Agent Smith-skadlig kod infekterar Android-enheter över hela Indien och Asien och sprids nu västerut.

Hur man hittar och tar bort Agent Smith Malware på Android

Annons En ny mjukvara som är inriktad mot skadlig programvara har infekterat cirka 25 miljoner enheter, varav 15 miljoner finns i Indien. Den skadliga programvaran kallas "Agent Smith." Den riktar sig till det mobila operativsystemet Android och ersätter installerade appar med en skadlig version utan att varna användaren. S

Annons

En ny mjukvara som är inriktad mot skadlig programvara har infekterat cirka 25 miljoner enheter, varav 15 miljoner finns i Indien. Den skadliga programvaran kallas "Agent Smith." Den riktar sig till det mobila operativsystemet Android och ersätter installerade appar med en skadlig version utan att varna användaren.

Så här ser du Agent Smith, hur du stoppar det och hur du skyddar mot Android-skadlig programvara.

Vad är Agent Smith Malware?

Agent Smith är en modulär skadlig programvara som utnyttjar en serie Android-sårbarheter för att ersätta legitima befintliga appar med en skadlig imitation. (Vad är modulär skadlig programvara, i alla fall Modular Malware: The New Stealthy Attack Steling Your Data Modular Malware: The New Stealthy Attack Steling Your Data Malware har blivit svårare att upptäcka. Vad är modulär skadlig programvara och hur du stoppar det att göra kaos på din PC ? Läs mer?) Den skadliga appen stjäl inte data. Istället visar ersatta appar ett stort antal annonser till användaren eller stjäl kredit från enheten för att betala för annonser som redan har visats.

Den skadliga programvaran bär "Agent Smith" moniker, samma namn som den ökända Matrix-karaktären som kännetecknas av ett virus. Forskningsteamet i Check Point berättar att metoderna som skadlig programvara använder för att sprida liknar Agent Smiths tekniker i filmserien.

"Malware attackerar användarinstallerade applikationer tyst, vilket gör det utmanande för vanliga Android-användare att bekämpa sådana hot på egen hand", säger Check Point Software Technologies Chef för forskning om mobil hot om upptäckt av Jonathan Thimonovich i blogginlägget. "Att kombinera avancerad hotförebyggande och hotintelligens samtidigt som man använder en" hygien först "-strategi för att skydda digitala tillgångar är det bästa skyddet mot invasiva mobila attacker mot skadlig programvara som" Agent Smith. "

Agent Smith har dessutom infekterat ett stort antal enheter. Indien har överlägset flest infektioner. Check Point-undersökningen indikerar cirka 15 miljoner enheter som bär Agent Smith. Det näst närmaste landet är Bangladesh, med cirka 2, 5 miljoner enheter infekterade. Det fanns över 300 000 Agent Smith-infektioner i USA och cirka 137 000 i Storbritannien.

agent smith lista över infektioner

Hur fungerar Agent Smith Malware?

Check Point Research tror att Agent Smith-skadlig kod kommer från ett kinesiskt företag som hjälper kinesiska Android-utvecklare att publicera och marknadsföra appar på utländska marknader.

Den skadliga programvaran dök först upp i tredje partens appbutik ”9Apps.” Den tredje partens appbutik riktar sig till indiska, arabiska och indonesiska användare och förklarar det betydande antalet infektioner i dessa områden. (Det är en bra anledning att undvika att ladda ner Android-appar från app-butiker från tredje part. Är det säkert att installera Android-appar från okända källor? Är det säkert att installera Android-appar från okända källor? Google Play Store är inte din enda källa till appar, men är det säkert att söka någon annanstans? Läs mer.)

Agent Smith skadlig programvara fungerar i tre faser.

  1. En dropper-app lockar offret att installera skadlig programvara frivilligt. Den ursprungliga dropparen innehåller krypterade skadliga filer och tar vanligtvis formen av "knappt fungerande fotoverktyg, spel eller sexrelaterade appar."
  2. Dropparen avkrypterar och installerar skadliga filer. Det skadliga programmet använder Google Updater, Google Update för U eller "com.google.vending" för att dölja sin aktivitet.
  3. Kärnprogramvaran skapar en lista över installerade appar. Om en app matchar dess "byteslista", korrigerar den målappen med en skadlig reklammodul och ersätter originalet som om det var en enkel appuppdatering.

agent smith hur skadlig programvara fungerar

Rovlistan innehåller bland annat WhatsApp, Opera, SwiftKey, Flipkart och Truecaller.

