Το κακόβουλο λογισμικό Agent Smith μολύνει συσκευές Android σε όλη την Ινδία και την Ασία και τώρα εξαπλώνεται προς τα δυτικά.

Πώς να εντοπίσετε και να αφαιρέσετε τον κακόβουλο παράγοντα Smith στο Android

Διαφήμιση Ένας νέος τύπος κακόβουλου λογισμικού που έχει ως στόχο smartphones έχει μολύνει περίπου 25 εκατομμύρια συσκευές, εκ των οποίων τα 15 εκατομμύρια είναι στην Ινδία. Το κακόβουλο λογισμικό ονομάζεται "Agent Smith". Στόχευε το κινητό λειτουργικό σύστημα Android, αντικαθιστώντας τις εγκ

Διαφήμιση

Ένας νέος τύπος κακόβουλου λογισμικού που έχει ως στόχο smartphones έχει μολύνει περίπου 25 εκατομμύρια συσκευές, εκ των οποίων τα 15 εκατομμύρια είναι στην Ινδία. Το κακόβουλο λογισμικό ονομάζεται "Agent Smith". Στόχευε το κινητό λειτουργικό σύστημα Android, αντικαθιστώντας τις εγκατεστημένες εφαρμογές με μια κακόβουλη έκδοση χωρίς να προειδοποιεί τον χρήστη.

Ακολουθεί ο τρόπος με τον οποίο εντοπίζετε τον πράκτορα Smith, πώς να το σταματήσετε και πώς προστατεύετε από το κακόβουλο λογισμικό Android.

Τι είναι ο κακόβουλος πράκτορας Smith;

Ο Agent Smith είναι ένα αρθρωτό κακόβουλο λογισμικό που εκμεταλλεύεται μια σειρά από τρωτά σημεία Android για να αντικαταστήσει νόμιμες υπάρχουσες εφαρμογές με κακόβουλη απομίμηση. (Τι είναι αρθρωτό κακόβουλο λογισμικό, ούτως ή άλλως Modular κακόβουλο λογισμικό: Η νέα μυστική επίθεση Κλέβοντας τα δεδομένα σας Modular Malware: Η νέα μυστική επίθεση Κλοπή των δεδομένων σας Το κακόβουλο λογισμικό έχει γίνει πιο δύσκολο να εντοπιστεί. ? Διαβάστε περισσότερα;) Η κακόβουλη εφαρμογή δεν κλέβει δεδομένα. Αντ 'αυτού, οι εφαρμογές που αντικαταστάθηκαν εμφανίζουν έναν τεράστιο αριθμό διαφημίσεων στον χρήστη ή κλέβουν πίστωση από τη συσκευή για να πληρώσουν για διαφημίσεις που εξυπηρετούνται ήδη.

Το κακόβουλο λογισμικό φέρει το σύνθημα "Agent Smith", το ίδιο όνομα με το περίφημο χαρακτήρα Matrix που χαρακτηρίζεται ως ιός. Η ερευνητική ομάδα του Check Point ότι οι μέθοδοι που χρησιμοποιεί το κακόβουλο λογισμικό για την διάδοση είναι παρόμοιες με τις τεχνικές του Agent Smith στη σειρά ταινιών.

"Το κακόβουλο λογισμικό επιτίθεται σιωπηλά σε εφαρμογές εγκατεστημένες από το χρήστη, καθιστώντας την πρόκληση για συνηθισμένους χρήστες Android να καταπολεμούν αυτές τις απειλές από μόνη της", λέει ο Check Point Software Technologies, επικεφαλής της έρευνας για την ανίχνευση απειλών από κινητά Jonathan Shimonovich στο post blog. «Ο συνδυασμός της προηγμένης πρόληψης απειλών και της απειλής πληροφοριών με την υιοθέτηση μιας προσέγγισης« πρώτης υγιεινής »για τη διασφάλιση ψηφιακών στοιχείων είναι η καλύτερη προστασία από επιθετικές κινητές επιθέσεις malware όπως" Agent Smith ".

Επιπλέον, ο πράκτορας Smith έχει μολύνει έναν τεράστιο αριθμό συσκευών. Η Ινδία έχει μακράν τις περισσότερες μολύνσεις. Η έρευνα Check Point δείχνει περίπου 15 εκατομμύρια συσκευές που μεταφέρουν τον πράκτορα Smith. Η επόμενη πλησιέστερη χώρα είναι το Μπαγκλαντές, με περίπου 2, 5 εκατομμύρια συσκευές μολυσμένες. Υπήρχαν πάνω από 300.000 μολύνσεις Agent Smith στις ΗΠΑ και περίπου 137.000 στο Ηνωμένο Βασίλειο.

agent smith λίστα λοιμώξεων

Πώς λειτουργεί ο πράκτορας Smith Malware;

Η Check Point Research πιστεύει ότι το κακόβουλο λογισμικό Agent Smith προέρχεται από μια κινεζική εταιρεία που βοηθάει τους κινέζους προγραμματιστές Android να δημοσιεύουν και να προωθούν εφαρμογές σε ξένες αγορές.

