Como detectar e remover malware do Agente Smith no Android

Um novo tipo de malware direcionado a smartphones infectou cerca de 25 milhões de dispositivos (15 milhões dos quais estão na Índia). Este malware é denominado Agente Smith. O Agente Smith tem como alvo o sistema operacional móvel Android , substituindo aplicativos instalados por versões maliciosas sem o conhecimento do usuário.

O artigo de hoje mostrará como detectar, prevenir e proteger seu dispositivo Android contra o malware Agent Smith.

Agente Smith – Novo malware aparece em dispositivos Android

• O que é malware do Agente Smith?
• Como funciona o malware do Agente Smith?
• Módulo de malware do Agente Smith
• Remova os aplicativos do Agent Smith do Google Play
• Como detectar e remover o Agente Smith do Android

O que é malware do Agente Smith?

Agent Smith é um malware modular que explora uma série de vulnerabilidades do Android para substituir aplicativos legítimos existentes por uma versão falsa e maliciosa. Aplicativos maliciosos não roubam dados. Em vez disso, os aplicativos substituídos mostram grandes quantidades de anúncios aos usuários ou roubam créditos do dispositivo para pagar pelos anúncios já exibidos.

O Agente Smith tem o mesmo nome de um personagem do famoso filme Matrix. A equipe de pesquisa da Check Point acredita que os métodos que esse malware usa para se espalhar são semelhantes às técnicas usadas pelo Agente Smith nesta série de filmes de sucesso.

De acordo com Jonathan Shimonovich, chefe de pesquisa de detecção de ameaças móveis da Check Point Software Technologies, o malware ataca silenciosamente os aplicativos instalados pelos usuários, tornando difícil para os usuários do Android combater essas ameaças por conta própria.

Além disso, o Agente Smith infectou um grande número de dispositivos. A Índia é o país mais atacado. A pesquisa da Check Point mostra que cerca de 15 milhões de dispositivos aqui estão infectados pelo Agente Smith. O segundo país classificado é Bangladesh, com cerca de 2,5 milhões de dispositivos vítimas deste malware. Existem mais de 300.000 casos do Agente Smith nos EUA e cerca de 137.000 casos no Reino Unido.

Como funciona o malware do Agente Smith?

A Check Point Research acredita que o malware Agent Smith se originou de uma empresa chinesa, criada para ajudar os desenvolvedores chineses de Android a publicar e promover aplicativos em mercados estrangeiros.

O malware apareceu pela primeira vez em lojas de aplicativos de terceiros. 9Aplicativos. Esta loja de aplicativos de terceiros tem como alvo usuários indianos, árabes e indonésios (o que explica por que o número de dispositivos infectados pelo Agente Smith é tão grande nessas regiões). Esse é um dos motivos pelos quais você deve evitar baixar aplicativos Android de lojas de aplicativos de terceiros .

O malware Agent Smith opera em três fases.

1. Um aplicativo dropper (um tipo de malware desenvolvido para lançar vírus, na forma de um aplicativo gratuito para smartphone) atrai as vítimas para que instalem malware voluntariamente. Os droppers inicialmente contêm arquivos maliciosos criptografados e muitas vezes assumem a forma de utilitários de imagem, jogos ou aplicativos “adultos”, que estão quase inativos.

2. O Dropper descriptografa e instala arquivos maliciosos. O malware usa o Google Updater, Google Update for U ou “com.google.vending” para disfarçar sua atividade.

3. O principal malware cria uma lista de aplicativos instalados. Se um aplicativo corresponder à sua lista de “presas”, ele “corrige” o aplicativo alvo com um módulo de malvertising, substituindo o original como se fosse uma única atualização do aplicativo.

A lista de “presas” inclui WhatsApp , Opera, SwiftKey, Flipkart, Truecaller, etc.

Curiosamente, o Agente Smith combina várias vulnerabilidades do Android, incluindo Janus, Bundle e Man-in-the-Disk. A combinação cria um processo de infecção em três estágios, permitindo que os distribuidores de malware criem botnets que geram dinheiro (por meio de publicidade). A equipa de investigação da Check Point acredita que o Agente Smith pode ser a primeira campanha a integrar e transformar todas as vulnerabilidades em armas, tornando este malware extremamente perigoso.

Módulo de malware do Agente Smith

O malware Agent Smith usa uma estrutura modular para infectar alvos, incluindo:

• Carregador
• Essencial
• Botas
• Correção
• AdSDK
• Atualizador

Dropper é um aplicativo legítimo reembalado para conter um módulo Loader malicioso. O carregador extrai e executa o módulo Core, que por sua vez se comunica com o servidor C&C do malware. Em seguida, o servidor C&C enviará a lista de presas. Se algum aplicativo adequado for encontrado, o malware usa a vulnerabilidade para injetar o módulo Boot no aplicativo reempacotado.

Na próxima vez que o aplicativo infectado for iniciado, o módulo Boot executa o módulo Patch, que usa o módulo AdSDK para apresentar anúncios e começar a gerar receita.

Outro elemento interessante do Agente Smith é que ele não se limita a apenas um aplicativo malicioso. Se o Agente Smith encontrar vários aplicativos correspondentes na lista de presas, ele substituirá cada aplicativo pela versão maliciosa.

O Agente Smith também lançou patches de atualização maliciosos para os aplicativos reempacotados, continuando a infecção e veiculando novos pacotes de anúncios.

Remova os aplicativos do Agent Smith do Google Play

O principal ponto de infecção do Agente Smith é a loja de aplicativos de terceiros, 9Apps. No entanto, é quase impossível tocar no Google Play. A Check Point descobriu 11 aplicativos na Google Play Store que continham uma coleção de arquivos maliciosos e inativos relacionados ao Agente Smith. As versões do Agente Smith no Google Play usam uma técnica viral ligeiramente diferente, mas com o mesmo objetivo.

A Check Point relatou os aplicativos maliciosos ao Google e todos foram removidos da Google Play Store.

Como detectar e remover o Agente Smith do Android

Você pode identificar o Agente Smith facilmente. Se seus aplicativos usados ​​com frequência começarem repentinamente a gerar uma quantidade excessiva de anúncios, é um sinal claro de que algo está errado. Os anúncios que o malware “veicula” são difíceis ou impossíveis de se livrar (este é outro sinal a ser observado). Mas como o Agente Smith atua quase silenciosamente na emissão de anúncios, é extremamente difícil detectar alterações muito pequenas no aplicativo.

• Como detectar aplicativos maliciosos no Android

Observe que os aplicativos que exibem repentinamente um grande volume de anúncios não são um sinal da “exclusividade” do Agente Smith. Outros tipos de malware para Android também veiculam anúncios para aumentar a receita. Portanto, seu dispositivo pode estar infectado com outro tipo de malware Android.

Se você suspeitar que algo está errado, use um software antivírus para executar uma verificação no seu dispositivo.

A primeira sugestão é o Malwarebytes Security, a versão Android da excelente ferramenta antimalware. Baixe o Malwarebytes Security e execute uma verificação completa do sistema. Ele irá capturar e remover quaisquer aplicativos maliciosos presentes no seu dispositivo.

Baixe Malwarebytes Security (gratuito, assinatura disponível).

Consulte o artigo: Os melhores aplicativos antivírus para telefones Android para obter mais detalhes!

Espero que você encontre a escolha certa!