Il malware Agent Smith sta infettando i dispositivi Android in India e in Asia e ora si sta diffondendo ad ovest.

Come individuare e rimuovere malware Agent Smith su Android

Annuncio pubblicitario Un nuovo tipo di malware destinato agli smartphone ha infettato circa 25 milioni di dispositivi, di cui 15 milioni in India. Il malware è soprannominato "Agent Smith". Si rivolge al sistema operativo mobile Android, sostituendo le app installate con una versione dannosa senza avvisare l'utente.

Annuncio pubblicitario

Un nuovo tipo di malware destinato agli smartphone ha infettato circa 25 milioni di dispositivi, di cui 15 milioni in India. Il malware è soprannominato "Agent Smith". Si rivolge al sistema operativo mobile Android, sostituendo le app installate con una versione dannosa senza avvisare l'utente.

Ecco come individuare Agent Smith, come fermarlo e come proteggerlo dal malware Android.

Che cos'è il malware Agent Smith?

Agent Smith è un malware modulare che sfrutta una serie di vulnerabilità Android per sostituire le app esistenti legittime con un'imitazione dannosa. (Cos'è il malware modulare, comunque Malware modulare: il nuovo attacco furtivo che ruba i tuoi dati Malware modulare: il nuovo attacco furtivo che ruba i tuoi dati Il malware è diventato più difficile da rilevare. Che cos'è il malware modulare e come lo si fa causare il caos sul tuo PC ? Ulteriori informazioni?) L'app dannosa non ruba i dati. Invece, le app sostituite mostrano un numero enorme di annunci pubblicitari per l'utente o rubano credito dal dispositivo per pagare annunci già pubblicati.

Il malware porta il moniker "Agent Smith", lo stesso nome del famigerato personaggio Matrix che è caratterizzato come un virus. Il team di ricerca di Check Point ritiene che i metodi utilizzati dal malware per propagarsi siano simili alle tecniche di Agent Smith nella serie di film.

"Il malware attacca le applicazioni installate dall'utente in modo silenzioso, rendendo difficile per gli utenti Android comuni combattere tali minacce da soli", afferma Jonathan Shimonovich, responsabile della ricerca sulle minacce mobili di Check Point, nel blog. "La combinazione di prevenzione avanzata delle minacce e intelligence sulle minacce adottando un approccio" igienico in primo luogo "per salvaguardare le risorse digitali è la migliore protezione contro attacchi invasivi di malware mobile come" Agent Smith ".

Inoltre, Agent Smith ha infettato un numero enorme di dispositivi. L'India ha di gran lunga il maggior numero di infezioni. La ricerca Check Point indica circa 15 milioni di dispositivi che trasportano Agent Smith. Il prossimo paese più vicino è il Bangladesh, con circa 2, 5 milioni di dispositivi infetti. Ci sono state oltre 300.000 infezioni da Agent Smith negli Stati Uniti e circa 137.000 nel Regno Unito.

agente smith elenco di infezioni

Come funziona il malware Agent Smith?

Check Point Research ritiene che il malware Agent Smith provenga da un'azienda cinese che aiuta gli sviluppatori cinesi Android a pubblicare e promuovere app in mercati esteri.

Il malware è apparso per la prima volta nell'app store di terze parti "9Apps". L'app store di terze parti si rivolge a utenti indiani, arabi e indonesiani, spiegando il numero significativo di infezioni in tali aree. (È un buon motivo per evitare di scaricare app Android da app store di terze parti È sicuro installare app Android da fonti sconosciute? È sicuro installare app Android da fonti sconosciute? Google Play Store non è la tua unica fonte di app, ma è sicuro cercare altrove? Altre informazioni.)

Il malware Agent Smith funziona in tre fasi.

  1. Un'app dropper attira la vittima a installare il malware volontariamente. Il dropper iniziale contiene file dannosi crittografati e di solito assume la forma di "utilità per foto, giochi o app legate al sesso a malapena funzionanti".
  2. Il contagocce decodifica e installa i file dannosi. Il malware utilizza Google Updater, Google Update per U o "com.google.vending" per mascherare la sua attività.
  3. Il malware principale crea un elenco di app installate. Se un'app corrisponde al suo "elenco di prede", corregge l'app di destinazione con un modulo pubblicitario dannoso, sostituendo l'originale come se fosse un semplice aggiornamento dell'app.

agente smith come funziona il malware

L'elenco delle prede comprende WhatsApp, Opera, SwiftKey, Flipkart e Truecaller, tra gli altri.

