Die Agent Smith-Malware infiziert Android-Geräte in ganz Indien und Asien und breitet sich nun nach Westen aus.

Erkennen und Entfernen von Agent Smith-Malware auf Android

Werbung Ein neuer Malware-Typ für Smartphones hat rund 25 Millionen Geräte infiziert, von denen sich 15 Millionen in Indien befinden. Die Malware wird als "Agent Smith" bezeichnet. Sie zielt auf das mobile Android-Betriebssystem ab und ersetzt installierte Apps durch eine bösartige Version, ohne den Benutzer zu benachrichtigen. H

Werbung

Ein neuer Malware-Typ für Smartphones hat rund 25 Millionen Geräte infiziert, von denen sich 15 Millionen in Indien befinden. Die Malware wird als "Agent Smith" bezeichnet. Sie zielt auf das mobile Android-Betriebssystem ab und ersetzt installierte Apps durch eine bösartige Version, ohne den Benutzer zu benachrichtigen.

Hier erfahren Sie, wie Sie Agent Smith erkennen, stoppen und vor Android-Malware schützen können.

Was ist Agent Smith Malware?

Agent Smith ist eine modulare Malware, die eine Reihe von Android-Sicherheitslücken ausnutzt, um legitime vorhandene Apps durch eine böswillige Imitation zu ersetzen. (Was ist modulare Malware?) Modulare Malware: Der neue geheime Angriff zum Diebstahl Ihrer Daten. Modulare Malware: Der neue geheime Angriff zum Diebstahl Ihrer Daten. Malware ist schwieriger zu erkennen ? Lesen Sie mehr?) Die bösartige App stiehlt keine Daten. Stattdessen zeigen ersetzte Apps dem Benutzer eine große Anzahl von Anzeigen an oder stehlen Guthaben vom Gerät, um für bereits gelieferte Anzeigen zu bezahlen.

Die Malware trägt den Moniker „Agent Smith“, den gleichen Namen wie die berüchtigte Matrix-Figur, die als Virus charakterisiert ist. Der Grund des Check Point-Forschungsteams, dass die von der Malware zur Verbreitung verwendeten Methoden den Techniken von Agent Smith in der Filmreihe ähneln.

"Die Malware greift vom Benutzer installierte Anwendungen im Hintergrund an, sodass es für normale Android-Benutzer schwierig ist, solche Bedrohungen selbst zu bekämpfen", so Jonathan Shimonovich, Leiter Mobile Threat Detection Research bei Check Point Software Technologies im Blogbeitrag. „Die Kombination aus fortschrittlicher Bedrohungsprävention und Bedrohungsinformationen bei gleichzeitigem" Hygiene First "-Ansatz zum Schutz digitaler Assets ist der beste Schutz vor invasiven mobilen Malware-Angriffen wie" Agent Smith ".

Darüber hinaus hat Agent Smith eine Vielzahl von Geräten infiziert. Indien hat mit Abstand die meisten Infektionen. Die Check Point-Studie ergab, dass Agent Smith auf rund 15 Millionen Geräten installiert ist. Das nächstgelegene Land ist Bangladesch mit rund 2, 5 Millionen infizierten Geräten. Es gab über 300.000 Agent Smith-Infektionen in den USA und rund 137.000 in Großbritannien.

Agent Smith Liste der Infektionen

Wie funktioniert die Malware von Agent Smith?

Check Point Research ist der Ansicht, dass die Agent Smith-Malware von einem chinesischen Unternehmen stammt, das chinesischen Android-Entwicklern hilft, Apps in fremden Märkten zu veröffentlichen und zu bewerben.

Die Malware wurde erstmals im Drittanbieter-App-Store „9Apps“ veröffentlicht. Der Drittanbieter-App-Store richtet sich an indische, arabische und indonesische Benutzer und erklärt die erhebliche Anzahl von Infektionen in diesen Bereichen. (Es ist ein guter Grund, das Herunterladen von Android-Apps aus App Stores von Drittanbietern zu vermeiden. Ist es sicher, Android-Apps aus unbekannten Quellen zu installieren? Ist es sicher, Android-Apps aus unbekannten Quellen zu installieren? Der Google Play Store ist nicht Ihre einzige Quelle für Apps, aber ist es sicher, woanders zu suchen? Lesen Sie mehr.)

Die Malware von Agent Smith arbeitet in drei Phasen.

  1. Eine Dropper-App fordert das Opfer auf, die Malware freiwillig zu installieren. Der erste Dropper enthält verschlüsselte schädliche Dateien und hat normalerweise die Form eines „kaum funktionierenden Fotodienstprogramms, von Spielen oder sexbezogenen Apps“.
  2. Der Dropper entschlüsselt und installiert die schädlichen Dateien. Die Malware verwendet Google Updater, Google Update für U oder "com.google.vending", um ihre Aktivität zu verschleiern.
  3. Die Kern-Malware erstellt eine Liste der installierten Apps. Wenn eine App mit ihrer „Beuteliste“ übereinstimmt, wird die Ziel-App mit einem böswilligen Werbemodul gepatcht und das Original ersetzt, als wäre es ein einfaches App-Update.

