SMApps é um programa malicioso que visa difundir promoções ilegais. Ele ataca principalmente os navegadores, alterando as configurações e redirecionando as consultas de pesquisa do Google para sites suspeitos.. Os possíveis métodos de distribuição são padrão: anúncios maliciosos e sites duvidosos com software hackeado.
Este malware usa diferentes métodos de evasão de detecção, anti-análise, e táticas de persistência. Embora posicionado principalmente como adware, ele pode fornecer outros aplicativos semelhantes a adware e registrar as teclas digitadas.
Visão geral dos SMApps
SMApps é um malware que se enquadra a designação de adware e sequestradores de navegador. Este malware visa principalmente alterar as configurações do navegador da web, principalmente aqueles relacionados a mecanismos de pesquisa e páginas iniciais. Depois de digitar uma consulta de pesquisa no Google.com, um redirecionamento para Bangsearch[.]pró ocorre em vez dos resultados de pesquisa esperados.
Além do Bangsearch, SMApps podem promover literalmente qualquer outro mecanismo, dependendo de quem paga. Mesmo quando joga o usuário para o Yahoo ou Bing, os resultados parecem alterados e podem conter conteúdo prejudicial. Além disso, sistemas de pesquisa falsos geralmente coletam dados confidenciais do usuário, em uma extensão muito maior do que os provedores de pesquisa mais comuns.
À primeira vista, pode parecer apenas irritante, como a maioria dos vírus adware. No entanto, isso é diferente. A análise detalhada mostrou que os SMApps podem roubar informações confidenciais do dispositivo da vítima e redirecionar as consultas de pesquisa. Ele pode capturar pressionamentos de teclas, coletar informações do processo, e instale carga útil adicional (geralmente outro adware). A remoção dessa coisa é complicada, independentemente do caminho da infecção, porque o malware usa vários truques para evitar isso. Eu fiz minha análise desta ameaça, encontrando todos os truques que ele faz no sistema infectado – você pode ver abaixo.
Os principais locais de propagação do vírus SMApps são sites que distribuem software hackeado, e anúncios maliciosos. Páginas obscuras com complementos ou mods para jogos populares contribuem para a propagação desse malware. Além disso, essa coisa pode se espalhar sozinha, replicando os arquivos para unidades USB, agindo efetivamente como um verme, então tome cuidado com o que você conecta à sua porta USB.
Análise técnica
Não foi difícil recuperar a amostra de SMApps – plataformas de análise de malware estão repletas de suas amostras. Este foi algum tipo de hack para Roblox, que confirma o que descobri sobre formas de divulgação. Vamos dar uma olhada em suas atividades internas e no sistema.
Acesso Inicial
O estágio de acesso inicial envolve SMApps usando vários métodos para ganhar uma posição no sistema de destino. Na próxima etapa, invasores podem usar Instrumentação de gerenciamento do Windows para consultar informações confidenciais do dispositivo de vídeo ou verificar se um programa antivírus está instalado. Isso atua tanto como impressão digital do sistema quanto como etapa de análise/evasão de VM:
IWbemServices::ExecQuery - ROOT\cimv2 : SELECT * FROM Win32_VideoController
IWbemServices::ExecQuery - ROOT\SecurityCenter2 : SELECT * FROM AntiVirusProduct
Isso geralmente é feito para detectar máquinas virtuais. Também consulta as informações da tabela de firmware e verifica se o processo atual está sendo depurado. Adicionalmente, ele consulta informações do disco para detectar máquinas virtuais. Para dificultar a análise dinâmica, o programa pode conter sono médio e longo (>= 30 seconds and >= 3 minutos respectivamente) e use loops evasivos.
Persistência & Escalação de privilégios
SMApps ganha persistência através da criação ou modificação de serviços do Windows, chaves de execução do registro, e pastas de inicialização.
Isso exige Windows Installer para organizar sua execução posterior, ocultando a janela através dos argumentos da linha de comando.
"C:\Windows\system32\msiexec.exe" /I "C:\Users\
Para ganhar mais persistência e privilégios adicionais, este programa exige Serviço de relatório de erros do Windows. Este truque é bastante popular atualmente, pois abusa da capacidade de reiniciar o processo com privilégios superiores sem solicitar uma janela do UAC.
C:\Windows\SysWOW64\WerFault.exe -pss -s 492 -p 7280 -ip 7280
C:\Windows\SysWOW64\WerFault.exe -pss -s 552 -p 3300 -ip 3300
Conexão do servidor de comando, Instalações Adicionais
Quanto às comunicações com C2, SMApps usam protocolo FTP e uma lista de endereços pré-determinados para conexão. No meu caso, o 162.250.124.82:21 endereço era um servidor primário. No entanto, a conexão não pode se orgulhar de nenhum registro rico – o malware apenas envia as informações sobre o sistema infectado. No entanto, coisas mais interessantes surgiram depois de deixar a coisa rodar em segundo plano.
Como eu disse acima, SMApps podem agir como um conta-gotas. Deixou cair dois arquivos após a instalação:
IdealWeightOperator.exe
IdealWeightService.exe
Esses dois programas maliciosos são praticamente o mesmo que o próprio SMApps em termos de funcionalidade. Eles alteram as configurações do navegador além do que o original faz, promovendo sites questionáveis e gerando anúncios indesejados. Mesmo que essas ameaças não sejam realmente graves, o facto de ser capaz de o fazer é preocupante.
Como remover SMApps?
Para remover SMApps, você precisa de uma solução antivírus eficaz. Eu recomendo Antimalware GridinSoft pois ajudará a remover esse malware sem muito esforço. Os usuários relatam problemas com a remoção deste malware com a abordagem manual, portanto, uma ferramenta especializada é necessária. O programa GridinSoft também permitirá que você reinicie seu navegador em dois cliques. Isto é especialmente eficaz quando o navegador sofre interferência de adware.
