Il malware Agent Smith infetta 25 milioni di dispositivi Android e sostituisce le app originali

Circa 25 milioni di dispositivi Android sono stati presi di mira da un malware che i ricercatori hanno battezzato Agent Smith: le installazioni legittime di app molto famose e apprezzate vengono automaticamente sostituite con copie modificate ad arte, in grado di visualizzare di continuo messaggi pubblicitari.

Le vittime vengono persuase a installare un file APK malevolo che di fatto carica sul dispositivo mobile i componenti base di Agent Smith. L’identità del malware viene celata presentando l’applicazione come un’utilità Google dal nome Google – Google Updater, Google Update for U o com.google.vending.

Una volta in esecuzione sullo smartphone Android degli utenti, Agent Smith scarica da un server command and control (C2) la lista delle app che devono essere prese di mira. Senza che la vittima si accorga di nulla, le app originali installate sul dispositivo vengono sostituite con versioni facenti riferimento a un modulo esterno che mostra una girandola di pubblicità assolutamente non previste dagli sviluppatori di ciascuna applicazione.

Agent Smith sfrutta la nota vulnerabilità Janus (vedere questo approfondimento) per scavalcare il meccanismo basato sull’utilizzo di firme digitali e modificare ogni singola app.

I ricercatori di Check Point confermano che per il momento Agent Smith viene utilizzato solo per visualizzare messaggi pubblicitari ma i malware writer sono in grado di modificare il comportamento del software con l’intento di sottrarre informazioni personali e credenziali di accesso. Le possibilità appannaggio dei criminali informatici sono davvero infinite come si spiega in quest’analisi tecnica.

Tra le app bersagliate da Agent Smith ci sono WhatsApp, TrueCaller, MX Player, SHAREit e molte altre.

Torniamo quindi a segnalare il contenuto del nostro articolo Antivirus Android: no, non è affatto inutile osservando che un antivirus, sui dispositivi Android, può non essere indispensabile ma si rivela estremamente utile nel caso in cui l’utente fosse disattento, utilizzasse dispositivi non aggiornati (ad esempio basati su vecchie versioni del sistema operativo) o ponesse in essere comportamenti potenzialmente pericolosi.