Sådan opdager og fjerner Agent Smith malware på Android

En ny type malware rettet mod smartphones har inficeret omkring 25 millioner enheder (hvoraf 15 millioner er i Indien). Denne malware kaldes Agent Smith. Agent Smith retter sig mod Android- mobiloperativsystemet og erstatter installerede applikationer med ondsindede versioner uden brugerens viden.

Dagens artikel vil vise dig, hvordan du opdager, forhindrer og beskytter din Android-enhed mod Agent Smith malware.

Agent Smith - Ny malware vises på Android-enheder

• Hvad er Agent Smith malware?
• Hvordan virker Agent Smith malware?
• Agent Smith malware-modul
• Fjern Agent Smith-apps fra Google Play
• Sådan opdager og fjerner du Agent Smith fra Android

Hvad er Agent Smith malware?

Agent Smith er en modulær malware, der udnytter en række Android-sårbarheder til at erstatte eksisterende legitime applikationer med en ondsindet falsk version. Ondsindede apps stjæler ikke data. I stedet viser de erstattede apps store mængder annoncer til brugere eller stjæler kreditter fra enheden for at betale for de allerede viste annoncer.

Agent Smith har samme navn som en karakter i den berømte film The Matrix. Check Points forskerhold mener, at de metoder, som denne malware bruger til at sprede, ligner de teknikker, som agent Smith bruger i denne hitfilmserie.

Ifølge Jonathan Shimonovich, leder af forskning i mobiltrusselsdetektion hos Check Point Software Technologies, angriber malwaren stille brugerinstallerede applikationer, hvilket gør det svært for Android-brugere, svært at bekæmpe disse trusler på egen hånd.

Desuden inficerede agent Smith et stort antal enheder. Indien er det mest angrebne land. Check Points forskning viser, at omkring 15 millioner enheder her er inficeret med Agent Smith. Det næstrangerede land er Bangladesh, hvor omkring 2,5 millioner enheder er blevet ofre for denne malware. Der er mere end 300.000 sager af Agent Smith i USA og omkring 137.000 sager i Storbritannien.

Hvordan virker Agent Smith malware?

Check Point Research mener, at Agent Smith-malwaren stammer fra et kinesisk firma, skabt for at hjælpe kinesiske Android-udviklere med at udgive og promovere applikationer på udenlandske markeder.

Malwaren dukkede først op i tredjeparts app-butikker. 9 Apps. Denne tredjeparts app-butik er målrettet mod indiske, arabiske og indonesiske brugere (hvilket forklarer, hvorfor antallet af enheder inficeret med Agent Smith er så stort i disse regioner). Det er en af ​​grundene til, at du bør undgå at downloade Android-apps fra tredjeparts- appbutikker .

Agent Smith malware fungerer i tre faser.

1. En dropper-applikation (en type malware udviklet til at starte virus, i form af en gratis smartphone-applikation) lokker ofrene til frivilligt at installere malware. Droppere indeholder oprindeligt krypterede ondsindede filer og tager ofte form af billedværktøjer, spil eller "voksen" applikationer, som næsten er inaktive.

2. Dropper dekrypterer og installerer ondsindede filer. Malwaren bruger Google Updater, Google Update for U eller "com.google.vending" til at skjule sin aktivitet.

3. Den vigtigste malware opretter en liste over installerede programmer. Hvis en app matcher dens "bytte"-liste, "patcher" den målappen med et malvertising-modul, og erstatter originalen, som om det var en enkelt app-opdatering.

Listen over "byttedyr" inkluderer WhatsApp , Opera, SwiftKey, Flipkart, Truecaller osv.

Interessant nok kombinerer Agent Smith flere Android-sårbarheder, herunder Janus, Bundle og Man-in-the-Disk. Kombinationen skaber en tre-trins infektionsproces, der giver malware-distributører mulighed for at bygge botnets , der tjener penge (gennem annoncering). Check Points forskerhold mener, at Agent Smith kan være den første kampagne til at integrere og våben alle sårbarhederne sammen, hvilket gør denne malware ekstremt farlig.

Agent Smith malware-modul

Agent Smith malware bruger en modulær struktur til at inficere mål, herunder:

• Læsser
• Kerne
• Støvler
• Lappe
• AdSDK
• Opdaterer

Dropper er et legitimt program, der er pakket om til at indeholde et ondsindet Loader-modul. Indlæseren udtrækker og kører Core-modulet, som igen kommunikerer med malwarens C&C-server. Derefter vil C&C-serveren sende byttelisten. Hvis der findes et passende program, bruger malwaren sårbarheden til at injicere Boot-modulet i det ompakkede program.

Næste gang den inficerede app lanceres, kører Boot-modulet Patch-modulet, som bruger AdSDK-modulet til at introducere annoncer og begynde at generere omsætning.

Et andet interessant element ved Agent Smith er, at det ikke stopper ved kun én ondsindet applikation. Hvis Agent Smith finder flere matchende applikationer på byttelisten, erstatter den hver applikation med den ondsindede version.

Agent Smith udgav også ondsindede opdateringsrettelser til de ompakkede applikationer, fortsatte infektionen og serverede nye annoncepakker.

Fjern Agent Smith-apps fra Google Play

Agent Smiths vigtigste infektionspunkt er tredjeparts app-butikken, 9Apps. Det er dog næsten umuligt at røre ved Google Play. Check Point opdagede 11 applikationer i Google Play Butik, der indeholdt en samling af ondsindede, inaktive filer relateret til Agent Smith. Google Play-versionerne af Agent Smith bruger en lidt anderledes viral teknik, men med samme mål.

Check Point rapporterede de ondsindede apps til Google, og alle er blevet fjernet fra Google Play Butik.

Sådan opdager og fjerner du Agent Smith fra Android

Du kan nemt få øje på Agent Smith. Hvis dine ofte brugte apps pludselig begynder at generere en for stor mængde annoncer, er det et sikkert tegn på, at der er noget galt. De annoncer, som malwaren "serverer", er svære eller umulige at slippe af med (dette er endnu et tegn, man skal passe på). Men fordi Agent Smith agerer næsten lydløst ved udsendelse af annoncer, er det ekstremt svært at opdage meget små ændringer på applikationen.

• Sådan opdager du ondsindede applikationer på Android

Bemærk venligst, at applikationer, der pludselig viser en enorm mængde af annoncer, ikke er et tegn på Agent Smiths "eksklusivitet". Andre typer Android-malware viser også annoncer for at øge omsætningen. Derfor kan din enhed være inficeret med en anden type Android-malware.

Hvis du har mistanke om, at der er noget galt, bør du bruge antivirussoftware til at køre en scanning på din enhed.

Det første forslag er Malwarebytes Security, Android-versionen af ​​det fremragende anti-malware-værktøj. Download Malwarebytes Security og kør en fuld systemscanning. Det vil fange og fjerne alle ondsindede applikationer på din enhed.

Download Malwarebytes Security (gratis, abonnement tilgængeligt).

Se artiklen: Top bedste antivirusapplikationer til Android-telefoner for flere detaljer!

Håber du finder det rigtige valg!