如何在Android上发现和删除Agent Smith Smith恶意软件

一种针对智能手机的新型恶意软件已经感染了大约2500万台设备,其中有1500万台在印度。该恶意软件被称为“ Agent Smith"。它以Android移动操作系统为目标,用恶意版本替换了已安装的应用程序,而不会提醒用户。

以下是如何发现Agent Smith,如何阻止它以及如何进行操作。防止Android恶意软件。

什么是Agent Smith恶意软件?

Agent Smith是一种模块化恶意软件,它利用一系列Android漏洞将恶意软件替换为现有的合法应用程序。 (反正是模块化恶意软件?)恶意应用不会窃取数据。取而代之的是,替换后的应用会向用户显示大量广告,或者从设备中窃取信用额以支付已投放的广告。

该恶意软件带有“ Agent Smith"绰号,与臭名昭著的Matrix相同。以病毒为特征的角色。 Check Point研究小组认为,该恶意软件用于传播的方法与电影系列中的Agent Smith的技术类似。

“该恶意软件会以无提示的方式攻击用户安装的应用程序,这对于普通Android用户而言具有挑战性。 Check Point软件技术移动威胁检测研究负责人Jonathan Shimonovich在博客文章中说。 “结合先进的威胁防御和威胁情报功能,同时采用“卫生第一"的方法来保护数字资产,是抵御诸如“ Agent Smith"之类的入侵性移动恶意软件攻击的最佳保护。

此外,Agent Smith感染了设备数量。迄今为止,印度感染人数最多。 Check Point的研究表明,约有1500万台设备搭载了Agent Smith。接下来的国家是孟加拉国,大约感染了250万台设备。在美国有300,000多个Agent Smith感染,在英国大约有137,000感染。

Agent Smith恶意软件如何工作?

Check Point Research认为Agent Smith恶意软件源自一家帮助中国Android开发人员在国外市场发布和推广应用的中国公司。

该恶意软件首次出现在第三方应用商店“ 9Apps"中。该第三方应用商店的目标受众是印度,阿拉伯和印度尼西亚用户解释了这些地区的大量感染。 (这是避免从第三方应用程序商店下载Android应用程序的一个很好的理由。)

Agent Smith恶意软件在三个阶段起作用。

  • 一个滴管应用程序诱使受害者安装恶意软件。恶意软件是自愿的。最初的删除程序包含加密的恶意文件,通常采用“功能不佳的照片实用程序,游戏或与性相关的应用程序"的形式。
  • 删除程序会解密并安装恶意文件。该恶意软件使用Google Updater,适用于U的Google Update或“ com.google.vending"来掩盖其活动。
  • 核心恶意软件会创建已安装应用程序的列表。如果某个应用与其“猎物列表"相匹配,则会使用恶意广告模块修补目标应用,从而将原始应用替换为简单的应用更新。

    • 猎物列表包括WhatsApp,Opera,SwiftKey

    有趣的是,Agent Smith捆绑了多个Android漏洞,包括Janus,Bundle和Man-in-the-Disk。组合创建了一个三阶段感染过程,允许恶意软件分发者构建一个(通过广告)获利的僵尸网络。 Check Point研究小组认为,Agent Smith是“可能是第一个将所有漏洞整合并武器化"的活动,从而使恶意软件“一如既往地具有恶意性。"

    Agent Smith恶意软件使用模块化结构。感染目标,其中包括:

  • Loader
  • Core
  • 启动
  • 补丁
  • AdSDK
  • Updater

    • 放置程序是经过重新包装的合法应用程序,还包含恶意加载程序。

    加载程序提取并运行Core模块,该模块又与恶意软件进行通信命令与控制(C&C)服务器。 C&C服务器发送猎物列表。如果找到任何应​​用程序,则该恶意软件使用漏洞将Boot模块注入重新打包的应用程序中。

    下一次受感染的应用程序启动时,Boot模块将运行Patch模块,该模块使用AdSDK模块执行以下操作:引入广告并开始产生收入。

    Agent Smith的另一个有趣的元素是,它不会止于一个恶意应用程序。如果特工史密斯在猎物列表上找到多个应用匹配项,它将用恶意版本替换每个应用。 Smith Smith还向重新包装的应用程序发布了恶意更新补丁,以保持感染的持续性并提供新的广告包。

    Agent Smith感染的重点是第三方应用程序商店9Apps。但是,Google Play并没有保持不变。 Check Point在Google Play商店中发现了11个应用程序,其中包含与Agent Smith演员有关的“恶意但休眠"文件集。 Agent Smith的Google Play版本使用的传播技术略有不同,但最终目标相同。

    Check Point向Google报告了恶意应用程序,所有这些应用程序均已从Google Play商店中删除。

    如何从Android发现和删除Agent Smith

    您可以非常轻松地发现Agent Smith。如果您经常使用的应用突然开始产生大量广告,则可以肯定这表明出现了问题。恶意软件投放的广告很难或无法退出,这是另一个指标。但是,由于特工史密斯几乎无声地阻止广告,因此很难对应用程序进行细微的改动。

    请注意,突然显示大量广告的应用程序并不是特工史密斯的独树一帜。其他Android恶意软件类型可以投放广告以增加收入。您的设备可能装有其他类型的Android恶意软件。

    如果您怀疑有问题,请在设备上完成反恶意软件或防病毒扫描。

    第一个呼叫端口是 Malwarebytes安全性,是出色的反恶意软件工具的Android版本。下载Malwarebytes安全性并运行完整的系统扫描。它应该可以捕获并删除所有恶意应用。

    下载 Malwarebytes安全性(免费,可用订阅)

    如果Agent Smith或其他Android恶意软件仍然存在,我们强烈建议您查看我们的指南,以在无需恢复出厂设置的情况下删除Android恶意软件。它具有更多的Android恶意软件清除应用程序以及不删除任何数据即可清理设备的逐步指南!

    标签: