Как обнаружить и удалить вредоносное ПО Agent Smith на Android

Новый тип вредоносного ПО, нацеленного на смартфоны, заразил около 25 миллионов устройств (15 миллионов из которых находятся в Индии). Эта вредоносная программа называется Agent Smith. Агент Смит нацелен на мобильную операционную систему Android , заменяя установленные приложения вредоносными версиями без ведома пользователя.

Сегодняшняя статья покажет вам, как обнаружить, предотвратить и защитить ваше устройство Android от вредоносного ПО Agent Smith.

Агент Смит: на устройствах Android появляется новое вредоносное ПО

• Что такое вредоносное ПО «Агент Смит»?
• Как работает вредоносное ПО Agent Smith?
• Вредоносный модуль Agent Smith
• Удалить приложения Агента Смита из Google Play
• Как обнаружить и удалить агента Смита с Android

Что такое вредоносное ПО «Агент Смит»?

Agent Smith — это модульное вредоносное ПО, которое использует ряд уязвимостей Android для замены существующих легальных приложений вредоносной поддельной версией. Вредоносные приложения не крадут данные. Вместо этого замененные приложения показывают пользователям большое количество рекламы или крадут кредиты с устройства для оплаты уже отображаемой рекламы.

Агент Смит носит то же имя, что и персонаж знаменитого фильма «Матрица». Исследовательская группа Check Point считает, что методы распространения этого вредоносного ПО аналогичны методам, используемым агентом Смитом в этом популярном сериале фильмов.

По словам Джонатана Шимоновича, руководителя отдела исследований по обнаружению мобильных угроз компании Check Point Software Technologies, вредоносное ПО бесшумно атакует установленные пользователем приложения, что усложняет пользователям Android борьбу с этими угрозами самостоятельно.

Кроме того, агент Смит заразил большое количество устройств. Индия является наиболее атакованной страной. Исследование Check Point показывает, что около 15 миллионов устройств здесь заражены Agent Smith. На втором месте находится Бангладеш, где жертвами этого вредоносного ПО стали около 2,5 миллионов устройств. В США зарегистрировано более 300 000 случаев агента Смита и около 137 000 случаев в Великобритании.

Как работает вредоносное ПО Agent Smith?

Check Point Research полагает, что вредоносное ПО Agent Smith исходило от китайской компании, созданной для помощи китайским разработчикам Android в публикации и продвижении приложений на зарубежных рынках.

Вредоносное ПО впервые появилось в сторонних магазинах приложений. 9 приложений. Этот сторонний магазин приложений ориентирован на пользователей из Индии, арабских стран и Индонезии (что объясняет, почему в этих регионах так велико количество устройств, зараженных Agent Smith). Это одна из причин, по которой вам следует избегать загрузки приложений Android из сторонних магазинов приложений .

Вредоносная программа Agent Smith работает в три этапа.

1. Приложение-дроппер (вид вредоносного ПО, разработанный для запуска вирусов в виде бесплатного приложения для смартфона) побуждает жертв добровольно установить вредоносное ПО. Дропперы изначально содержат зашифрованные вредоносные файлы и часто принимают форму утилит-образов, игр или «взрослых» приложений, которые практически неактивны.

2. Дроппер расшифровывает и устанавливает вредоносные файлы. Вредоносная программа использует Google Updater, Google Update for U или «com.google.vending» для маскировки своей деятельности.

3. Основная вредоносная программа создает список установленных приложений. Если приложение соответствует списку «жертв», оно «исправляет» целевое приложение модулем вредоносной рекламы, заменяя оригинал, как если бы это было одно обновление приложения.

В список «добычи» входят WhatsApp , Opera, SwiftKey, Flipkart, Truecaller и др.

Интересно, что Agent Smith сочетает в себе несколько уязвимостей Android, включая Janus, Bundle и Man-in-the-Disk. Такая комбинация создает трехэтапный процесс заражения, позволяющий распространителям вредоносного ПО создавать ботнеты , приносящие доход (за счет рекламы). Исследовательская группа Check Point считает, что Agent Smith может стать первой кампанией, которая объединит и превратит в оружие все уязвимости вместе, что делает это вредоносное ПО чрезвычайно опасным.

Вредоносный модуль Agent Smith

Вредоносная программа Agent Smith использует модульную структуру для заражения целей, в том числе:

• Погрузчик
• Основной
• Сапоги
• Пластырь
• AdSDK
• Программа обновления

Dropper — это законное приложение, переупакованное с использованием вредоносного модуля Loader. Загрузчик извлекает и запускает модуль Core, который, в свою очередь, взаимодействует с командным сервером вредоносной программы. Затем командный сервер отправит список добычи. Если какое-либо подходящее приложение найдено, вредоносная программа использует уязвимость для внедрения загрузочного модуля в переупакованное приложение.

При следующем запуске зараженного приложения модуль Boot запускает модуль Patch, который использует модуль AdSDK для показа рекламы и начала получения дохода.

Еще одна интересная особенность Agent Smith заключается в том, что он не ограничивается одним вредоносным приложением. Если агент Смит обнаружит в списке объектов несколько совпадающих приложений, он заменит каждое приложение вредоносной версией.

Агент Смит также выпустил вредоносные обновления для переупакованных приложений, продолжив заражение и предоставив новые рекламные пакеты.

Удалить приложения Агента Смита из Google Play

Основной точкой заражения агента Смита является сторонний магазин приложений 9Apps. Однако прикоснуться к Google Play практически невозможно. Компания Check Point обнаружила в магазине Google Play 11 приложений, содержащих набор вредоносных неактивных файлов, связанных с агентом Смитом. Версии «Агента Смита» в Google Play используют немного другую вирусную технику, но с той же целью.

Check Point сообщила о вредоносных приложениях в Google, и все они были удалены из магазина Google Play.

Как обнаружить и удалить агента Смита с Android

Вы можете легко обнаружить агента Смита. Если ваши часто используемые приложения внезапно начинают генерировать чрезмерное количество рекламы, это верный признак того, что что-то не так. От рекламы, которую «обслуживает» вредоносное ПО, избавиться сложно или невозможно (это еще один признак, на который следует обратить внимание). Но поскольку агент Смит практически бесшумно размещает рекламу, обнаружить даже небольшие изменения в приложении крайне сложно.

• Как обнаружить вредоносные приложения на Android

Обратите внимание, что приложения, внезапно отображающие огромное количество рекламы, не являются признаком «исключительности» Агента Смита. Другие типы вредоносных программ для Android также демонстрируют рекламу для увеличения дохода. Следовательно, ваше устройство может быть заражено другим типом вредоносного ПО для Android.

Если вы подозреваете, что что-то не так, вам следует использовать антивирусное программное обеспечение для сканирования вашего устройства.

Первое предложение — Malwarebytes Security, версия отличного средства защиты от вредоносных программ для Android. Загрузите Malwarebytes Security и запустите полное сканирование системы. Он перехватит и удалит любые вредоносные приложения, присутствующие на вашем устройстве.

Загрузите Malwarebytes Security (бесплатно, доступна подписка).

Подробности читайте в статье: Топ лучших антивирусных приложений для телефонов Android !

Надеюсь, вы найдете правильный выбор!