Come individuare e rimuovere Agent Smith Malware su Android

xavier-malware Android

Un nuovo tipo di malware destinato agli smartphone ha infettato circa 25 milioni di dispositivi, 15 dei quali in India. Il malware è soprannominato "Agent Smith". È indirizzato al sistema operativo mobile Android, sostituendo le app installate con una versione malevola senza avvisare l'utente.

Ecco come individuare Agent Smith, come fermarlo e come proteggersi dal malware Android.

Che cos'è Agent Smith Malware?

Agent Smith è un malware modulare che sfrutta una serie di vulnerabilità Android per sostituire app legittime esistenti con un'imitazione maliziosa. ( Cos'è il malware modulare, comunque ?) L'app dannosa non ruba i dati. Invece, le app sostituite visualizzano un numero enorme di annunci per l'utente o rubano credito dal dispositivo per pagare gli annunci già serviti.

Il malware porta il moniker "Agent Smith", lo stesso nome del famigerato personaggio Matrix che è caratterizzato come un virus. Il team di ricerca di Check Point ritiene che i metodi utilizzati dal malware per propagarsi siano simili alle tecniche di Agent Smith nella serie di film.

"Il malware attacca silenziosamente le applicazioni installate dall'utente, rendendo difficile per gli utenti di Android comuni combattere tali minacce da soli", afferma Jonathan Shimonovich, responsabile delle tecnologie di rilevamento delle minacce software nel post del blog . "La combinazione di prevenzione avanzata delle minacce e intelligence delle minacce, adottando un approccio" igienico per la prima volta "per salvaguardare le risorse digitali è la migliore protezione contro gli attacchi invasivi di malware mobili come" Agent Smith ".

Inoltre, l'agente Smith ha infettato un numero enorme di dispositivi. L'India ha di gran lunga la maggior parte delle infezioni. La ricerca Check Point indica circa 15 milioni di dispositivi che trasportano l'agente Smith. Il prossimo paese più vicino è il Bangladesh, con circa 2,5 milioni di dispositivi infetti. Ci sono state oltre 300.000 infezioni da Agent Smith negli Stati Uniti e circa 137.000 nel Regno Unito.

agente smith lista di infezioni

Come funziona il malware Agent Smith?

Check Point Research ritiene che il malware di Agent Smith provenga da un'azienda cinese che aiuta gli sviluppatori Android cinesi a pubblicare e promuovere app nei mercati esteri.

Il malware è apparso per la prima volta nell'app store di terze parti "9Apps". L'app store di terze parti ha come target utenti indiani, arabi e indonesiani, che spiegano il numero significativo di infezioni in tali aree. (È un buon motivo per evitare di scaricare app Android da app store di terze parti .)

Il malware dell'agente Smith funziona in tre fasi.

  1. Un'app dropper attira la vittima per installare il malware volontariamente. Il contagocce iniziale contiene file dannosi crittografati e di solito assume la forma di "utilità foto a malapena funzionante, giochi o app relative al sesso".
  2. Il contagocce decrittografa e installa i file dannosi. Il malware utilizza Google Updater, Google Update per U o "com.google.vending" per nascondere la sua attività.
  3. Il malware principale crea un elenco di app installate. Se un'app corrisponde alla sua "lista di prede", applica l'app di destinazione con un modulo pubblicitario malevolo, sostituendo l'originale come se fosse un semplice aggiornamento dell'app.

agente smith come funziona il malware

L'elenco delle prede include WhatsApp, Opera, SwiftKey, Flipkart e Truecaller, tra gli altri.

È interessante notare che l'agente Smith raggruppa diverse vulnerabilità di Android, tra cui Janus, Bundle e Man-in-the-Disk. La combinazione crea un processo di infezione in 3 fasi che consente al distributore di malware di creare una botnet monetizzata (tramite pubblicità). Il team di ricerca di Check Point crede che Agent Smith sia "probabilmente la prima campagna vista che integra e arma" tutte le vulnerabilità insieme, rendendo il malware "malevolo come viene".

Moduli di malware per agente Smith

Il malware dell'agente Smith utilizza una struttura modulare per infettare i bersagli, costituita da:

  • caricatore
  • Nucleo
  • Avvio
  • toppa
  • AdSDK
  • Updater

struttura modulare del malware di smith dell'agente

Il dropper è un'applicazione legittima riconfezionata che contiene anche il caricatore dannoso.

Il loader estrae ed esegue il modulo Core, che a sua volta comunica con il server di comando e controllo malware (C & C). Il server C & C invia la lista delle prede. Se vengono rilevate applicazioni, il malware utilizza una vulnerabilità per iniettare il modulo di avvio nell'applicazione riconfezionata.

Alla successiva avvio dell'applicazione infetta, il modulo di avvio esegue il modulo Patch, che utilizza il modulo AdSDK per introdurre gli annunci e iniziare a generare entrate.

Un altro elemento interessante di Agent Smith è che non si ferma a un'app dannosa. Se Agent Smith trova più corrispondenze di app nell'elenco delle prede, sostituirà ciascuna di esse con una versione malevola. Agent Smith rilascia anche patch di aggiornamento dannoso alle app riconfezionate, mantenendo l'infezione in corso e offrendo nuovi pacchetti pubblicitari.

Rimozione di Agent Smith App da Google Play

Il punto principale dell'infezione per Agent Smith era l'app store di terze parti, 9Apps. Tuttavia, Google Play non è stato toccato. Check Point ha scoperto 11 app sul Google Play Store contenenti un insieme di file "maligni e inattivi" relativi all'attore dell'agente Smith. Le versioni di Google Play di Agent Smith utilizzano una tecnica di propagazione leggermente diversa ma hanno lo stesso obiettivo finale.

Check Point ha segnalato le app dannose a Google e tutte sono state rimosse dal Google Play Store.

Come individuare e rimuovere Agent Smith da Android

Puoi individuare l'agente Smith abbastanza facilmente. Se le tue app regolarmente utilizzate iniziano improvvisamente a produrre una quantità schiacciante di pubblicità, è un segno sicuro che qualcosa non va. Gli annunci che il malware serve sono difficili o impossibili da uscire, che è un altro indicatore. Ma siccome l'agente Smith agisce quasi silenziosamente al di fuori delle pubblicità, raccogliere le sottili modifiche alle tue app è incredibilmente difficile.

Tieni presente che le app che mostrano all'improvviso un enorme volume di annunci pubblicitari non sono il contrassegno personale dell'agente Smith. Altri tipi di malware Android pubblicano annunci per aumentare le entrate. Il tuo dispositivo potrebbe avere un diverso tipo di malware Android.

Se sospetti che qualcosa non va, devi completare una scansione antimalware o antivirus sul tuo dispositivo .

Il primo punto di riferimento è Malwarebytes Security , la versione Android dell'eccellente strumento antimalware. Scarica Malwarebytes Security ed esegui una scansione completa del sistema. Dovrebbe intercettare e rimuovere eventuali app dannose.

Download: Malwarebytes Security (gratuito, abbonamento disponibile)

Se l'agente Smith o altro malware Android persiste, ti consigliamo vivamente di consultare la nostra guida per rimuovere malware Android senza un reset di fabbrica . Include più app per la rimozione di malware per Android e una guida dettagliata per la pulizia del dispositivo, senza eliminare alcun dato!

Leggi l'articolo completo: Come individuare e rimuovere Agent Smith Malware su Android