So erkennen und entfernen Sie Agent Smith-Malware auf Android

Eine neue Art von Malware, die auf Smartphones abzielt, hat etwa 25 Millionen Geräte infiziert (davon 15 Millionen in Indien). Diese Malware heißt Agent Smith. Agent Smith zielt auf das mobile Betriebssystem Android ab und ersetzt ohne Wissen des Benutzers installierte Anwendungen durch bösartige Versionen.

Der heutige Artikel zeigt Ihnen, wie Sie Agent Smith-Malware erkennen, verhindern und Ihr Android-Gerät davor schützen können.

Agent Smith – Auf Android-Geräten taucht neue Malware auf

• Was ist Agent Smith-Malware?
• Wie funktioniert Agent Smith-Malware?
• Agent Smith-Malware-Modul
• Entfernen Sie Agent Smith-Apps von Google Play
• So erkennen und entfernen Sie Agent Smith von Android

Was ist Agent Smith-Malware?

Agent Smith ist eine modulare Malware, die eine Reihe von Android-Schwachstellen ausnutzt , um bestehende legitime Anwendungen durch eine bösartige gefälschte Version zu ersetzen. Schädliche Apps stehlen keine Daten. Stattdessen zeigen die ersetzten Apps den Nutzern große Mengen an Werbung oder stehlen Guthaben vom Gerät, um die bereits angezeigte Werbung zu bezahlen.

Agent Smith trägt den gleichen Namen wie eine Figur im berühmten Film „Matrix“. Das Forschungsteam von Check Point geht davon aus, dass die Verbreitungsmethoden dieser Malware den Techniken ähneln, die Agent Smith in dieser erfolgreichen Filmreihe verwendet.

Laut Jonathan Shimonovich, Leiter der Forschung zur Erkennung mobiler Bedrohungen bei Check Point Software Technologies, greift die Malware stillschweigend vom Benutzer installierte Anwendungen an, was es für Android-Benutzer schwierig macht, diese Bedrohungen alleine zu bekämpfen.

Darüber hinaus infizierte Agent Smith eine große Anzahl von Geräten. Indien ist das am häufigsten angegriffene Land. Untersuchungen von Check Point zeigen, dass hier etwa 15 Millionen Geräte mit Agent Smith infiziert sind. Das zweitplatzierte Land ist Bangladesch, wo etwa 2,5 Millionen Geräte dieser Malware zum Opfer fallen. In den USA gibt es mehr als 300.000 Fälle von Agent Smith und im Vereinigten Königreich etwa 137.000 Fälle.

Wie funktioniert Agent Smith-Malware?

Check Point Research geht davon aus, dass die Agent-Smith-Malware von einem chinesischen Unternehmen stammt, das gegründet wurde, um chinesischen Android-Entwicklern bei der Veröffentlichung und Vermarktung von Anwendungen auf ausländischen Märkten zu helfen.

Die Malware tauchte erstmals in App-Stores von Drittanbietern auf. 9Apps. Dieser Drittanbieter-App-Store richtet sich an indische, arabische und indonesische Benutzer (was erklärt, warum die Zahl der mit Agent Smith infizierten Geräte in diesen Regionen so groß ist). Das ist einer der Gründe, warum Sie es vermeiden sollten, Android-Apps aus App- Stores von Drittanbietern herunterzuladen .

Agent Smith-Malware funktioniert in drei Phasen.

1. Eine Dropper-Anwendung (eine Art Malware, die entwickelt wurde, um Viren in Form einer kostenlosen Smartphone-Anwendung auszulösen) lockt Opfer dazu, freiwillig Malware zu installieren. Dropper enthalten zunächst verschlüsselte Schaddateien und liegen oft in Form von Bilddienstprogrammen, Spielen oder „Erwachsenen“-Anwendungen vor, die nahezu inaktiv sind.

2. Dropper entschlüsselt und installiert schädliche Dateien. Die Malware nutzt Google Updater, Google Update for U oder „com.google.vending“, um ihre Aktivitäten zu verschleiern.

3. Die Haupt-Malware erstellt eine Liste der installierten Anwendungen. Wenn eine App mit ihrer „Beute“-Liste übereinstimmt, „patcht“ sie die Ziel-App mit einem Malvertising-Modul und ersetzt das Original, als wäre es ein einzelnes App-Update. Ganz einfach.

Die Liste der „Beute“ umfasst WhatsApp , Opera, SwiftKey, Flipkart, Truecaller usw.

