Pensavate che l’Agente Smith fosse stato definitivamente eliminato al termine di Matrix Revolutions? A quanto pare il virus è riuscito a sopravvivere e ha ripreso a operare, sovrascrivendo centinaia di milioni di applicazioni lecite in oltre 25 milioni di smartphone, principalmente in India.

Non è la trama di un improbabile sequel della trilogia di Matrix, ma quanto scoperto dai ricercatori di sicurezza di Check Point, che hanno isolato il malware che a quanto pare circola da oltre tre anni. Il malware sembra riconducibile a una compagnia cinese con sede a Guangzhou, che si occupa di promozione di applicazioni per Android.

L’origine dell’infezione sembra essere 9Apps, un app store alle cui spalle c’è UCWeb, controllato da Alibaba. Agent Smith, così è stato soprannominato il malware, opera come la controparte cinematografica, andando a sostituire le applicazioni originali con una versione infetta.

Una volta installatosi nel sistema attraverso l’app infetta, Smith installa un malware, la cui icona viene nascosta, che si occupa di creare una lista delle applicazioni installate. Grazie a un elenco scaricato da un server command-and-control il malware estrae il file APK delle applicazioni bersaglio, aggiunge il codice malevolo e procede alla reinstallazione dell’app, come se fosse un normale aggiornamento.

La particolarità di Agente Smith è quella di sfruttare la vulnerabilità Janus, per la quale è stata rilasciata una patch con Android 7, ecco perché la maggior parte delle infezioni riguarda dispositivi con Android 5 e Android 6. Lo scopo ultimo del malware e quello di fornire dei banner pubblicitari malevoli e fraudolenti, ma la stessa tecnica potrebbe essere utilizzata per sottrarre informazioni personali alle vittime degli attacchi.
Per maggiori dettagli tecnici potete consultare il documento originale di Check Point.