De malware van Agent Smith infecteert Android-apparaten in heel India en Azië en verspreidt zich nu naar het westen.

Agent Smith Malware op Android herkennen en verwijderen

Advertentie Een nieuw malware-type dat smartphones target, heeft ongeveer 25 miljoen apparaten besmet, waarvan 15 miljoen in India. De malware wordt "Agent Smith" genoemd. Het is gericht op het mobiele besturingssysteem van Android en vervangt geïnstalleerde apps door een kwaadaardige versie zonder de gebruiker te waarschuwen.

Advertentie

Een nieuw malware-type dat smartphones target, heeft ongeveer 25 miljoen apparaten besmet, waarvan 15 miljoen in India. De malware wordt "Agent Smith" genoemd. Het is gericht op het mobiele besturingssysteem van Android en vervangt geïnstalleerde apps door een kwaadaardige versie zonder de gebruiker te waarschuwen.

Hier ziet u hoe u Agent Smith kunt herkennen, hoe u het kunt stoppen en hoe u kunt beschermen tegen Android-malware.

Wat is agent Smith-malware?

Agent Smith is een modulaire malware die een reeks Android-kwetsbaarheden misbruikt om legitieme bestaande apps te vervangen door een kwaadaardige imitatie. (Wat is modulaire malware eigenlijk? Modulaire malware: de nieuwe stealthy-aanval Uw gegevens stelen Modulaire malware: de nieuwe stealthy-aanval Het stelen van uw gegevensmalware is moeilijker te detecteren. Wat is modulaire malware en hoe u kunt voorkomen dat het schade aanricht op uw pc ? Meer lezen?) De schadelijke app steelt geen gegevens. In plaats daarvan geven vervangen apps een groot aantal advertenties weer aan de gebruiker of stelen ze krediet van het apparaat om te betalen voor advertenties die al zijn weergegeven.

De malware draagt ​​de naam 'Agent Smith', dezelfde naam als het beruchte Matrix-personage dat wordt gekenmerkt als een virus. Het onderzoeksteam van Check Point redeneert dat de methoden die de malware gebruikt om zich te verspreiden vergelijkbaar zijn met de technieken van Agent Smith in de filmserie.

"De malware valt stilaan door de gebruiker geïnstalleerde applicaties aan, waardoor het voor veelvoorkomende Android-gebruikers een uitdaging is om dergelijke bedreigingen zelf te bestrijden", zegt Jonathan Pointon Mobile, hoofd onderzoek van Check Point Software Technologies, in de blogpost. “De combinatie van geavanceerde preventie van bedreigingen en informatie over bedreigingen en een 'hygiëne eerst'-benadering om digitale middelen te beschermen, is de beste bescherming tegen invasieve mobiele malwareaanvallen zoals“ Agent Smith. ”

Bovendien heeft Agent Smith een groot aantal apparaten geïnfecteerd. India heeft verreweg de meeste infecties. Het Check Point-onderzoek geeft aan dat ongeveer 15 miljoen apparaten Agent Smith bevatten. Het volgende dichtstbijzijnde land is Bangladesh, met ongeveer 2, 5 miljoen geïnfecteerde apparaten. Er waren meer dan 300.000 infecties met Agent Smith in de VS en ongeveer 137.000 in het VK.

agent smith lijst van infecties

Hoe werkt de agent Smith Malware?

Check Point Research gelooft dat de malware van Agent Smith afkomstig is van een Chinees bedrijf dat Chinese Android-ontwikkelaars helpt apps op buitenlandse markten te publiceren en te promoten.

De malware verscheen voor het eerst in de app-store van derden '9Apps'. De app-store van derden richt zich op Indiase, Arabische en Indonesische gebruikers en legt het aanzienlijke aantal infecties in die gebieden uit. (Het is een goede reden om te voorkomen dat Android-apps worden gedownload van app-winkels van derden Is het veilig om Android-apps van onbekende bronnen te installeren? Is het veilig om Android-apps van onbekende bronnen te installeren? De Google Play Store is niet uw enige bron van apps, maar is het veilig om ergens anders te zoeken? Lees meer.)

Agent Smith-malware werkt in drie fasen.

  1. Een dropper-app lokt het slachtoffer om de malware vrijwillig te installeren. De initiële dropper bevat gecodeerde schadelijke bestanden en neemt meestal de vorm aan van 'nauwelijks functionerende fotohulpprogramma's, games of seksgerelateerde apps'.
  2. De druppelaar decodeert en installeert de kwaadaardige bestanden. De malware gebruikt Google Updater, Google Update voor U of “com.google.vending” om zijn activiteit te verhullen.
  3. De belangrijkste malware maakt een lijst met geïnstalleerde apps. Als een app overeenkomt met de 'prooidijst', patcht deze de doel-app met een kwaadaardige advertentiemodule, waarbij het origineel wordt vervangen alsof het een eenvoudige app-update is.

agent smith hoe malware werkt

De prooilijst omvat onder andere WhatsApp, Opera, SwiftKey, Flipkart en Truecaller.

