在2500万台设备上，新的恶意软件用假冒软件取代了合法的Android应用程序

...或者JioTV、AppLock、HotStar、Flipkart、Opera Mini或Truecaller应用程序—；如果您安装了其中任何一个？

我这么问是因为网络安全研究人员昨天刚刚披露了一个令人大开眼界的安卓恶意软件活动细节，攻击者在近2500万部手机上悄悄地用恶意版本替换已安装的合法应用。

现在重要的问题是他们是怎么做的，为什么？

据Check Point的研究人员称，攻击者正在传播一种新的安卓恶意软件，该软件伪装成看似无辜的照片编辑、成人娱乐或游戏应用，可通过广泛使用的第三方应用商店获得。

配音史密斯探员，该恶意软件利用多个安卓漏洞，例如Janus漏洞和磁盘中的人漏洞，将恶意代码注入安装在受损设备上的目标应用程序的APK文件中，然后在受害者不知情或不进行交互的情况下自动重新安装/更新这些应用程序。

研究人员在周三发布的报告中写道：“对于这个恶意软件家族来说，仅仅将一个无辜的应用程序与一个受感染的double进行交换是不够的。只要软件包名称在其猎物列表上，它就可以对设备上的每一个应用程序进行交换。”。

“随着时间的推移，这场运动还将用最新的恶意补丁反复感染同一台设备。这导致我们估计，在大约2500万台独特的设备上，总共有超过28亿人感染，这意味着平均每个受害者将遭受大约112次无辜应用程序的交换。”

研究人员认为，该恶意软件与一家中国公司有关，其目的是通过向受害者提供恶意广告来获取经济利益。

史密斯特工的恶意软件是如何工作的？

安装诱杀应用程序后，代理Smith恶意软件利用三级感染链，每个步骤包含不同的模块，其工作原理如下所述：

1.）装载机模块— 分发恶意软件的最初应用程序包含一个名为Loader的模块，其唯一目的是解密、提取并运行名为Core的第二阶段模块。

2.）核心模块— 一旦执行，核心模块就会与攻击者的C&；C服务器接收需要定位的流行应用程序列表。
如果发现受害者的设备上安装了匹配项，核心模块会尝试使用Janus漏洞或简单地用恶意负载重新编译APK来感染目标APK。

此外，为了在未经用户同意的情况下自动安装修改后的APK并替换其原始版本，攻击者利用了一系列为期1天的漏洞，包括盘中人攻击。

3.）启动模块— 该模块包含在与原始应用捆绑在一起的恶意负载中，其工作原理与Loader模块相同。当受害者运行修改后的应用程序时，它会提取并执行一个名为补丁模块的恶意负载。

4.）补丁模块— 该补丁模块旨在防止修改后的应用程序获得合法更新，如果安装了合法更新，将恢复所有恶意更改。

“虽然在开发该恶意软件方面投入了大量资源，但代理Smith背后的参与者不希望通过真正的更新来删除所做的所有更改，因此补丁模块的作用就在于此。”

“此模块的唯一目的是禁用受感染应用程序的自动更新，它会观察原始应用程序的更新目录，并在文件出现时删除该文件。”

6.）ADSDK模块— 这是向受害者显示广告以获取经济利益的实际有效载荷，并进一步将该设备与其他广告软件系列一起感染。

然而，研究人员警告说，这种模块化恶意软件可以很容易地适应更具侵入性和危害性的目的，例如窃取敏感信息—；从私人信息到银行凭证等等。

研究人员最初在2019年初遇到了代理Smith恶意软件，该软件主要针对印度（有1500万台受感染的设备）和巴基斯坦、孟加拉国、印度尼西亚和尼泊尔等附近的亚洲国家的安卓设备。
然而，恶意软件也影响了美国（超过30万台受感染设备）、澳大利亚（超过14万台受感染设备）和英国（超过13.5万台受感染设备）的大量设备。

除了第三方应用商店外，研究人员最近几个月还在谷歌Play商店中发现了至少11个受感染的应用，其中包含恶意但不活跃的代理组件。

这清楚地表明，这场恶意软件运动背后的威胁参与者也在试图在谷歌的移动应用下载平台上找到传播其广告软件的方法。据报道，谷歌已经从其应用商店中删除了所有应用。

由于代理Smith主要是从第三方应用商店下载应用的受感染用户，因此强烈建议用户始终从受信任的应用商店下载应用，以降低感染风险。此外，只能从值得信任的开发者那里下载应用程序。

用户还建议卸载任何他们怀疑可能是恶意的应用程序，方法是进入“设置”菜单，单击“应用程序”或“应用程序管理器”，然后滚动到可疑应用程序并卸载它。

由于Smith正在利用的关键漏洞可以追溯到2017年，并且已经被修补，因此建议移动应用开发者实施最新的APK签名方案V2，以防止恶意应用利用Android的Janus漏洞攻击其应用。