Hvordan finne og fjerne Agent Smith Malware på Android

• Sikkerhet

Annonse

En ny programvare som målretter smarttelefoner mot skadelig programvare har infisert rundt 25 millioner enheter, hvorav 15 millioner er i India. Den skadelige programvaren kalles "Agent Smith." Den retter seg mot det mobile operativsystemet Android, og erstatter installerte apper med en ondsinnet versjon uten å varsle brukeren.

Slik ser du Agent Smith, hvordan du stopper det, og hvordan du kan beskytte mot Android-skadelig programvare.

Hva er Agent Smith Malware?

Agent Smith er en modulær malware som utnytter en serie Android-sårbarheter for å erstatte legitime eksisterende apper med en ondsinnet imitasjon. (Hva er modulær malware, uansett Modular Malware: The New Stealthy Attack Steling Your Data Modular Malware: The New Stealthy Attack Steling Your Data Malware er blitt vanskeligere å oppdage. Hva er modulær malware, og hvordan du stopper det med å ødelegge din PC ? Les mer?) Den ondsinnede appen stjeler ikke data. I stedet viser apper som erstattes, et stort antall annonser til brukeren eller stjeler kreditt fra enheten for å betale for annonser som allerede er vist.

Den skadelige programvaren har "Agent Smith" -monikeren, med samme navn som den beryktede Matrix-karakteren som er karakterisert som et virus. Check Point-forskerteamet grunner til at metodene skadelig programvare bruker for å formidle ligner Agent Smiths teknikker i filmserien.

"Malware angriper brukerinstallerte applikasjoner lydløst, noe som gjør det utfordrende for vanlige Android-brukere å bekjempe slike trusler på egenhånd, " sier Check Point Software Technologies Leder for Mobile Threat Detection Research Jonathan Shimonovich i blogginnlegget. "Å kombinere avansert trusselforebygging og trusselintelligens mens du tar i bruk en 'hygiene først' tilnærming for å ivareta digitale eiendeler er den beste beskyttelsen mot invasive angrep mot skadelig malware som" Agent Smith. "

Agent Smith har dessuten smittet et stort antall enheter. India har desidert flest infeksjoner. Check Point-undersøkelsen indikerer rundt 15 millioner enheter som frakter Agent Smith. Det nærmeste landet er Bangladesh, med rundt 2, 5 millioner enheter smittet. Det var over 300.000 Agent Smith-infeksjoner i USA og rundt 137.000 i Storbritannia.

Hvordan fungerer Agent Smith Malware?

Check Point Research mener Agent Smith-malware kommer fra et kinesisk selskap som hjelper kinesiske Android-utviklere med å publisere og markedsføre apper i utenlandske markeder.

Den skadelige programvaren dukket først opp på tredjeparts-appbutikken “9Apps.” App-butikken til tredjeparter er rettet mot indiske, arabiske og indonesiske brukere, og forklarer det betydelige antallet infeksjoner i disse områdene. (Det er en god grunn til å unngå å laste ned Android-apper fra tredjeparts appbutikker. Er det trygt å installere Android-apper fra ukjente kilder? Er det trygt å installere Android-apper fra ukjente kilder? Google Play Butikk er ikke din eneste kilde til apps, men er det trygt å søke andre steder? Les mer.)

Agent Smith malware fungerer i tre faser.

1. En dropper-app lokker offeret til å installere skadelig programvare frivillig. Den første dropperen inneholder krypterte ondsinnede filer og har vanligvis form av "knapt fungerende fotoverktøy, spill eller sexrelaterte apper."
2. Dropperen dekrypterer og installerer ondsinnede filer. Den skadelige programvaren bruker Google Updater, Google Update for U eller "com.google.vending" for å skjule aktiviteten.
3. Kjerneprogramvaren oppretter en liste over installerte apper. Hvis en app samsvarer med sin "bytteliste", lapper den målappen med en ondsinnet annonseringsmodul, og erstatter originalen som om det var en enkel appoppdatering.

Byttelisten inkluderer blant annet WhatsApp, Opera, SwiftKey, Flipkart og Truecaller.

