25 milijonov telefonov okuženih z zlonamerno kodo v lažnem WhatsAppu

Strokovnjaki podjetja Check Point so odkrili nov tip zlonamerne kode za operacijski sistem Android, ki na ciljanem sistemu nadomesti legitimno nameščene programe in med njihovem delovanjem prikazuje oglase.

Avtorji trdijo, da je z zlonamerno kodo poimenovano Agent Smith okuženih kar okoli 25 milijonov telefonov. Večina od teh je v Indiji (15 milijonov), vendar ocenjujejo, da je veliko okuženih telefonov tudi v ZDA (okoli 300.000) in v Veliki Britaniji (137.000). Najbrž tudi drugod.

Zlonamerna koda se koda širi z namestitvijo programov prek alternativnih trgovin za telefonske aplikacije, v prvi vrsti 9apps.com, ki je v lasti kitajske družbe Alibaba. Ker te trgovine uporabljajo zlasti v manj razvitih državah, je večina okužb v teh delih sveta. Kljub temu je število okuženih sistemov v ZDA in Veliki Britaniji velik podvig za zlonamerno kodo, ki kot kaže izhaja iz Kitajske.

Napad deluje na naslednji način: uporabniki iz trgovine za telefonske aplikacije namestijo na prvi pogled legitimen program. Takih je več, primer pa je program za odrasle »Kiss Game: Touch Her Heart«. Ko uporabniki zaženejo ta program, ta na tiho namesti nevidno orodje, ki se v sistemu predstavlja kot legitimni pripomoček za posodobitev aplikacij. Pri tem izkorišča že lep čas znane ranljivosti operacijskega sistema Android, zaradi katerih na je prvi pogled videti kot legitimen program.

V naslednjem korak zlonamerna koda nadomesti legitimne pogosto uporabljene programe, v prvi vrsti priljubljeno orodje WhatsApp, pa tudi druge (na primer brskalnik Opera) z prirejenimi različicami, ki uporabniku prikazujejo oglase. Sami programi in oglasi za zdaj ne vsebujejo zlonamerne kode, vendar avtorji s tem vseeno služijo - s kliki na oglase.

Check Point opozarja, da je to najbrž le prvi korak v strategiji hekerjev, ki stojijo za kodo Agent Smith. Ti bi lahko v svoje speče programe namestili kakršnokoli zlonamerno kodo, ki bi vohunila po podatkih uporabnika ali pa izkoristila uporabnikov telefon kot orodje za napade na druge sisteme. Opazili so tudi, da se avtorji pripravljajo, da bi s kodo okužili tudi programe v uradni trgovini Google Play. Tam so namreč našli 11 programov, ki vsebujejo spečo kodo Agent Smith.

Rešitev za okužene telefone je v odstranitvi vseh delov zlonamerne kode, kar zahteva kar nekaj korakov. Vsekakor pa je aplikacije pametno nameščati le iz uradne trgovine.