Mark Lucas
0 
3341
639
En ny malware-målretning mod smartphones har inficeret ca. 25 millioner enheder, hvoraf 15 millioner er i Indien. Malware er døbt “Agent Smith.” Den målretter Android-operativsystemet Android og erstatter installerede apps med en ondsindet version uden at advare brugeren.
Her er, hvordan du ser Agent Smith, hvordan du stopper det, og hvordan du beskytter mod Android malware.
Hvad er Agent Smith Malware?
Agent Smith er en modulær malware, der udnytter en række Android-sårbarheder til at erstatte legitime eksisterende apps med en ondsindet efterligning. (Hvad er modulær malware, alligevel Modular Malware: The New Stealthy Attack Stealing Your Data Modular Malware: The New Stealthy Attack Steeling Your Data Malware er blevet sværere at opdage. Hvad er modulær malware, og hvordan du stopper det med at gøre kaos på din pc ??) Den ondsindede app stjæler ikke data. I stedet viser apps, der udskiftes, et stort antal annoncer til brugeren eller stjæler kredit fra enheden for at betale for allerede viste annoncer.
Malware bærer “Agent Smith” moniker, samme navn som den berygtede Matrix-karakter, der er karakteriseret som en virus. Check Point-forskerteamet begrunder, at metoderne, som malware bruger til at udbrede, ligner Agent Smiths teknikker i filmserien.
“Malware angriber brugerinstallerede applikationer lydløst, hvilket gør det udfordrende for almindelige Android-brugere at bekæmpe sådanne trusler på egen hånd,” siger Check Point-softwareteknologier Leder for forskning i mobil trusselopsporing Jonathan Shimonovich i blogindlægget. “Kombination af avanceret trusselforebyggelse og trusselsinformation under anvendelse af en 'hygiejne-først' tilgang til beskyttelse af digitale aktiver er den bedste beskyttelse mod invasive mobilt malware-angreb som “Agent Smith.”
Agent Smith har desuden inficeret et stort antal enheder. Indien har langt de fleste infektioner. Check Point-undersøgelsen viser, at omkring 15 millioner enheder, der bærer Agent Smith. Det næste land, der er tættest på landet, er Bangladesh, med omkring 2,5 millioner enheder inficeret. Der var over 300.000 Agent Smith-infektioner i USA og omkring 137.000 i England.
Hvordan fungerer Agent Smith Malware?
Check Point Research mener, at Agent Smith-malware stammer fra et kinesisk firma, der hjælper kinesiske Android-udviklere med at offentliggøre og promovere apps på udenlandske markeder.
Malware vises først i den tredjeparts app butik “9Apps.” Den tredjeparts app butik er rettet mod indiske, arabiske og indonesiske brugere og forklarer det betydelige antal infektioner i disse områder. (Det er en god grund til at undgå at downloade Android-apps fra tredjeparts app-butikker. Er det sikkert at installere Android-apps fra ukendte kilder? Er det sikkert at installere Android-apps fra ukendte kilder? Google Play Butik er ikke din eneste kilde til apps, men er det sikkert at søge andre steder?.)
Agent Smith malware fungerer i tre faser.
- En dropper-app lokker offeret til frivilligt at installere malware. Den oprindelige dropper indeholder krypterede ondsindede filer og tager normalt form af “knap fungerende fotoværktøj, spil eller sexrelaterede apps.”
- Dropper-koderen dekrypterer og installerer de ondsindede filer. Malwaren bruger Google Updater, Google Update til U eller “com.google.vending” at skjule sin aktivitet.
- Den centrale malware opretter en liste over installerede apps. Hvis en app matcher dens “bytteliste,” den lapper målappen med et ondsindet reklamemodul og erstatter originalen, som om det var en simpel appopdatering.
Byttelisten inkluderer bl.a. WhatsApp, Opera, SwiftKey, Flipkart og Truecaller.
