la parte central del malware explota varias vulnerabilidades conocidas de Android y reemplaza automáticamente las aplicaciones instaladas en el dispositivo por versiones maliciosas sin la intervención de los usuarios. Este enfoque llevó a los investigadores a nombrar el malware Agent Smith.

Este malware actualmente está accediendo a los recursos del dispositivo para mostrar anuncios fraudulentos y obtener ganancias financieras. Esta actividad es similar a vulnerabilidades anteriores como Gooligan, HummingBad y CopyCat.

Hasta ahora, las principales víctimas están en la India, aunque otros países asiáticos como Pakistán y Bangladesh también se han visto afectados.

En un entorno de Android mucho más seguro, los autores de “Agent Smith” parecen haberse movido al modo más complejo de buscar constantemente nuevas vulnerabilidades, como Janus, Bundle y Man-in-the-Disk, para crear un proceso de Infección en tres etapas y construir una botnet que genere beneficios.

Agent Smith tiene tres fases principales:

1. Una aplicación de inyección anima a una víctima a instalarla voluntariamente. Contiene un paquete en forma de archivos encriptados. Las variantes de esta aplicación de inyección suelen ser utilidades fotográficas, juegos o aplicaciones para adultos.
2. La aplicación de inyección descifra e instala automáticamente el APK de su código malicioso principal, que luego agrega correcciones maliciosas a las aplicaciones. El malware principal suele estar disfrazado de un programa de actualización de Google, Google Update para U o “com.google.vending”. El icono de malware principal no aparece en el iniciador.
3. El malware principal extrae una lista de aplicaciones instaladas en el dispositivo. Si encuentra aplicaciones que son parte de su lista de presas (codificadas o enviadas por el servidor de comando y control), extrae el APK base de la aplicación en el dispositivo, agrega módulos y anuncios maliciosos a la APK, reinstalan y reemplazan al original, como si fuera una actualización.

Se utiliza una serie de vulnerabilidades “Bundle” para instalar aplicaciones sin que la víctima se dé cuenta.

La vulnerabilidad de Janus, que permite al hacker reemplazar cualquier aplicación con una versión infectada.

El módulo central se pone en contacto con el servidor de comando y control para intentar obtener una nueva lista de aplicaciones para buscar o en caso de falla, utiliza una lista de aplicaciones predeterminadas:

• com.whatsapp
• com.lenovo.anyshare.gps
• com.mxtech.videoplayer.ad
• com.jio.jioplay.tv
• com.jio.media.jiobeats
• com.jiochat.jiochatapp
• com.jio.join
• com.good.gamecollection
• com.opera.mini.native
• in.startv.hotstar
• com.meitu.beautyplusme
• com.domobile.applock
• com.touchtype.swiftkey
• com.flipkart.android
• cn.xender
• com.eterno
• com.truecaller