Το κακόβουλο λογισμικό εμφανίστηκε για πρώτη φορά στο κατάστημα εφαρμογών τρίτου μέρους "9Αρρ." Το κατάστημα εφαρμογών τρίτου μέρους στοχεύει χρήστες της Ινδίας, της Αραβίας και της Ινδονησίας, εξηγώντας τον σημαντικό αριθμό λοιμώξεων στις περιοχές αυτές. (Είναι ένας καλός λόγος να αποφύγετε τη λήψη εφαρμογών Android από καταστήματα εφαρμογών τρίτων) Είναι ασφαλές να εγκαταστήσετε εφαρμογές Android από άγνωστες πηγές; Είναι ασφαλές να εγκαταστήσετε εφαρμογές Android από άγνωστες πηγές; εφαρμογές, αλλά είναι ασφαλές να ψάξετε αλλού; Διαβάστε περισσότερα.)

Το κακόβουλο λογισμικό του Agent Smith λειτουργεί σε τρεις φάσεις.

  1. Μια εφαρμογή dropper προσελκύει το θύμα να εγκαταστήσει το κακόβουλο πρόγραμμα εθελοντικά. Το αρχικό dropper περιέχει κρυπτογραφημένα κακόβουλα αρχεία και παίρνει συνήθως τη μορφή "χρησιμότητας φωτογραφιών με ελάχιστη λειτουργικότητα, παιχνιδιών ή εφαρμογών σχετικών με το φύλο".
  2. Το dropper αποκρυπτογραφεί και εγκαθιστά τα κακόβουλα αρχεία. Το κακόβουλο λογισμικό χρησιμοποιεί το Google Updater, το Google Update για U ή το com.google.vending για να συγκαλύψει τη δραστηριότητά του.
  3. Το κακόβουλο λογισμικό πυρήνα δημιουργεί μια λίστα εγκατεστημένων εφαρμογών. Αν μια εφαρμογή ταιριάζει με τη λίστα "θήραμα", επιδιορθώνει την εφαρμογή προορισμού με μια κακόβουλη ενότητα διαφημίσεων, αντικαθιστώντας το πρωτότυπο σαν να ήταν απλή ενημέρωση εφαρμογής.

agent smith πώς malware λειτουργεί

Η λίστα των πτηνών περιλαμβάνει τα WhatsApp, Opera, SwiftKey, Flipkart και Truecaller, μεταξύ άλλων.

Είναι ενδιαφέρον ότι ο πράκτορας Smith συγκεντρώνει πολλά τρωτά σημεία Android, συμπεριλαμβανομένων των Janus, Bundle και Man-in-the-Disk. Ο συνδυασμός δημιουργεί μια διαδικασία λοίμωξης σε 3 στάδια, επιτρέποντας στον διανομέα κακόβουλου λογισμικού να δημιουργήσει ένα botnet με έσοδα (μέσω διαφημίσεων). Η ερευνητική ομάδα του Check Point πιστεύει ότι ο πράκτορας Smith είναι "ίσως η πρώτη εκστρατεία που βλέπουμε ότι ενσωματώνει και οπλίζει" όλα τα τρωτά σημεία από κοινού, καθιστώντας το κακόβουλο λογισμικό "κακόβουλο όσο έρχονται".

Agent Smith κακόβουλες ενότητες

Ο κακόβουλος πράκτορας Smith χρησιμοποιεί μια δομοστοιχειωτή δομή για να μολύνει τους στόχους, που αποτελείται από:

  • Φορτωτής
  • Πυρήνας
  • Μπότα
  • Κηλίδα
  • AdSDK
  • Updater

πράκτορα smith malware αρθρωτή δομή

Το dropper είναι μια επανασυσκευασμένη νόμιμη εφαρμογή που περιέχει επίσης τον κακόβουλο φορτωτή.

Ο φορτωτής εξάγει και τρέχει το module Core, το οποίο με τη σειρά του επικοινωνεί με τον διακομιστή εντολών και ελέγχου κακόβουλου λογισμικού (C & C). Ο διακομιστής C & C στέλνει τη λίστα των θηραμάτων. Εάν εντοπιστούν οποιεσδήποτε εφαρμογές, το κακόβουλο λογισμικό χρησιμοποιεί ένα θέμα ευπάθειας για την έγχυση της λειτουργικής μονάδας εκκίνησης στην ανασυσκευασμένη εφαρμογή.

Την επόμενη φορά που ξεκινά η μολυσμένη εφαρμογή, η λειτουργική μονάδα Boot εκτελεί την ενότητα Patch, η οποία χρησιμοποιεί τη μονάδα AdSDK για να εισαγάγει τις διαφημίσεις και να αρχίσει να δημιουργεί έσοδα.

Ένα άλλο ενδιαφέρον στοιχείο του Agent Smith είναι ότι δεν σταματούν σε μια κακόβουλη εφαρμογή. Αν ο πράκτορας Smith εντοπίσει πολλαπλές αντιστοιχίες εφαρμογών στη λίστα των θηραμάτων, θα αντικαταστήσει το καθένα με μια κακόβουλη έκδοση. Ο πράκτορας Smith επίσης εκδίδει ενημερώσεις κώδικα κακόβουλων ενημερώσεων στις ανασυσκευασμένες εφαρμογές, διατηρώντας τη μόλυνση και εξυπηρετώντας νέα διαφημιστικά πακέτα.

