CE Matrix.