Agent Smith, wie Malware funktioniert

Die Beuteliste umfasst unter anderem WhatsApp, Opera, SwiftKey, Flipkart und Truecaller.

Interessanterweise bündelt Agent Smith mehrere Android-Sicherheitslücken, darunter Janus, Bundle und Man-in-the-Disk. Die Kombination erstellt einen dreistufigen Infektionsprozess, der es dem Malware-Vertreiber ermöglicht, ein monetäres Botnetz (über Werbung) aufzubauen. Das Check Point-Forschungsteam ist der Ansicht, dass Agent Smith „möglicherweise die erste Kampagne ist, bei der alle Sicherheitslücken integriert und bewaffnet wurden“, wodurch die Malware „so bösartig ist, wie sie kommt“.

Agent Smith-Malware-Module

Agent Smith Malware verwendet eine modulare Struktur, um Ziele zu infizieren. Diese besteht aus:

  • Lader
  • Ader
  • Stiefel
  • Patch
  • AdSDK
  • Updater

Agent Smith Malware Modulare Struktur

Der Dropper ist eine neu gepackte legitime Anwendung, die auch den böswilligen Loader enthält.

Der Loader extrahiert das Core-Modul und führt es aus, das wiederum mit dem C & C-Server (Malware Command and Control) kommuniziert. Der C & C-Server sendet die Beuteliste. Wenn Apps gefunden werden, verwendet die Malware eine Sicherheitsanfälligkeit, um das Startmodul in die neu gepackte Anwendung zu injizieren.

Beim nächsten Start der infizierten Anwendung führt das Boot-Modul das Patch-Modul aus, das das AdSDK-Modul verwendet, um die Anzeigen einzuführen und Einnahmen zu generieren.

Ein weiteres interessantes Element von Agent Smith ist, dass es nicht bei einer bösartigen App Halt macht. Wenn Agent Smith mehrere App-Übereinstimmungen auf der Beuteliste findet, wird jede durch eine bösartige Version ersetzt. Agent Smith stellt auch böswillige Update-Patches für die neu gepackten Apps bereit, um die Infektion aufrechtzuerhalten und neue Werbepakete bereitzustellen.

Agent Smith Apps aus Google Play entfernen

Die Hauptinfektionsquelle für Agent Smith war der Drittanbieter-App-Store 9Apps. Google Play blieb jedoch nicht unberührt. Check Point hat im Google Play Store 11 Apps entdeckt, die einen "böswilligen, aber ruhenden" Satz von Dateien enthalten, die sich auf den Agent Smith-Schauspieler beziehen. Die Google Play-Versionen von Agent Smith verwenden eine etwas andere Verbreitungstechnik, haben jedoch dasselbe Endziel.

Check Point hat die bösartigen Apps an Google gemeldet und alle wurden aus dem Google Play Store entfernt.

So erkennen und entfernen Sie Agent Smith von Android

Sie können Agent Smith ziemlich leicht erkennen. Wenn Ihre regelmäßig genutzten Apps plötzlich eine überwältigende Menge an Werbung produzieren, ist dies ein sicheres Zeichen dafür, dass etwas nicht stimmt. Die von der Malware gelieferten Anzeigen können nur schwer oder gar nicht beendet werden. Dies ist ein weiterer Indikator. Da Agent Smith die Werbung jedoch fast lautlos sperrt, ist es unglaublich schwierig, subtile Änderungen an Ihren Apps zu erfassen.

Bitte beachten Sie, dass Apps, in denen plötzlich ein großes Werbevolumen angezeigt wird, nicht der Solomarker von Agent Smith sind. Andere Android-Malware-Typen schalten Anzeigen, um den Umsatz zu steigern. Ihr Gerät verfügt möglicherweise über eine andere Art von Android-Malware.

Wenn Sie den Verdacht haben, dass etwas nicht in Ordnung ist, sollten Sie einen Malware- oder Antivirenscan auf Ihrem Gerät durchführen. Wenn Sie glauben, Ihr Computer ist infiziert, ist dies die Anleitung, die Sie benötigen. Weiterlesen .

Die erste Anlaufstelle ist Malwarebytes Security, die Android-Version des hervorragenden Antimalware-Tools. Laden Sie Malwarebytes Security herunter und führen Sie einen vollständigen Systemscan durch. Es sollte alle schädlichen Apps abfangen und entfernen.

Download: Malwarebytes Security (Kostenlos, Abonnement verfügbar)

Wenn Agent Smith oder andere Android-Malware weiterhin vorhanden ist, empfehlen wir dringend, in unserem Leitfaden das Entfernen von Android-Malware ohne Zurücksetzen auf die Werkseinstellungen zu überprüfen. So entfernen Sie einen Virus von Ihrem Android-Telefon ohne Zurücksetzen auf die Werkseinstellungen entferne ich einen Virus von meinem Android-Handy? Wir zeigen Ihnen, wie Sie Ihr Telefon ohne Zurücksetzen auf die Werkseinstellungen von Viren befreien können. Weiterlesen . Es bietet mehr Apps zum Entfernen von Android-Malware sowie eine schrittweise Anleitung zum Reinigen Ihres Geräts - ohne Daten zu löschen!

Erfahren Sie mehr über: Malware, modulare Malware, Smartphone-Sicherheit.