25 Million Android Phones Infected With Malware “Hiding” In WhatsApp

July 14, 2019

Less than a minute

برمجية خبيثة “تختبئ في واتساب” وتصيب 25 مليون هاتف أندرويد

English
العربية

As many as 25 million Android phones have been hit with malware that replaces installed apps like WhatsApp with evil versions that serve up adverts, cybersecurity researchers warned Wednesday.

Dubbed Agent Smith, the malware abuses previously-known weaknesses in the Android operating system, making updating to the latest, patched version of Google’s operating system a priority, cybersecurity company Check Point said.

Most victims are based in India, where as many as 15 million were infected. But there are more than 300,000 in the U.S., with another 137,000 in the U.K., making this one of the more severe threats to have hit Google’s operating system in recent memory.

How Did This Happen?

The malware has spread via a third party app store 9apps.com, which is owned by China’s Alibaba, rather than the official Google Play store. Typically, such non-Google Play attacks focus on developing countries, making the hacker’s success in the U.S. and the U.K. more remarkable, Check Point said.

Whilst the replaced apps will serve up malicious ads, whoever’s behind the hacks could do worse, Check Point warned in a blog.

“Due to its ability to hide it’s icon from the launcher and impersonates any popular existing apps on a device, there are endless possibilities for this sort of malware to harm a user’s device,” the researchers wrote.

They said they’d warned Google and the relevant law enforcement agencies. Google hadn’t provided comment at the time of publication.

Typically the attack works as following: users download an app from the store – typically photo utility, games or adult themed apps (one called Kiss Game: Touch Her Heart is advertised with a cartoon of a man kissing a scantily clad woman). This app then silently installs the malware, disguised as a legitimate Google updating tool. No icon appears for this on the screen, making it even more surreptitious. Legitimate apps – from WhatsApp to the Opera browser and more – are then replaced with an evil update so they serve the bad ads. The researchers said the ads themselves weren’t necessarily malicious, but in a typical ad fraud scheme, every click on an injected advert will send money back to the hackers, as per a typical pay-per-click system.

There’s some indication that the attackers are considering moving to Google Play. The Check Point researchers said they’d found 11 apps on Google’s store that contained a “dormant” piece of the hackers software. Google swiftly took those apps down.

Check Point believes an unnamed Chinese company based in Guangzhou has been building the malware, whilst operating a business that helps Chinese Android developers promote their apps on overseas platforms.

What Can You Do?

So what can anxious Android owners do? Check Point’s head of cyber analysis and response, Aviran Hazum, said that if users experience advertisements displayed at odd times, such as when they open WhatsApp, they should take action. The legitimate WhatsApp, of course, does not serve ads.

First, go to Android settings, then the apps and notifications section. Next, got to the app info list and look for suspicious applications with names like Google Updater, Google Installer for U, Google Powers and Google Installer. Click into the suspicious application and choose to uninstall it.

Otherwise, staying away from unofficial Android app stores might help, given Google’s extra protections designed to prevent malware from getting on the site. Not that Google’s efforts always pay off. Earlier this week, a warning went out about an Android malware spreading over Google Play that was screen recording users banking sessions.

via Forbes

حذر باحثون في مجال الأمن الإلكتروني بأن ما يصل إلى 25 مليون هاتف أندرويد أصيبت ببرمجية خبيثة تستبدل نسخا جديدة تخدم الإعلانات بالبرامج الأصلية المثبتة في الجهاز مثل واتساب.

وتستغل البرمجية الخبيثة -التي أطلق عليها اسم “أجينت سميث” (العميل سميث)- نقطة ضعف معروفة سابقا في الطريقة التي يقوم بها نظام التشغيل أندرويد بتحديث نفسه، فتعمل على نَسْخ تطبيقات شهيرة، مثل واتساب ومتصفح الإنترنت “أوبرا”، إلى الهاتف وتستبدل بتلك التطبيقات الأصلية نسخا أخرى ملغمة.

ووفقا لشركة “تشك بوينت” الأمنية فإن معظم الضحايا يتركزون في الهند، حيث أصيب ما يصل إلى 15 مليون جهاز، كما يوجد أكثر من ثلاثمئة ألف جهاز مصاب بالبرمجية في الولايات المتحدة، و137 ألفا في المملكة المتحدة، مما يجعل منها أحد أخطر التهديدات التي تصيب نظام أندرويد في السنوات الأخيرة.

وانتشرت البرمجية عن طريق تحميل تطبيقات من متجر تطبيقات طرف ثالث هو 9apps.com تملكه شركة علي بابا الصينية المختصة بالتجارة الإلكترونية، وذلك بدلا من استخدام متجر تطبيقات الرسمي “غوغل بلاي”.

وعادة تركز مثل هذه الهجمات الصادرة من خارج متجر غوغل بلاي على البلدان النامية، مما يجعل نجاح الثغرة في التسلل إلى هواتف أندرويد في الولايات المتحدة والمملكة المتحدة أكثر إثارة للاهتمام، وفقا للشركة.

وفي حين أن التطبيقات المستبدلة تستخدم الإعلانات الخبيثة، فإنه يمكن لأي شخص يقف وراء الاختراق أن يفعل ما هو أسوأ. فنظرا لقدرة البرمجية على إخفاء أيقونتها عن المستخدم وانتحال شخصية أي تطبيق مشهور على الجهاز، فإن هناك إمكانيات لا حصر لها لهذا النوع من البرمجيات الخبيثة لإلحاق الضرر بجهاز المستخدم.

وقال الباحثون إنهم حذروا غوغل ووكالات إنفاذ القانون المعنية، لكن غوغل لم تعلق على الخبر حتى وقت نشره في موقع ذي فوربس الذي أورد النبأ.