Interessant nok samler Agent Smith adskillige Android-sårbarheder, herunder Janus, Bundle og Man-in-the-Disk. Kombinationen skaber en 3-trins infektionsproces, der giver malware-distributøren mulighed for at opbygge et monetiseret (via annoncer) botnet. Check Point-forskerteamet mener Agent Smith “muligvis den første set kampagne, der integrerer og våben” alle sårbarhederne sammen, hvilket skaber malware “så ondsindede som de kommer.”
Agent Smith Malware-moduler
Agent Smith malware bruger en modulær struktur til at inficere mål, der består af:
- Loader
- Core
- Støvle
- Lappe
- AdSDK
- Updater
Dropper er en ompakket legitim applikation, der også indeholder den ondsindede loader.
Loader udtrækker og kører Core-modulet, som igen kommunikerer med malware-kommando- og kontrolserveren (C&C). C & C-serveren sender byttelisten. Hvis der findes nogen apps, bruger malware en sårbarhed til at injicere Boot-modulet i den ompakket applikation.
Næste gang den inficerede applikation starter, kører Boot-modulet Patch-modulet, der bruger AdSDK-modulet til at introducere annoncerne og begynde at generere indtægter.
Et andet interessant element i Agent Smith er, at det ikke stopper ved en ondsindet app. Hvis Agent Smith finder flere app-kampe på byttelisten, erstatter den hver med en ondsindet version. Agent Smith udsteder også ondsindede opdateringsrettelser til de pakkerede apps, holder infektionen i gang og serverer nye reklamepakker.
Fjernelse af Agent Smith-apps fra Google Play
Det vigtigste infektionspunkt for Agent Smith var tredjeparts app store, 9Apps. Google Play var imidlertid ikke uberørt. Check Point opdagede 11 apps i Google Play-butikken, der indeholder en “ondsindet, men alligevel sovende” sæt filer, der vedrører Agent Smith-skuespilleren. Google Play-versionerne af Agent Smith bruger en lidt anden forplantningsteknik, men har det samme slutmål.
Check Point rapporterede de ondsindede apps til Google, og alle blev fjernet fra Google Play-butikken.
Sådan finder du agent og fjern agent Smith fra Android
Du kan se Agent Smith forholdsvis let. Hvis dine apps, der regelmæssigt bruges, pludselig begynder at producere en overvældende mængde annoncer, er det et sikkert tegn på, at der er noget galt. Annoncerne, som malware vises, er vanskelige eller umulige at afslutte, hvilket er en anden indikator. Men da Agent Smith handler næsten lydløst og ikke reklamerne, er det utroligt vanskeligt at samle op på subtile ændringer til dine apps.
Bemærk, at apps pludselig viser et stort antal annoncer ikke er solo-markøren for Agent Smith. Andre Android malware-typer viser annoncer for at øge indtægterne. Din enhed kan have en anden type Android malware.
Hvis du har mistanke om, at der er noget galt, skal du udføre en antimalware- eller antivirusscanning på din enhed Den komplette guide til fjernelse af malware Den komplette guide til fjernelse af malware er malware overalt i disse dage, og at udrydde malware fra dit system er en lang proces, der kræver vejledning. Hvis du tror, at din computer er inficeret, er dette den vejledning, du har brug for. .
Den første opkaldsport er Malwarebytes sikkerhed, Android-versionen af det fremragende antimalware-værktøj. Download Malwarebytes Security og kør en komplet systemscanning. Det skal fange og fjerne eventuelle ondsindede apps.
Hent: Malwarebytes sikkerhed (Gratis, abonnement tilgængeligt)
Hvis Agent Smith eller anden Android-malware fortsætter, anbefaler vi stærkt, at du tjekker vores guide til at fjerne Android-malware uden en nulstilling af fabrikken Sådan fjernes en virus fra din Android-telefon uden nulstilling af fabrikken Sådan fjernes en virus fra din Android-telefon uden fabriksindstilling at fjerne en virus fra din Android-telefon? Vi viser dig, hvordan du renser din telefon fra en virus uden en nulstilling af fabrikken. . Det indeholder flere Android-fjernelse af malware-apps såvel som en trin-for-trin-guide til rengøring af din enhed - uden at slette nogen data!