Agent Smith, un malware Android présent sur 25 millions d’appareils

Agent Smith, un malware Android présent sur 25 millions d’appareils

Par Sébastien Gavois

Le 11 Juillet 2019 à 09h50
Société numérique
2 min 16

Agent Smith, un malware Android présent sur 25 millions d’appareils

Check Point Research avertit : 25 millions d’appareils Android sont infectés par un malware portant le doux nom d’Agent Smith, en référence au célèbre personnage de la trilogie Matrix.

La bestiole semble redoutable. Proliférant à travers la boutique tierce 9Apps, elle est propagée par de faux utilitaires et jeux (des « droppers »). Il importe peu que l’application soit fonctionnelle : il suffit que l’utilisateur l’installe pour que l’infection commence.

Le dropper déchiffre alors et installe l’APK contenant la charge virale. Elle se déguise en module s’appelant Google Updater, Google Update for U ou « com.google.vending ». L’icône de cette application est masquée.

Elle mène un travail silencieux de sape dans les autres applications. Elle examine la liste de celles installées et la compare à la sienne, codée « en dur » ou fournie par un serveur C&C (Command and Control).

Quand des occurrences sont trouvées (WhatsApp, Opera, ShareIt, MX Player…), l’Agent Smith arrive à se faire passer pour un module Google responsable des mises à jour, ouvre les APK correspondants et y effectue des modifications (patching). Elles deviennent alors des relais à publicités.

C’est à cette étape que les premiers signes tangibles d’infection apparaissent, l’utilisateur pouvant s’étonner de voir des publicités dans des applications qui n’en présentent d’ordinaire aucune.

Selon les chercheurs, 25 millions d’appareils seraient ainsi infectés à l’heure actuelle, dont 15 millions en Inde. En nombre d’infections, le Bengladesh et le Pakistan suivent, mais les États-Unis et le Royaume-Uni sont également impactés, avec plus de 300 000 appareils touchés pour le premier et plus de 100 000 pour le second.

Check Point Research note également que la majorité des attaques a lieu sur des appareils sous Android 5.0 et 6.0. Mais, plus surprenant, un quart des attaques touche des produits embarquant les versions 7.0 ou 8.0.

Par ailleurs, 11 applications embarquant l’Agent Smith ont été trouvées sur le propre Play Store de Google. Check Point Research dit avoir travaillé avec l’éditeur, qui a supprimé les fautives.

Commentaires (16)


ah là làà, ça me rappelle les conversations d’il y a dix ans…





  • Windows, c’est quand-même une passoire de merde, la preuve c’est la seule plate-forme où il y a des virus(*).

  • Il y a des virus parce que c’est la plate-forme dominante. Quand d’autres vont devenir courantes, les escrocs s’y intéresseront et elles seront aussi attaquées.

  • Aucune chance ! Les autres OS, et Linux en particulier, sont sécurisés par défaut et les malwares ne passeront pas.

  • Hé hé hé… on verra.

  • Oui, oui, tu verras ! Ca n’arrivera pas !



    On voit…



    (*) au sens large.


dylem29 Abonné
Le 11/07/2019 à 08h50

” Oé mai c pa pareyle, c sur telefone , moi je sai me servir d’1 PC”



<img data-src=" />


alex.d. Abonné
Le 11/07/2019 à 08h52

Sur n’importe quelle plate-forme, si l’utilisateur installe volontairement un virus, il n’y a aucun moyen de s’en prémunir…


monpci
Le 11/07/2019 à 09h05

si si (en parti) tu sandbox tous


inextenza Abonné
Le 11/07/2019 à 09h10

La liste des 11 applications du Google Play Store a été publiée?


alex.d. Abonné
Le 11/07/2019 à 09h12

Certes, mais là c’est du userspace android, qui n’a rien à voir avec Linux.