Interessant er at Agent Smith sammen flere Android-sårbarheter, inkludert Janus, Bundle og Man-in-the-Disk. Kombinasjonen skaper en 3-trinns infeksjonsprosess slik at distributøren av skadelig programvare kan bygge et monetisert (via annonser) botnet. Forskningsteamet i Check Point mener Agent Smith er "muligens den første kampanjen sett som integrerer og våpenvåker" alle sårbarhetene sammen, noe som gjør skadelig programvare "så ondsinnet som de kommer."

Agent Smith Malware-moduler

Agent Smith malware bruker en modulær struktur for å infisere mål, bestående av:

• loader
• Kjerne
• Støvel
• Lapp
• AdSDK
• Updater

Dropper-en er en ompakket legitim applikasjon som også inneholder den ondsinnede lasteren.

Lasteren trekker ut og kjører Core-modulen, som igjen kommuniserer med malware og kommando- og kontrollserver (C&C). C & C-serveren sender byttelisten. Hvis noen apper blir funnet, bruker skadelig programvare en sårbarhet for å injisere Boot-modulen i den ompakkete applikasjonen.

Neste gang den infiserte applikasjonen starter, kjører Boot-modulen Patch-modulen, som bruker AdSDK-modulen til å introdusere annonsene og begynne å generere inntekter.

Et annet interessant element i Agent Smith er at den ikke stopper på en ondsinnet app. Hvis Agent Smith finner flere app-kamper på byttelisten, vil den erstatte hver og en med en ondsinnet versjon. Agent Smith utsteder også ondsinnede oppdateringsoppdateringer til appene som pakkes på nytt, holder infeksjonen i gang og serverer nye annonsepakker.

Fjerne Agent Smith-apper fra Google Play

Hovedpunktet for infeksjon for Agent Smith var tredjeparts app store, 9Apps. Google Play var imidlertid ikke uberørt. Check Point oppdaget 11 apper i Google Play-butikken som inneholder et "ondsinnet men sovende" sett med filer relatert til Agent Smith-skuespilleren. Google Play-versjonene av Agent Smith bruker en litt annen forplantningsteknikk, men har samme sluttmål.

Check Point rapporterte skadelige apper til Google, og alle ble fjernet fra Google Play-butikken.

Hvordan finne og fjerne Agent Smith fra Android

Du kan oppdage Agent Smith ganske enkelt. Hvis appene dine som regelmessig brukes plutselig begynner å produsere en overveldende mengde annonser, er det et sikkert tegn på at noe er galt. Annonsene skadelig programvare viser er vanskelige eller umulige å avslutte, noe som er en annen indikator. Men da Agent Smith opptrer nærmest i lydløs retning for annonsene, er det utrolig vanskelig å plukke opp subtile endringer i appene dine.

Vær oppmerksom på at apper som plutselig viser et stort volum av annonser ikke er solo-markøren til Agent Smith. Andre malware malware for Android viser reklame for å øke inntektene. Enheten din kan ha en annen type Android-skadelig programvare.

Hvis du mistenker at noe er galt, bør du fullføre en antimalware- eller antivirus-skanning på enheten. Komplett guide til fjerning av skadelig programvare. Komplett guide til fjerning av skadelig programvare er overalt i disse dager, og å utrydde skadelig programvare fra systemet ditt er en lang prosess, som krever veiledning. Hvis du tror datamaskinen din er infisert, er dette guiden du trenger. Les mer .

Den første anløpshaven er Malwarebytes Security, Android-versjonen av det utmerkede antimalware-verktøyet. Last ned Malwarebytes Security og kjør en full systemskanning. Den skal fange og fjerne eventuelle ondsinnede apper.

Last ned: Malwarebytes Security (Gratis, abonnement tilgjengelig)

Hvis Agent Smith eller annen Android-malware fortsetter, anbefaler vi sterkt å sjekke guiden vår for å fjerne Android-skadelig programvare uten tilbakestilling av fabrikken. Hvordan fjerne et virus fra din Android-telefon uten tilbakestilling av fabrikken Hvordan fjerne et virus fra Android-telefonen uten tilbakestilling av fabrikken å fjerne et virus fra Android-telefonen din? Vi viser deg hvordan du renser telefonen din fra et virus uten tilbakestilling av fabrikken. Les mer . Den inneholder flere apper for fjerning av skadelig programvare for Android, samt en trinn-for-trinn-guide for rengjøring av enheten din - uten å slette data!

Utforsk mer om: Malware, Modular Malware, Smartphone Security.