Κατάργηση των εφαρμογών του Smith Agent από το Google Play

Το κύριο σημείο της λοίμωξης για τον Agent Smith ήταν το κατάστημα εφαρμογών τρίτου μέρους, το 9Apps. Ωστόσο, το Google Play δεν ήταν άθικτο. Η Check Point ανακάλυψε 11 εφαρμογές στο κατάστημα Google Play που περιέχουν ένα "κακόβουλο αλλά αδρανές" σύνολο αρχείων σχετικά με τον παράγοντα Agent Smith. Οι εκδόσεις του Agent Smith του Google Play χρησιμοποιούν μια ελαφρώς διαφορετική τεχνική διάδοσης, αλλά έχουν τον ίδιο τελικό στόχο.

Ο Check Point ανέφερε τις κακόβουλες εφαρμογές στην Google και όλοι καταργήθηκαν από το Google Play store.

Πώς να εντοπίσετε και να αφαιρέσετε τον πράκτορα Smith από το Android

Μπορείτε να εντοπίσετε τον πράκτορα Smith αρκετά εύκολα. Εάν οι τακτικά χρησιμοποιούμενες εφαρμογές σας αρχίζουν ξαφνικά να παράγουν μια συντριπτική ποσότητα διαφημίσεων, είναι ένα σίγουρο σημάδι ότι κάτι είναι λάθος. Οι διαφημίσεις που εξυπηρετεί το κακόβουλο πρόγραμμα είναι δύσκολο ή αδύνατο να βγει, κάτι που αποτελεί άλλο δείκτη. Όμως, καθώς ο πράκτορας Σμιθ ενεργεί σχεδόν σιωπηλά να απαγορεύει τις διαφημίσεις, η παραλαβή των λεπτών αλλαγών στις εφαρμογές σας είναι εξαιρετικά δύσκολη.

Λάβετε υπόψη ότι οι εφαρμογές που εμφανίζουν ξαφνικά έναν τεράστιο όγκο διαφημίσεων δεν είναι ο σόλο δείκτης του πράκτορα Smith. Άλλοι τύποι κακόβουλου λογισμικού Android προσφέρουν διαφημίσεις για την αύξηση των εσόδων. Η συσκευή σας μπορεί να έχει διαφορετικό τύπο κακόβουλου λογισμικού Android.

Αν υποψιάζεστε ότι κάτι είναι λάθος, θα πρέπει να ολοκληρώσετε μια ανίχνευση κατά του κακόβουλου λογισμικού ή της προστασίας από ιούς στη συσκευή σας. Ο πλήρης οδηγός αφαίρεσης κακόβουλων προγραμμάτων Ο πλήρης οδηγός αφαίρεσης κακόβουλων προγραμμάτων Malware είναι παντού αυτές τις μέρες και η εξάλειψη κακόβουλου λογισμικού από το σύστημά σας είναι μια μακρά διαδικασία που απαιτεί καθοδήγηση. Εάν πιστεύετε ότι ο υπολογιστής σας είναι μολυσμένος, αυτός είναι ο οδηγός που χρειάζεστε. Διαβάστε περισσότερα .

Ο πρώτος θύρα κλήσης είναι η Malwarebytes Security, η έκδοση Android του εξαιρετικού εργαλείου για την καταπολέμηση του κακόβουλου λογισμικού. Κάντε λήψη του Malwarebytes Security και εκτελέστε μια πλήρη σάρωση του συστήματος. Θα πρέπει να πιάσει και να αφαιρέσει τις κακόβουλες εφαρμογές.

Λήψη: Malwarebytes Security (Δωρεάν, συνδρομή διαθέσιμη)

Εάν ο παράγοντας Smith ή άλλο malware του Android παραμένει, συνιστούμε να ελέγξετε τον οδηγό μας για την αφαίρεση κακόβουλου λογισμικού Android χωρίς επαναφορά εργοστασιακών ρυθμίσεων. Πώς να αφαιρέσετε έναν ιό από το Android τηλέφωνο σας χωρίς επαναφορά εργοστασιακών ρυθμίσεων Πώς να αφαιρέσετε έναν ιό από το Android τηλέφωνο σας χωρίς εργοστασιακή επαναφορά για να καταργήσετε έναν ιό από το τηλέφωνό σας Android; Σας δείχνουμε πώς μπορείτε να καθαρίσετε το τηλέφωνό σας από ιό χωρίς επαναφορά εργοστασιακών ρυθμίσεων. Διαβάστε περισσότερα . Διαθέτει περισσότερες εφαρμογές αφαίρεσης κακόβουλου λογισμικού Android καθώς και οδηγό βήμα προς βήμα για τον καθαρισμό της συσκευής σας χωρίς να διαγράψετε δεδομένα!

Εξερευνήστε περισσότερα σχετικά με: Malware, Modular Malware, Smartphone Security.