È interessante notare che Agent Smith raggruppa diverse vulnerabilità Android, tra cui Janus, Bundle e Man-in-the-Disk. La combinazione crea un processo di infezione in 3 fasi che consente al distributore di malware di creare una botnet monetizzata (tramite pubblicità). Il team di ricerca di Check Point ritiene che Agent Smith sia "probabilmente la prima campagna vista che integra e arma" tutte le vulnerabilità insieme, rendendo il malware "tanto dannoso quanto viene".

Moduli malware Agent Smith

Il malware Agent Smith utilizza una struttura modulare per infettare target, costituito da:

  • caricatore
  • Nucleo
  • Stivale
  • toppa
  • AdSDK
  • Updater

struttura modulare del malware dell'agente smith

Il dropper è un'applicazione legittima riconfezionata che contiene anche il caricatore dannoso.

Il caricatore estrae ed esegue il modulo Core, che a sua volta comunica con il server di comando e controllo malware (C&C). Il server C&C invia l'elenco delle prede. Se vengono rilevate app, il malware utilizza una vulnerabilità per iniettare il modulo Boot nell'applicazione riconfezionata.

Al successivo avvio dell'applicazione infetta, il modulo Boot esegue il modulo Patch, che utilizza il modulo AdSDK per introdurre le pubblicità e iniziare a generare entrate.

Un altro elemento interessante di Agent Smith è che non si ferma su un'app dannosa. Se l'agente Smith trova più corrispondenze di app nell'elenco delle prede, sostituirà ognuna con una versione dannosa. Agent Smith rilascia anche patch di aggiornamento dannoso alle app riconfezionate, mantenendo l'infezione in corso e offrendo nuovi pacchetti pubblicitari.

Rimozione delle app Agent Smith da Google Play

Il principale punto di infezione per Agent Smith è stato l'app store di terze parti, 9Apps. Tuttavia, Google Play non è stato toccato. Check Point ha scoperto 11 app sul Google Play Store contenenti un set di file "maliziosi ma dormienti" relativi all'attore Agent Smith. Le versioni di Google Play di Agent Smith utilizzano una tecnica di propagazione leggermente diversa ma hanno lo stesso obiettivo finale.

Check Point ha segnalato le app dannose a Google e tutte sono state rimosse dal Google Play Store.

Come individuare e rimuovere Agent Smith da Android

Puoi individuare l'agente Smith abbastanza facilmente. Se le tue app utilizzate regolarmente iniziano improvvisamente a produrre una quantità schiacciante di pubblicità, è un segno sicuro che qualcosa non va. Gli annunci pubblicati dal malware sono difficili o impossibili da chiudere, il che è un altro indicatore. Ma poiché Agent Smith agisce quasi in silenzio escludendo le pubblicità, raccogliere incredibili modifiche alle tue app è incredibilmente difficile.

Tieni presente che le app che mostrano improvvisamente un enorme volume di annunci pubblicitari non sono il solo marker di Agent Smith. Altri tipi di malware Android servono annunci pubblicitari per aumentare le entrate. Il tuo dispositivo potrebbe avere un diverso tipo di malware Android.

Se si sospetta che qualcosa non vada, è necessario completare una scansione antimalware o antivirus sul dispositivo Guida completa alla rimozione di malware Guida completa alla rimozione di malware Il malware è presente ovunque in questi giorni e l'eradicazione del malware dal sistema è un processo lungo, che richiede una guida. Se ritieni che il tuo computer sia infetto, questa è la guida di cui hai bisogno. Leggi di più .

Il primo approdo è Malwarebytes Security, la versione Android dell'eccellente strumento antimalware. Scarica Malwarebytes Security ed esegui una scansione completa del sistema. Dovrebbe catturare e rimuovere eventuali app dannose.

Download: Malwarebytes Security (gratuito, abbonamento disponibile)

Se Agent Smith o altri malware Android persistono, consigliamo vivamente di consultare la nostra guida per rimuovere malware Android senza un ripristino delle impostazioni di fabbrica. Come rimuovere un virus dal tuo telefono Android senza un ripristino delle impostazioni di fabbrica Come rimuovere un virus dal tuo telefono Android senza un ripristino delle impostazioni di fabbrica rimuovere un virus dal tuo telefono Android? Ti mostriamo come pulire il tuo telefono da un virus senza un ripristino delle impostazioni di fabbrica. Leggi di più . È dotato di più app per la rimozione di malware Android e di una guida dettagliata per la pulizia del dispositivo, senza eliminare alcun dato!

Ulteriori informazioni su: malware, malware modulare, sicurezza degli smartphone.