En ny type skadelig programvare rettet mot smarttelefoner har infisert rundt 25 millioner enheter (15 millioner av dem er i India). Denne skadelige programvaren kalles Agent Smith. Agent Smith retter seg mot Android- mobiloperativsystemet , og erstatter installerte applikasjoner med ondsinnede versjoner uten brukerens viten.
Dagens artikkel vil vise deg hvordan du oppdager, forhindrer og beskytter Android-enheten din mot Agent Smith malware.
Agent Smith – Ny skadelig programvare dukker opp på Android-enheter
Hva er Agent Smith malware?
Agent Smith er en modulær skadelig programvare som utnytter en rekke Android-sårbarheter for å erstatte eksisterende legitime applikasjoner med en ondsinnet falsk versjon. Ondsinnede apper stjeler ikke data. I stedet viser de erstattede appene store mengder annonser til brukere eller stjeler kreditter fra enheten for å betale for annonsene som allerede vises.
Agent Smith har samme navn som en karakter i den kjente filmen The Matrix. Check Points forskerteam mener at metodene denne skadevaren bruker til å spre ligner på teknikkene som ble brukt av Agent Smith i denne suksessfilmserien.
I følge Jonathan Shimonovich, leder for mobiltrusselsdeteksjonsforskning ved Check Point Software Technologies, angriper skadelig programvare stille brukerinstallerte applikasjoner, noe som gjør det vanskelig for Android-brukere, vanskelig å bekjempe disse truslene på egenhånd.
Videre infiserte agent Smith et stort antall enheter. India er det mest angrepne landet. Check Points forskning viser at rundt 15 millioner enheter her er infisert med Agent Smith. Det andrerangerte landet er Bangladesh, med rundt 2,5 millioner enheter som blir ofre for denne skadelige programvaren. Det er mer enn 300 000 tilfeller av Agent Smith i USA og rundt 137 000 saker i Storbritannia.
Hvordan fungerer Agent Smith malware?
Check Point Research mener at Agent Smith-malwaren stammer fra et kinesisk selskap, opprettet for å hjelpe kinesiske Android-utviklere med å publisere og markedsføre applikasjoner i utenlandske markeder.
Skadevaren dukket først opp i tredjeparts appbutikker. 9 apper. Denne tredjeparts appbutikken retter seg mot indiske, arabiske og indonesiske brukere (noe som forklarer hvorfor antallet enheter infisert med Agent Smith er så stort i disse regionene). Det er en av grunnene til at du bør unngå å laste ned Android-apper fra tredjeparts appbutikker .
Agent Smith malware opererer i tre faser.
1. En dropper-applikasjon (en type skadelig programvare utviklet for å lansere virus, i form av en gratis smarttelefonapplikasjon) lokker ofrene til frivillig å installere skadelig programvare. Droppere inneholder i utgangspunktet krypterte ondsinnede filer og har ofte form av bildeverktøy, spill eller "voksen"-applikasjoner, som nesten er inaktive.
2. Dropper dekrypterer og installerer skadelige filer. Skadevaren bruker Google Updater, Google Update for U eller «com.google.vending» for å skjule aktiviteten.
3. Den viktigste skadelige programvaren lager en liste over installerte programmer. Hvis en app matcher "byttedyr"-listen, "lapper" den målappen med en malvertising-modul, og erstatter originalen som om den var en enkelt appoppdatering.
Listen over "byttedyr" inkluderer WhatsApp , Opera, SwiftKey, Flipkart, Truecaller, etc.
Interessant nok kombinerer Agent Smith flere Android-sårbarheter, inkludert Janus, Bundle og Man-in-the-Disk. Kombinasjonen skaper en tre-trinns infeksjonsprosess, som lar distributører av malware bygge botnett som tjener penger (gjennom annonsering). Check Points forskningsteam mener at Agent Smith kan være den første kampanjen som integrerer og våpen alle sårbarhetene sammen, noe som gjør denne skadevaren ekstremt farlig.
Agent Smith malware-modul
Agent Smith malware bruker en modulær struktur for å infisere mål, inkludert:
- Laster
- Kjerne
- Støvler
- Lapp
- AdSDK
- Oppdaterer
Dropper er et legitimt program som er pakket om for å inneholde en ondsinnet Loader-modul. Lasteren trekker ut og kjører Core-modulen, som igjen kommuniserer med skadevarens C&C-server. Deretter vil C&C-serveren sende byttelisten. Hvis et passende program blir funnet, bruker skadelig programvare sårbarheten til å injisere Boot-modulen i den ompakkede applikasjonen.
Neste gang den infiserte appen lanseres, kjører Boot-modulen Patch-modulen, som bruker AdSDK-modulen til å introdusere annonser og begynne å generere inntekter.
Et annet interessant element ved Agent Smith er at det ikke stopper ved bare én ondsinnet applikasjon. Hvis Agent Smith finner flere samsvarende applikasjoner i byttelisten, vil den erstatte hver applikasjon med den ondsinnede versjonen.
Agent Smith ga også ut skadelige oppdateringsoppdateringer for de ompakkede programmene, fortsetter infeksjonen og serverer nye annonsepakker.
Fjern Agent Smith-apper fra Google Play
Agent Smiths viktigste infeksjonspunkt er tredjeparts appbutikk, 9Apps. Det er imidlertid nesten umulig å berøre Google Play. Check Point oppdaget 11 applikasjoner i Google Play Store som inneholdt en samling ondsinnede, inaktive filer relatert til Agent Smith. Google Play-versjonene av Agent Smith bruker en litt annen viral teknikk, men med samme mål.
Check Point rapporterte de skadelige appene til Google, og alle er fjernet fra Google Play-butikken.
Slik oppdager og fjerner Agent Smith fra Android
Du kan oppdage Agent Smith ganske enkelt. Hvis de ofte brukte appene dine plutselig begynner å generere en overdreven mengde annonser, er det et sikkert tegn på at noe er galt. Annonsene som skadelig programvare "serverer" er vanskelige eller umulige å bli kvitt (dette er nok et tegn å se opp for). Men fordi Agent Smith opptrer nesten stille når han publiserer annonser, er det ekstremt vanskelig å oppdage svært små endringer på applikasjonen.
Vær oppmerksom på at applikasjoner som plutselig viser et stort antall annonser, ikke er et tegn på Agent Smiths "eksklusivitet". Andre typer Android-skadevare viser også annonser for å øke inntektene. Derfor kan enheten din være infisert med en annen type Android-skadevare.
Hvis du mistenker at noe er galt, bør du bruke antivirusprogramvare for å kjøre en skanning på enheten din.
Det første forslaget er Malwarebytes Security, Android-versjonen av det utmerkede anti-malware-verktøyet. Last ned Malwarebytes Security og kjør en fullstendig systemskanning. Den vil fange opp og fjerne alle ondsinnede applikasjoner på enheten din.
Last ned Malwarebytes Security (gratis, abonnement tilgjengelig).
Se artikkelen: Topp beste antivirusapplikasjoner for Android-telefoner for mer informasjon!
Håper du finner det rette valget!