La base de la sécurité qu’on nous vante tant, c’est que si l’utilisateur n’est pas root, alors l’installation d’une app ne peut pas impacter les autres applications. Ce n’est clairement pas le cas ici puisqu’une application installée à la régulière arrive à injecter du contenu dans les autres…



Sans intérêt Abonné
Le 11/07/2019 à 09h30

J’ai beau être pour la liberté de choix et permettre aux utilisateurs de choisir par eux-mêmes les logiciels à installer, l’avantage d’une boutique “officielle” centrale est la facilité et la vitesse de réaction. Google Play, du moins, tente d’endiguer la propagation de ce genre de saletés. Mais la plupart des protections visent à protéger le business de Google, plus que l’intérêt des utilisateurs…


alex.d. Abonné
Le 11/07/2019 à 10h32

Google a jeté tout le userspace Linux classique pour faire sa propre cuisine où, justement, l’utilisateur peut installer des applis sans être root…


Et donc, en gros, a réinventé la passoire qu’était Windows à la grande époque… <img data-src=" />



Wosgien Abonné
Le 11/07/2019 à 10h49







33A20158-2813-4F0D-9D4A-FD05E2C42E48 a écrit :



Et donc, en gros, a réinventé la passoire qu’était Windows à la grande époque… <img data-src=" />&nbsp;



En mieux, j’ai dû enlever des virus à la main sur des tablettes: non seulement le userspace étai touché, mais g^race à des bugs Androïd, le virus s’était mis dans la partition de restauration…



secouss
Le 11/07/2019 à 11h33







33A20158-2813-4F0D-9D4A-FD05E2C42E48 a écrit :



Et donc, en gros, a réinventé la passoire qu’était Windows à la grande époque… <img data-src=" />







Mmmmh la nostalgie, c’était le bon temps <img data-src=" /> …. “La base virale VPS à été mise à jour ^^”







inextenza a écrit :



La liste des 11 applications du Google Play Store a été publiée?







Pas vu de liste ni de nombre de téléphones touchés via le play store (faudrait pas mettre en danger le business) j’aimerais bien la liste !



PercevalIO
Le 11/07/2019 à 14h27

Moi j’aurais dit American Dad mais bon 😋

Ce n’est pas tant l’OS qui est compromis que le principe de fonctionnement et surtout la source principale (Google) qui n’est pas fiable…


EricB
Le 12/07/2019 à 06h28



travail silencieux de sape dans les autres applications (…) et y effectue des modifications (patching). Elles deviennent alors des

relais à publicités.

C’est à cette étape que les premiers signes tangibles

d’infection apparaissent, l’utilisateur pouvant s’étonner de voir des

publicités dans des applications qui n’en présentent d’ordinaire aucune.





Joli travail d’ingénierie qui me rappelle certains malware que j avais pu voir dans le secteur bancaire il y a 5 ans: une fois connecté sur sa banque en ligne, le malware réussissait à injecter une frame dans ton browser (sans doute IE à l’époque) ajoutant une ligne au relevé bancaire du compte courant pour afficher un crédit de par ex 1000€ sur le compte et une autre demandant plus bas de rembourser les dits 1000€&nbsp; versés par erreur. Évidemment, si il utilisateur s’éxecute, il fera bien un virement de 1000€ alors que le crédit n’a jamais eu lieu!



Ce sera sans doute la prochaine évolution de cet Agent Smith :)


inextenza Abonné
Le 12/07/2019 à 07h52

Ah tiens, merci pour cet exemple, je n’en n’avais pas entendu parler: dans la catégorie vicieux, ça marquerait un joli score ton truc!

Ça, les concepteurs de virus ou malwares chiadés, étaient à l’époque considérés comme parmi les meilleurs développeurs, et à titre perso, c’est toujours le cas. Ne serait-ce que parce que ces programmes sont nécessairement restés compacts et sollicitant très peu de ressources… ça change de ce qui a tendance à se faire dans les projets classiques <img data-src=" />


EricB
Le 12/07/2019 à 16h57

aucune idée si ce malware était réel ou pas: il s’agissait d’abord d’une démo d’un collègue du département sécurité qd je bossais dans le secteur bancaire.

Super intéressant mais les collègues en sécurité étaient tous un peu parano: j ai préféré de pas y rester trop longtemps: il est parfois préférable de ne pas trop savoir pour ne pas voir le diable partout!


Fermer