El Agente Smith

Un nuevo virus denominado Agente Smith, ya ha infectado unos 25 millones de dispositivos Android en todo el mundo.

A los fanáticos de la trilogía Matrix, no hay qué explicarles quién es ni cómo actúa el agente Smith. El personaje vive dentro de la Matrix y es el principal enemigo de Neo.
Por su comportamiento, podría considerarse un virus con la capacidad de replicarse, transformado a culquier otra persona dentro de la Matrix en una copia de sí mismo.
Por este motivo, los investigadores de checkpoint, han denominado así al nuevo virus que actúa exáctamente como el agente Smith.

Ya en el 2015, el Chema Alonso había contado en Segurinfo una forma ingeniosa de infectar smartphones Android. La técnica consistía en dos pasos. El primero era comprar aplicaciones existentes en Google Play, a desarrolladores que se aburrieron de mantenerlas. El segundo consistía en infectar dichas aplicaciones y subir las versiones infectadas al Play, para infectar los celulares cuando los usuarios las actualizaran.

El Agente Smith, utiliza una técnica ligeramente diferente. El detalle técnico de su funcionamiento puede encontrarse en el sitio de checkpoint. A modo de resumen, podemos decir que la técnica consiste en 3 pasos:

1. Engaña a los usuarios para que se instalen aplicaciones gratuitas (normalmente juegos o apps de adultos) desde sitios como 9Apps. Una vez instalado, el Agente Smith comprueba si el usuario posee instalada alguna aplicación pupular de una lista que trae internamente. Dentro de esa lista, están aplicaciones como Whatsapp u Opera Mini.
2. Una vez dentro del dispositivo, descifra su payload malicioso que consiste en un archivo apk. Esto lo hace sin intervención del usuario utilizando vulnerabilidades conocidas de Android como por ejemplo: Janus o Man-in-the-disk.
3. El Agente Smith ataca las aplicaciones del teléfono que estén en su lista, de la misma modo que lo hizo el personaje de Matrix con Morfeo. Descarga los apk’s de dichas aplicaciones de los sitios originales, los modifica inyectando código mailcioso, e instala esta nueva versión infectada replicándose en dichas aplicaciones. Esta técnica es similar a la comentada por el Chema, pero el Agente Smith lo hace dentro del mismo celular. Esta segunda instalación, la efectúa también abusando de las vulnerabilidades ya mencionadas.

Hasta el momento, los investigadores calculan que existen unos 25 millones de celulares infectados con el Agente Smith. Si bien la mayoría de las infecciones se dieron en la India, Bangladesh y Pakistán en el siguiente mapa puede verse que ya está distribuido por todo el mundo.

¿Pero cuál es el propósito de la infección? Por el momento es bastante inocente. Simplemente hace que las aplicaciones infectadas desplieguen pop-ups de publicidad. Se cree que el objetivo de estos Ads, es generar ganancias para el grupo desarrollador del malware sumando clics. Sin embargo, la técnica es tan sofisticada y se hizo con tanto cuidado, que podría ser fácimente modificable para llevar otro tipo de payload mucho más peligroso. Por ejemplo, se podría usar para obtener credenciales de acceso o bancarias, o hasta pinchar los teléfonos infectados.