Siamo proprio sicuri che il WhatsAPP che stiamo usando in questo momento sul nostro smartphone Android sia quello vero? Siamo sicuri che stia realmente funzionando come ci aspetteremmo dal WhatsApp legittimo? E siamo sicuri che le altre app che eseguiamo sul nostro dispositivo "siano" esattamente quello che dicono di essere?

Sembrano domande di una persona un pò paranoica, ma le notizie che si sono susseguite per tutta la giornata di ieri rendono queste domande non solo verosimili, ma anzi, necessarie. E' stato infatti individuato un malware molto particolare, che ha già colpito l'esorbitante numero di 25 milioni di dispositivi Android: si chiama Agent Smith (si, come l'agente Smith del famosissimo film Matrix) ed è pensato per intasare i dispositivi Android di pubblicità indesiderate.

Il problema è che Agent Smith è capace di un trasformismo notevole: è stato individuato, infatti, ben nascosto in app dall'apparenza del tutto innocente e legittima come app di photo editing, giochi ecc.. diffusi in app store di terze parti.

Qualche dettaglio tecnico
Il malware è contenuto appunto in app gratuite ed agisce in maniera veramente insidiosa e subdola: il codice principale del malware è criptato entro immagini JPEG. Una volta che viene installata l'app compromessa, Agent Smith viene estratto e eseguito sullo smartphone sfruttando alcune vulnerabilità già note di Android (per i più navigati, parliamo delle vulnerabilità Janus e Man-in-the-Disk): in dettaglio il codice dannoso viene iniettato nel file APK delle app bersaglio installate sul dispositivo compromesso. Le applicazioni così compromesse vengono reinstallate o aggiornate automaticamente senza l'interazione o la consapevolezza dell'utente. Ecco come un'app legittima diventa, senza che ce ne possiamo accorgere, qualcosa di diverso da quel che pensiamo sia l'app stessa.

Agent Smith, come detto, agisce in maniera molto subdola perché si camuffa anche da applicazione di Google e nasconde perfino l'icona in modo che la vittima ne perda completamente le tracce. Tra i nomi usati da Agent Smith troviamo "Google Updater" o "Google Update for U".

A questo punto ad Agent Smith non resta che garantirsi la persistenza sul sistema, ovvero garantire che le app modificate dal suo codice non vengano né disinstallate né aggiornate. Per farlo usa due tecniche: la prima è monitorare costantemente la directory dedicata agli update, cancellando ogni file dovesse comparire al suo interno. La seconda tecnica consiste invece nel manomettere il sistema di gestione degli aggiornamenti, per far si che l'app compromessa non abbia scadenze di verifica degli update.

La campagna di diffusione
I primi dati indicano che il malware ha iniziato a diffondersi da un app store di terze parti molto conosciuto in India, 9Apps per poi diffondersi ad una velocità impressionante. I ricercatori hanno individuato ben 360 diverse varianti del dropper di Agent Smith già in diffusione. I dati telemetrici fino ad ora raccolti indicano che i 25 milioni di dispositivi Android compromessi conterrebbero addirittura 2,8 miliardi app "modificate", in media 112 app compromesse a dispositivo.

Ancor più preoccupante è il fatto che Agent Smith, stamane, è stato trovato in diffusione anche in app legittime: già 11 app compromesse sono state individuate nel Google Play, lo store ufficiale di Google.

C'è infine un ulteriore rischio da tenere in considerazione: Agent Smith ha una struttura modulare, il che significa che è un malware composto da più moduli che eseguono diverse funzioni. I suoi sviluppatori e controllori quindi potrebbero aggiungervi infiniti moduli, aumentando a dismisura il tipo e la varietà di azioni dannose che questo malware può eseguire sui dispositivi infetti.