Interessant genoeg bundelt Agent Smith verschillende Android-kwetsbaarheden, waaronder Janus, Bundle en Man-in-the-Disk. De combinatie creëert een 3-fasen infectieproces waardoor de malware-distributeur een via inkomsten gegenereerd (via advertenties) botnet kan bouwen. Het onderzoeksteam van Check Point is van mening dat agent Smith 'mogelijk de eerste campagne is die alle kwetsbaarheden integreert en bewapent', waardoor de malware 'net zo schadelijk is als ze komen'.

Agent Smith Malware Modules

Agent Smith-malware gebruikt een modulaire structuur om doelen te infecteren, bestaande uit:

  • lader
  • Kern
  • Bagageruimte
  • lap
  • AdSDK
  • Updater

agent smith malware modulaire structuur

De dropper is een opnieuw verpakte legitieme applicatie die ook de kwaadaardige lader bevat.

De lader extraheert en voert de Core-module uit, die op zijn beurt communiceert met de malware command and control (C&C) -server. De C&C server verzendt de prooienlijst. Als er apps worden gevonden, gebruikt de malware een kwetsbaarheid om de opstartmodule in de opnieuw verpakte applicatie te injecteren.

De volgende keer dat de geïnfecteerde toepassing wordt gestart, voert de opstartmodule de patchmodule uit, die de AdSDK-module gebruikt om de advertenties te introduceren en inkomsten te genereren.

Een ander interessant element van Agent Smith is dat het niet stopt bij één kwaadaardige app. Als Agent Smith meerdere app-overeenkomsten in de prooilijst vindt, wordt elke app vervangen door een kwaadaardige versie. Agent Smith geeft ook kwaadaardige updatepatches uit voor de opnieuw verpakte apps, houdt de infectie gaande en presenteert nieuwe advertentiepakketten.

Agent Smith Apps verwijderen van Google Play

Het belangrijkste punt van infectie voor Agent Smith was de app store van derden, 9Apps. Google Play was echter niet onaangeroerd. Check Point ontdekte 11 apps in de Google Play Store die een 'schadelijke maar slapende' set bestanden bevatten met betrekking tot de agent van Agent Smith. De Google Play-versies van Agent Smith gebruiken een iets andere propagatietechniek, maar hebben hetzelfde einddoel.

Check Point heeft de kwaadaardige apps aan Google gemeld en ze zijn allemaal verwijderd uit de Google Play Store.

Agent Smith herkennen en verwijderen uit Android

Je kunt Agent Smith vrij gemakkelijk herkennen. Als uw regelmatig gebruikte apps plotseling een overweldigend aantal advertenties beginnen te produceren, is dit een zeker teken dat er iets mis is. De advertenties die door de malware worden weergegeven, zijn moeilijk of onmogelijk te verlaten, wat een andere indicator is. Maar aangezien Agent Smith de advertenties vrijwel geruisloos blokkeert, is het oppakken van subtiele wijzigingen in uw apps ongelooflijk moeilijk.

Houd er rekening mee dat apps die plotseling een groot aantal advertenties weergeven niet de solo-marker van Agent Smith zijn. Andere typen malware van Android geven advertenties weer om de omzet te verhogen. Uw apparaat kan een ander type Android-malware bevatten.

Als u vermoedt dat er iets mis is, moet u een antimalware- of antivirusscan op uw apparaat uitvoeren. De complete gids voor het verwijderen van malware De complete gids voor het verwijderen van malware Malware is tegenwoordig overal en het verwijderen van malware van uw systeem is een langdurig proces dat begeleiding vereist. Als u denkt dat uw computer is geïnfecteerd, is dit de gids die u nodig hebt. Lees verder .

De eerste aanloophaven is Malwarebytes Security, de Android-versie van de uitstekende antimalware-tool. Download Malwarebytes Security en voer een volledige systeemscan uit. Het zou kwaadaardige apps moeten vangen en verwijderen.

Downloaden: Malwarebytes Security (gratis, abonnement beschikbaar)

Als Agent Smith of andere Android-malware blijft bestaan, raden we u ten zeerste aan om onze gids voor het verwijderen van Android-malware zonder een fabrieksreset te bekijken. Een virus van uw Android-telefoon verwijderen zonder de fabrieksinstellingen opnieuw instellen Een virus van uw Android-telefoon verwijderen zonder een fabrieksreset nodig om een ​​virus van uw Android-telefoon te verwijderen? We laten u zien hoe u uw telefoon van een virus kunt ontdoen zonder de fabrieksinstellingen te herstellen. Lees verder . Het beschikt over meer Android-apps voor het verwijderen van malware en een stapsgewijze handleiding voor het opschonen van uw apparaat - zonder gegevens te verwijderen!

Ontdek meer over: Malware, Modular Malware, Smartphone Security.