Cómo detectar y eliminar el malware Agent Smith en Android

Un nuevo tipo de malware dirigido a teléfonos inteligentes ha infectado alrededor de 25 millones de dispositivos (15 millones de los cuales se encuentran en la India). Este malware se llama Agente Smith. Agent Smith apunta al sistema operativo móvil Android , reemplazando aplicaciones instaladas con versiones maliciosas sin el conocimiento del usuario.

El artículo de hoy le mostrará cómo detectar, prevenir y proteger su dispositivo Android del malware Agent Smith.

Agent Smith: aparece nuevo malware en dispositivos Android

• ¿Qué es el malware Agente Smith?
• ¿Cómo funciona el malware Agent Smith?
• Módulo de malware Agente Smith
• Eliminar aplicaciones del Agente Smith de Google Play
• Cómo detectar y eliminar el Agente Smith de Android

¿Qué es el malware Agente Smith?

Agent Smith es un malware modular que explota una serie de vulnerabilidades de Android para reemplazar aplicaciones legítimas existentes con una versión falsa maliciosa. Las aplicaciones maliciosas no roban datos. En cambio, las aplicaciones reemplazadas muestran grandes cantidades de anuncios a los usuarios o roban créditos del dispositivo para pagar los anuncios que ya se muestran.

El Agente Smith tiene el mismo nombre que un personaje de la famosa película The Matrix. El equipo de investigación de Check Point cree que los métodos que utiliza este malware para propagarse son similares a las técnicas utilizadas por el Agente Smith en esta exitosa serie de películas.

Según Jonathan Shimonovich, jefe de investigación de detección de amenazas móviles en Check Point Software Technologies, el malware ataca silenciosamente las aplicaciones instaladas por el usuario, lo que dificulta a los usuarios de Android luchar contra esas amenazas por sí solos.

Además, el Agente Smith infectó una gran cantidad de dispositivos. India es el país más atacado. La investigación de Check Point muestra que alrededor de 15 millones de dispositivos están infectados con el Agente Smith. El segundo país es Bangladesh, con alrededor de 2,5 millones de dispositivos víctimas de este malware. Hay más de 300.000 casos del Agente Smith en Estados Unidos y alrededor de 137.000 casos en el Reino Unido.

¿Cómo funciona el malware Agent Smith?

Check Point Research cree que el malware Agent Smith se originó en una empresa china, creado para ayudar a los desarrolladores chinos de Android a publicar y promover aplicaciones en mercados extranjeros.

El malware apareció por primera vez en tiendas de aplicaciones de terceros. 9 aplicaciones. Esta tienda de aplicaciones de terceros está dirigida a usuarios indios, árabes e indonesios (lo que explica por qué el número de dispositivos infectados con el Agente Smith es tan grande en estas regiones). Ésa es una de las razones por las que debes evitar descargar aplicaciones de Android desde tiendas de aplicaciones de terceros .

El malware Agent Smith opera en tres fases.

1. Una aplicación cuentagotas (un tipo de malware desarrollado para lanzar virus, en forma de aplicación gratuita para teléfonos inteligentes) incita a las víctimas a instalar malware voluntariamente. Los droppers inicialmente contienen archivos maliciosos cifrados y a menudo toman la forma de utilidades de imágenes, juegos o aplicaciones "para adultos", que están casi inactivas.

2. Dropper descifra e instala archivos maliciosos. El malware utiliza Google Updater, Google Update for U o "com.google.vending" para disfrazar su actividad.

3. El malware principal crea una lista de aplicaciones instaladas. Si una aplicación coincide con su lista de “presas”, “parchea” la aplicación de destino con un módulo de publicidad maliciosa, reemplazando el original como si fuera una única actualización de la aplicación.

La lista de "presas" incluye WhatsApp , Opera, SwiftKey, Flipkart, Truecaller, etc.

Curiosamente, Agent Smith combina varias vulnerabilidades de Android, incluidas Janus, Bundle y Man-in-the-Disk. La combinación crea un proceso de infección de tres etapas, que permite a los distribuidores de malware crear botnets que generan dinero (mediante publicidad). El equipo de investigación de Check Point cree que Agent Smith puede ser la primera campaña que integra y convierte en armas todas las vulnerabilidades juntas, lo que hace que este malware sea extremadamente peligroso.

Módulo de malware Agente Smith

El malware Agent Smith utiliza una estructura modular para infectar objetivos, que incluyen:

• Cargador
• Centro
• Botas
• Parche
• SDK de anuncios
• Actualizador

Dropper es una aplicación legítima reempaquetada para contener un módulo Loader malicioso. El cargador extrae y ejecuta el módulo Core, que a su vez se comunica con el servidor C&C del malware. Luego, el servidor C&C enviará la lista de presas. Si encuentra alguna aplicación adecuada, el malware utiliza la vulnerabilidad para inyectar el módulo de arranque en la aplicación reempaquetada.

La próxima vez que se inicia la aplicación infectada, el módulo Boot ejecuta el módulo Patch, que utiliza el módulo AdSDK para introducir anuncios y comenzar a generar ingresos.

Otro elemento interesante del Agente Smith es que no se limita a una sola aplicación maliciosa. Si Agent Smith encuentra varias aplicaciones coincidentes en la lista de presas, reemplazará cada aplicación con la versión maliciosa.

Agent Smith también lanzó parches de actualización maliciosos para las aplicaciones reempaquetadas, continuando la infección y publicando nuevos paquetes de anuncios.

Eliminar aplicaciones del Agente Smith de Google Play

El principal punto de infección del Agente Smith es la tienda de aplicaciones de terceros, 9Apps. Sin embargo, es casi imposible tocar Google Play. Check Point descubrió 11 aplicaciones en Google Play Store que contenían una colección de archivos maliciosos e inactivos relacionados con el Agente Smith. Las versiones de Google Play de Agent Smith utilizan una técnica viral ligeramente diferente pero con el mismo objetivo.

Check Point informó sobre las aplicaciones maliciosas a Google y todas se eliminaron de Google Play Store.

Cómo detectar y eliminar el Agente Smith de Android

Puedes detectar al Agente Smith con bastante facilidad. Si las aplicaciones que usa con frecuencia de repente comienzan a generar una cantidad excesiva de anuncios, es una señal segura de que algo anda mal. Es difícil o imposible deshacerse de los anuncios que "mueve" el malware (ésta es otra señal a la que hay que prestar atención). Pero como el Agente Smith actúa casi en silencio al publicar anuncios, es extremadamente difícil detectar cambios muy pequeños en la aplicación.

• Cómo detectar aplicaciones maliciosas en Android

Tenga en cuenta que las aplicaciones que de repente muestran un gran volumen de anuncios no son una señal de la "exclusividad" del Agente Smith. Otros tipos de malware para Android también publican anuncios para aumentar los ingresos. Por lo tanto, su dispositivo puede estar infectado con otro tipo de malware para Android.

Si sospecha que algo anda mal, debe utilizar un software antivirus para ejecutar un análisis en su dispositivo.

La primera sugerencia es Malwarebytes Security, la versión para Android de la excelente herramienta antimalware. Descargue Malwarebytes Security y ejecute un análisis completo del sistema. Capturará y eliminará cualquier aplicación maliciosa presente en su dispositivo.

Descargue Malwarebytes Security (gratis, suscripción disponible).

Consulte el artículo: ¡ Las mejores aplicaciones antivirus para teléfonos Android para obtener más detalles!

¡Espero que encuentres la elección correcta!