Intressant nog samlar Agent Smith flera Android-sårbarheter, inklusive Janus, Bundle och Man-in-the-Disk. Kombinationen skapar en 3-stegs infektionsprocess som gör det möjligt för distributören av skadlig programvara att bygga ett monetiserat (via annonser) botnet. Forskningsteamet i Check Point anser att Agent Smith är "kanske den första kampanjen som ses som integrerar och vapenar" alla sårbarheter tillsammans, vilket gör skadlig programvara "så skadlig som de kommer."

Agent Smith Malware Modules

Agent Smith malware använder en modulär struktur för att infektera mål, bestående av:

  • Lastare
  • Kärna
  • Känga
  • Lappa
  • AdSDK
  • Uppdaterare

agent smith malware modulär struktur

Dropparen är en ompackad legitim applikation som också innehåller den skadliga lastaren.

Lastaren extraherar och kör Core-modulen, som i sin tur kommunicerar med kommandot och kontrollen för skadlig programvara (C&C). C & C-servern skickar byteslistan. Om det finns några appar använder skadlig programvara en sårbarhet för att injicera Boot-modulen i den ompaketerade applikationen.

Nästa gång den infekterade applikationen startar, startar Boot-modulen Patch-modulen, som använder AdSDK-modulen för att introducera annonserna och börja generera intäkter.

En annan intressant del av Agent Smith är att den inte stannar vid en skadlig app. Om Agent Smith hittar flera app-matchningar på byteslistan kommer den att ersätta var och en med en skadlig version. Agent Smith ger också ut skadliga uppdateringsfixar till de ompaketerade apparna, håller infektionen igång och serverar nya reklampaket.

Ta bort Agent Smith-appar från Google Play

Den huvudsakliga infektionen för Agent Smith var tredjeparts app store, 9Apps. Google Play var dock inte orört. Check Point upptäckte 11 appar i Google Play-butiken som innehåller en "skadlig men vilande" uppsättning filer som rör Agent Smith-skådespelaren. Google Play-versionerna av Agent Smith använder en något annorlunda spridningsteknik men har samma slutmål.

Check Point rapporterade skadliga appar till Google och alla togs bort från Google Play-butiken.

Hur man hittar och tar bort Agent Smith från Android

Du kan hitta Agent Smith ganska enkelt. Om dina appar som regelbundet används plötsligt börjar producera en överväldigande mängd annonser är det ett säkert tecken på att något är fel. Annonserna som skadlig kod visar är svåra eller omöjliga att avsluta, vilket är en annan indikator. Men när Agent Smith nästan tyst agerar för annonserna, är det otroligt svårt att plocka upp subtila förändringar i dina appar.

Observera att appar som plötsligt visar en enorm mängd annonser inte är solo-markören för Agent Smith. Andra typer av skadlig programvara för Android visar annonser för att öka intäkterna. Din enhet kan ha en annan typ av Android-skadlig programvara.

Om du misstänker att något är fel bör du slutföra en antimalware- eller antivirusskanning på din enhet. Komplett guide för borttagning av skadlig programvara. Komplett guide om borttagning av skadlig programvara är överallt i dessa dagar och att radera skadlig programvara från ditt system är en lång process som kräver vägledning. Om du tror att din dator är infekterad är detta den guide du behöver. Läs mer .

Den första samtalshavnen är Malwarebytes Security, Android-versionen av det utmärkta antimalware-verktyget. Ladda ner Malwarebytes Security och kör en fullständig systemsökning. Det borde fånga och ta bort alla skadliga appar.

Nedladdning: Malwarebytes Security (gratis, abonnemang tillgängligt)

Om Agent Smith eller annan Android-skadlig programvara kvarstår rekommenderar vi starkt att vi kontrollerar vår guide för att ta bort Android-skadlig programvara utan fabriksåterställning. Hur man tar bort ett virus från din Android-telefon utan fabriksåterställning. Hur man tar bort ett virus från din Android-telefon utan att återställa ett fabriksbehov ta bort ett virus från din Android-telefon? Vi visar hur du rengör din telefon från ett virus utan fabriksinställning. Läs mer . Den har fler appar för borttagning av skadlig programvara för Android samt en steg-för-steg-guide för rengöring av din enhet - utan att ta bort data!

Utforska mer om: Malware, Modular Malware, Smartphone Security.