Interessanterweise kombiniert Agent Smith mehrere Android-Schwachstellen, darunter Janus, Bundle und Man-in-the-Disk. Durch die Kombination entsteht ein dreistufiger Infektionsprozess, der es Malware-Vertreibern ermöglicht, Botnetze aufzubauen , die (durch Werbung) Geld verdienen. Das Forschungsteam von Check Point geht davon aus, dass Agent Smith möglicherweise die erste Kampagne ist, die alle Schwachstellen integriert und als Waffe ausnutzt, was diese Malware äußerst gefährlich macht.

Agent Smith-Malware-Modul

Agent Smith-Malware verwendet eine modulare Struktur, um Ziele zu infizieren, darunter:

• Lader
• Kern
• Stiefel
• Patch
• AdSDK
• Updater

Dropper ist eine legitime Anwendung, die so umgepackt wurde, dass sie ein bösartiges Loader-Modul enthält. Der Loader extrahiert und führt das Core-Modul aus, das wiederum mit dem C&C-Server der Malware kommuniziert. Anschließend sendet der C&C-Server die Beuteliste. Wenn eine geeignete Anwendung gefunden wird, nutzt die Malware die Schwachstelle aus, um das Boot-Modul in die neu gepackte Anwendung einzuschleusen.

Beim nächsten Start der infizierten App führt das Boot-Modul das Patch-Modul aus, das das AdSDK-Modul verwendet, um Anzeigen einzuführen und Einnahmen zu generieren.

Ein weiteres interessantes Element von Agent Smith ist, dass es nicht bei nur einer bösartigen Anwendung Halt macht. Wenn Agent Smith mehrere passende Anwendungen in der Beuteliste findet, wird jede Anwendung durch die bösartige Version ersetzt.

Agent Smith veröffentlichte außerdem bösartige Update-Patches für die neu verpackten Anwendungen, wodurch die Infektion fortgesetzt und neue Werbepakete bereitgestellt wurden.

Entfernen Sie Agent Smith-Apps von Google Play

Der Hauptinfektionspunkt von Agent Smith ist der Drittanbieter-App-Store 9Apps. Es ist jedoch fast unmöglich, Google Play zu berühren. Check Point hat im Google Play Store 11 Anwendungen entdeckt, die eine Sammlung schädlicher, inaktiver Dateien im Zusammenhang mit Agent Smith enthielten. Die Google Play-Versionen von Agent Smith verwenden eine etwas andere virale Technik, aber mit demselben Ziel.

Check Point hat die schädlichen Apps an Google gemeldet und alle wurden aus dem Google Play Store entfernt.

So erkennen und entfernen Sie Agent Smith von Android

Sie können Agent Smith ganz leicht erkennen. Wenn Ihre häufig verwendeten Apps plötzlich übermäßig viele Anzeigen generieren, ist das ein sicheres Zeichen dafür, dass etwas nicht stimmt. Die Werbung, die die Malware „liefert“, lässt sich nur schwer oder gar nicht entfernen (dies ist ein weiteres Zeichen, auf das Sie achten sollten). Da Agent Smith jedoch bei der Ausgabe von Anzeigen nahezu geräuschlos agiert, ist es äußerst schwierig, sehr kleine Änderungen in der Anwendung zu erkennen.

• So erkennen Sie schädliche Anwendungen auf Android

Bitte beachten Sie, dass Anwendungen, die plötzlich eine große Menge an Werbung anzeigen, kein Zeichen für die „Exklusivität“ von Agent Smith sind. Auch andere Arten von Android-Malware schalten Werbung, um den Umsatz zu steigern. Daher ist Ihr Gerät möglicherweise mit einer anderen Art von Android-Malware infiziert.

Wenn Sie vermuten, dass etwas nicht stimmt, sollten Sie eine Antivirensoftware verwenden , um einen Scan auf Ihrem Gerät durchzuführen.

Der erste Vorschlag ist Malwarebytes Security, die Android-Version des hervorragenden Anti-Malware-Tools. Laden Sie Malwarebytes Security herunter und führen Sie einen vollständigen Systemscan durch. Es erfasst und entfernt alle auf Ihrem Gerät vorhandenen schädlichen Anwendungen.

Laden Sie Malwarebytes Security herunter (kostenlos, Abonnement verfügbar).

Weitere Informationen finden Sie im Artikel: Die besten Antiviren-Anwendungen für Android-Telefone !

Ich hoffe, Sie finden die richtige Wahl!