Як виявити та видалити зловмисне програмне забезпечення Agent Smith на Android

Новий тип шкідливого програмного забезпечення, націленого на смартфони, заразив близько 25 мільйонів пристроїв (15 мільйонів з яких знаходяться в Індії). Ця шкідлива програма називається Agent Smith. Агент Сміт націлений на мобільну операційну систему Android , замінюючи встановлені програми шкідливими версіями без відома користувача.

Сьогоднішня стаття покаже вам, як виявити, запобігти та захистити свій пристрій Android від зловмисного програмного забезпечення Agent Smith.

Agent Smith - Нове шкідливе програмне забезпечення з'являється на пристроях Android

• Що таке зловмисне програмне забезпечення Agent Smith?
• Як працює зловмисне програмне забезпечення Agent Smith?
• Модуль шкідливих програм Agent Smith
• Видаліть програми Agent Smith із Google Play
• Як виявити та видалити Agent Smith з Android

Що таке зловмисне програмне забезпечення Agent Smith?

Agent Smith — це модульне зловмисне програмне забезпечення, яке використовує низку вразливостей Android, щоб замінити існуючі законні програми шкідливою підробленою версією. Шкідливі програми не викрадають дані. Замість цього замінені програми показують користувачам велику кількість реклами або викрадають кредити з пристрою, щоб заплатити за вже відображену рекламу.

Ім'я агента Сміта збігається з ім'ям персонажа знаменитого фільму "Матриця". Дослідницька група Check Point вважає, що методи поширення цього зловмисного програмного забезпечення подібні до технік, використаних агентом Смітом у цьому хітовому фільмі.

За словами Джонатана Шимоновича, керівника відділу досліджень мобільних загроз у Check Point Software Technologies, зловмисне програмне забезпечення тихо атакує встановлені користувачами програми, що ускладнює користувачам Android боротися з цими загрозами самостійно.

Крім того, агент Сміт заразив велику кількість пристроїв. Індія є найбільш атакованою країною. Дослідження Check Point показують, що близько 15 мільйонів пристроїв тут заражені агентом Смітом. На другому місці – Бангладеш, жертвами якого стали близько 2,5 мільйона пристроїв. У США зареєстровано понад 300 000 випадків зараження агентом Смітом і близько 137 000 випадків у Великобританії.

Як працює зловмисне програмне забезпечення Agent Smith?

Check Point Research вважає, що зловмисне програмне забезпечення Agent Smith походить від китайської компанії, створеної, щоб допомогти китайським розробникам Android публікувати та просувати програми на іноземних ринках.

Шкідлива програма вперше з’явилася в сторонніх магазинах додатків. 9Програми. Цей сторонній магазин додатків націлений на індійських, арабських та індонезійських користувачів (це пояснює, чому кількість пристроїв, заражених Agent Smith, у цих регіонах така велика). Це одна з причин, чому вам слід уникати завантаження програм Android зі сторонніх магазинів додатків .

Шкідлива програма Agent Smith працює в три фази.

1. Додаток-дропер (тип шкідливого програмного забезпечення, розробленого для запуску вірусів у формі безкоштовного додатку для смартфона) спонукає жертв добровільно встановити шкідливе програмне забезпечення. Дроппери спочатку містять зашифровані шкідливі файли і часто приймають форму утиліт для зображень, ігор або «дорослих» програм, які майже неактивні.

2. Dropper розшифровує та встановлює шкідливі файли. Зловмисне програмне забезпечення використовує Google Updater, Google Update for U або «com.google.vending», щоб приховати свою діяльність.

3. Основна шкідлива програма створює список встановлених програм. Якщо програма відповідає своєму списку «здобичі», вона «виправляє» цільову програму за допомогою модуля шкідливої ​​реклами, замінюючи оригінал так, ніби це було одне оновлення програми.

У список «здобичі» увійшли WhatsApp , Opera, SwiftKey, Flipkart, Truecaller тощо.

Цікаво, що Agent Smith поєднує кілька вразливостей Android, зокрема Janus, Bundle і Man-in-the-Disk. Ця комбінація створює триетапний процес зараження, що дозволяє розповсюджувачам шкідливих програм створювати ботнети , які заробляють гроші (через рекламу). Дослідницька група Check Point вважає, що Agent Smith може бути першою кампанією, яка об’єднує та використовує всі вразливості разом, що робить це шкідливе програмне забезпечення надзвичайно небезпечним.

Модуль шкідливих програм Agent Smith

Зловмисне програмне забезпечення Agent Smith використовує модульну структуру для зараження цілей, зокрема:

• Навантажувач
• Ядро
• Чоботи
• Патч
• AdSDK
• Оновлювач

Dropper — це легітимна програма, переупакована таким чином, щоб містити шкідливий модуль Loader. Завантажувач витягує та запускає модуль Core, який, у свою чергу, спілкується з сервером C&C зловмисного програмного забезпечення. Потім C&C-сервер надішле список жертв. Якщо знайдено будь-яку відповідну програму, зловмисне програмне забезпечення використовує вразливість, щоб ін’єктувати завантажувальний модуль у переупаковану програму.

Під час наступного запуску інфікованої програми модуль Boot запускає модуль Patch, який використовує модуль AdSDK, щоб показувати рекламу та починати отримувати дохід.

Ще один цікавий елемент Agent Smith полягає в тому, що він не зупиняється лише на одній шкідливій програмі. Якщо Agent Smith знайде кілька відповідних програм у списку жертв, він замінить кожну програму шкідливою версією.

Агент Сміт також випустив шкідливі патчі оновлення для перепакованих програм, продовжуючи зараження та показуючи нові рекламні пакети.

Видаліть програми Agent Smith із Google Play

Основною точкою зараження Agent Smith є сторонній магазин додатків 9Apps. Однак торкнутися Google Play практично неможливо. Check Point виявила 11 програм у Google Play Store, які містили колекцію шкідливих неактивних файлів, пов’язаних з агентом Смітом. Версії Agent Smith для Google Play використовують дещо іншу вірусну техніку, але з тією самою метою.

Check Point повідомила Google про шкідливі програми, і всі вони були видалені з магазину Google Play.

Як виявити та видалити Agent Smith з Android

Ви можете легко помітити агента Сміта. Якщо ваші часто використовувані програми раптом починають генерувати надмірну кількість реклами, це вірна ознака того, що щось не так. Від реклами, яку «подає» зловмисне програмне забезпечення, важко або неможливо позбутися (це ще одна ознака, на яку слід звернути увагу). Але оскільки Agent Smith діє майже безшумно, розміщуючи оголошення, надзвичайно важко виявити дуже незначні зміни в програмі.

• Як виявити шкідливі програми на Android

Зверніть увагу, що програми, які раптово показують величезну кількість реклами, не є ознакою «ексклюзивності» Agent Smith. Інші типи зловмисного програмного забезпечення для Android також показують рекламу, щоб збільшити дохід. Таким чином, ваш пристрій може бути заражений іншим типом зловмисного програмного забезпечення Android.

Якщо ви підозрюєте, що щось не так, вам слід скористатися антивірусним програмним забезпеченням , щоб запустити сканування вашого пристрою.

Перша пропозиція — Malwarebytes Security, версія чудового інструменту для захисту від зловмисного програмного забезпечення для Android. Завантажте Malwarebytes Security і запустіть повне сканування системи. Він захопить і видалить будь-які шкідливі програми, присутні на вашому пристрої.

Завантажте Malwarebytes Security (безкоштовно, доступна підписка).

Детальніше дивіться статтю: Топ найкращих антивірусних програм для телефонів Android !

Сподіваюся, ви знайдете правильний вибір!