Este malware substitui as apps de Android legítimas por maliciosas . Este malware está disfarçado de uma aplicação da Google e explora diversas vulnerabilidades conhecidas para Android para substituir as apps instaladas no dispositivo sem a interação do utilizador.

A categoria na qual este malware se disfarça é a de utilidades. Depois de instalada com sucesso no dispositivo, o malware começa automaticamente a instalar ou fazer atualizações sem o consentimento ou interação do utilizador.

Como funciona?

Há essencialmente três fases no desenvolvimento do malware.

Primeiro, os atacantes convencem a vítima a fazer download de uma aplicação que funciona como um dropper, como o 9Apps. Este dropper verifica se está instalada alguma aplicação popular e depois faz dessa aplicação alvo com o malware.

Depois de esse dropper conseguir acesso ao dispositivo, começa a desencriptar automaticamente o payload malicioso num ficheiro .apk que representa o núcleo do ataque deste malware. Começa, finalmente, a explorar diversas falhas conhecidas para instalar o malware sem qualquer tipo de interação do utilizador.

Como este malware tem uma estrutura modular, segundo os investigadores torna mais fácil usá-lo para fins maliciosos, como o roubo de informação sensível.

O que o utilizador deve fazer para se proteger

Aconselha-se a que os utilizadores apenas façam download de aplicações de lojas conhecidas e mantenham o seu dispositivo atualizado, já que este malware se aproveita de falhas conhecidas.

Fonte: https://www.bleepingcomputer.com/news/security/25-million-android-devices-infected-by-agent-smith-malware/