Come rilevare e rimuovere il malware Agent Smith su Android

Un nuovo tipo di malware destinato agli smartphone ha infettato circa 25 milioni di dispositivi (di cui 15 milioni in India). Questo malware si chiama Agente Smith. L'agente Smith prende di mira il sistema operativo mobile Android , sostituendo le applicazioni installate con versioni dannose all'insaputa dell'utente.

L'articolo di oggi ti mostrerà come rilevare, prevenire e proteggere il tuo dispositivo Android dal malware Agent Smith.

Agente Smith: nuovo malware appare sui dispositivi Android

• Cos'è il malware dell'Agente Smith?
• Come funziona il malware Agent Smith?
• Modulo malware dell'Agente Smith
• Rimuovi le app dell'Agente Smith da Google Play
• Come rilevare e rimuovere l'Agente Smith da Android

Cos'è il malware dell'Agente Smith?

Agent Smith è un malware modulare che sfrutta una serie di vulnerabilità Android per sostituire le applicazioni legittime esistenti con una versione falsa dannosa. Le app dannose non rubano dati. Invece, le app sostituite mostrano grandi quantità di annunci agli utenti o rubano crediti dal dispositivo per pagare gli annunci già visualizzati.

L'agente Smith ha lo stesso nome di un personaggio del famoso film Matrix. Il team di ricerca di Check Point ritiene che i metodi utilizzati da questo malware per diffondersi siano simili alle tecniche utilizzate dall'Agente Smith in questa serie di film di successo.

Secondo Jonathan Shimonovich, responsabile della ricerca sul rilevamento delle minacce mobili presso Check Point Software Technologies, il malware attacca silenziosamente le applicazioni installate dagli utenti, rendendo difficile per gli utenti Android combattere tali minacce da soli.

Inoltre, l'agente Smith ha infettato un gran numero di dispositivi. L’India è il Paese più attaccato. La ricerca di Check Point mostra che qui circa 15 milioni di dispositivi sono infettati dall'Agente Smith. Il secondo paese in classifica è il Bangladesh, con circa 2,5 milioni di dispositivi vittime di questo malware. Ci sono più di 300.000 casi di agente Smith negli Stati Uniti e circa 137.000 casi nel Regno Unito.

Come funziona il malware Agent Smith?

Check Point Research ritiene che il malware Agent Smith provenga da un'azienda cinese, creata per aiutare gli sviluppatori Android cinesi a pubblicare e promuovere applicazioni sui mercati esteri.

Il malware è apparso per la prima volta su app store di terze parti. 9App. Questo app store di terze parti si rivolge agli utenti indiani, arabi e indonesiani (il che spiega perché il numero di dispositivi infettati dall'Agente Smith è così elevato in queste regioni). Questo è uno dei motivi per cui dovresti evitare di scaricare app Android da app store di terze parti .

Il malware Agent Smith opera in tre fasi.

1. Un'applicazione dropper (un tipo di malware sviluppato per lanciare virus, sotto forma di applicazione gratuita per smartphone) induce le vittime a installare volontariamente malware. Inizialmente i dropper contengono file dannosi crittografati e spesso assumono la forma di utility di immagini, giochi o applicazioni "per adulti" che sono quasi inattive.

2. Dropper decodifica e installa file dannosi. Il malware utilizza Google Updater, Google Update for U o "com.google.vending" per mascherare la propria attività.

3. Il malware principale crea un elenco delle applicazioni installate. Se un'app corrisponde alla sua lista di "prede", "patch" l'app di destinazione con un modulo di malvertising, sostituendo l'originale come se si trattasse di un singolo aggiornamento dell'app.

L'elenco delle "prede" include WhatsApp , Opera, SwiftKey, Flipkart, Truecaller, ecc.

È interessante notare che l'Agente Smith combina diverse vulnerabilità Android, tra cui Janus, Bundle e Man-in-the-Disk. La combinazione crea un processo di infezione in tre fasi, consentendo ai distributori di malware di creare botnet che guadagnano (attraverso la pubblicità). Il team di ricerca di Check Point ritiene che Agent Smith potrebbe essere la prima campagna a integrare e sfruttare tutte le vulnerabilità insieme, rendendo questo malware estremamente pericoloso.

Modulo malware dell'Agente Smith

Il malware Agent Smith utilizza una struttura modulare per infettare obiettivi, tra cui:

• Caricatore
• Nucleo
• Stivali
• Toppa
• AdSDK
• Aggiornamento

Dropper è un'applicazione legittima riconfezionata per contenere un modulo Loader dannoso. Il caricatore estrae ed esegue il modulo Core, che a sua volta comunica con il server C&C del malware. Quindi, il server C&C invierà l'elenco delle prede. Se viene trovata un'applicazione adatta, il malware sfrutta la vulnerabilità per iniettare il modulo di avvio nell'applicazione riconfezionata.

Al successivo avvio dell'app infetta, il modulo Boot esegue il modulo Patch, che utilizza il modulo AdSDK per introdurre annunci pubblicitari e iniziare a generare entrate.

Un altro elemento interessante di Agent Smith è che non si ferma a una sola applicazione dannosa. Se l'agente Smith trova più applicazioni corrispondenti nell'elenco delle prede, sostituirà ciascuna applicazione con la versione dannosa.

L'agente Smith ha inoltre rilasciato patch di aggiornamento dannose per le applicazioni riconfezionate, continuando l'infezione e pubblicando nuovi pacchetti di annunci.

Rimuovi le app dell'Agente Smith da Google Play

Il principale punto di infezione dell'agente Smith è l'app store di terze parti, 9Apps. Tuttavia, è quasi impossibile toccare Google Play. Check Point ha scoperto 11 applicazioni sul Google Play Store che contenevano una raccolta di file dannosi e inattivi relativi all'Agente Smith. Le versioni Google Play dell'Agente Smith utilizzano una tecnica virale leggermente diversa ma con lo stesso obiettivo.

Check Point ha segnalato le app dannose a Google e tutte sono state rimosse dal Google Play Store.

Come rilevare e rimuovere l'Agente Smith da Android

Puoi individuare l'agente Smith abbastanza facilmente. Se le tue app utilizzate di frequente iniziano improvvisamente a generare una quantità eccessiva di annunci, è sicuro che qualcosa non va. Gli annunci pubblicitari "serviti" dal malware sono difficili o impossibili da eliminare (questo è un altro segnale a cui prestare attenzione). Ma poiché l'Agente Smith agisce quasi silenziosamente pubblicando annunci, è estremamente difficile rilevare cambiamenti anche minimi nell'applicazione.

• Come rilevare applicazioni dannose su Android

Tieni presente che le applicazioni che improvvisamente visualizzano un enorme volume di annunci non sono un segno di "esclusività" dell'Agente Smith. Anche altri tipi di malware Android pubblicano annunci per aumentare le entrate. Pertanto, il tuo dispositivo potrebbe essere infetto da un altro tipo di malware Android.

Se sospetti che qualcosa non va, dovresti utilizzare un software antivirus per eseguire una scansione sul tuo dispositivo.

Il primo suggerimento è Malwarebytes Security, la versione Android dell'eccellente strumento anti-malware. Scarica Malwarebytes Security ed esegui una scansione completa del sistema. Catturerà e rimuoverà qualsiasi applicazione dannosa presente sul tuo dispositivo.

Scarica Malwarebytes Security (gratuito, abbonamento disponibile).

Fare riferimento all'articolo: Le migliori applicazioni antivirus per telefoni Android per maggiori dettagli!

Spero che troverai la scelta giusta!