Agent Smith. Android pod ostrzałem nowego wirusa


Agent Smith, jeden z głównych antagonistów Neo z kultowej trylogii braci Wachowskich, posiadał moc, która czyniła go samoreplikującym się wirusem komputerowym. W naszej rzeczywistości mamy również własnego Smitha. To – jak informuje Check Point Software Technologies – rozprzestrzeniający się z niepokojącą prędkością wirus wycelowany w posiadaczy urządzeń mobilnych.

Dział Check Point Researchers dokonał odkrycia nowego wirusa na urządzenia mobilne, któremu udało się w niezauważalny dla użytkowników sposób zainfekować – bagatela – około 25 milionów urządzeń. Główna część tego złośliwego oprogramowania skrywa się pod postacią aplikacji Google i – wykorzystując przy tym różne luki w systemie Android – automatycznie zastępuje zainstalowane na urządzeniu legalne aplikacje ich złośliwymi wersjami. Jak dotychczas jego ofiarą padli przede wszystkim użytkownicy zamieszkujący Indie, chociaż ataki dotknęły również mieszkańców Azji, w tym Bangladeszu i Pakistanu, a także znaczną liczbę osób z Wielkiej Brytanii, Australii oraz Stanów Zjednoczonych.

Malware, nazwany od bohatera trylogii „Matrix Agentem Smithem, żeruje na szerokim dostępie do zasobów zaatakowanego urządzenia, aby wyświetlać fałszywe reklamy ii osiągać z tego korzyści finansowe. Działa podobnie jak znane już z przeszłości złośliwe programy Gooligan, Hummingbad oraz CopyCat. Jest w stanie zainfekować wszystkie smartfony, nawet te z wersjami systemu Android 7.0.

“Agent Smith” służy do osiągania zysków finansowych poprzez wyświetlanie złośliwych reklam. Jednak może on być z łatwością wykorzystywany do działań o większym stopniu ingerencji i szkodliwości, np. kradzieży danych umożliwiających dostęp do kont bankowych, a także podsłuchów. Co więcej, ze względu na zdolność do ukrywania ikon tak, że nie są widoczne oraz do udawania istniejących popularnych aplikacji cieszących się zaufaniem użytkownika, złośliwe oprogramowanie może spowodować wiele szkód na urządzeniu użytkownika.

Co robi “Agent Smith”?

Atak oprogramowania “Agent Smith” odbywa się w ramach trzech zasadniczych etapów.

Schemat działania zagrożenia

fot. mat. prasowe

Schemat działania zagrożenia

Malware ten, określany jako “Agent Smith”, obecnie wykorzystuje szeroki dostęp do zasobów urządzenia do wyświetlania fałszywych reklam w celu osiągnięcia korzyści finansowych

Na pierwszym z nich użytkownik urządzenia mobilnego jest nakłaniany do pobrania aplikacji wprowadzającej ze sklepu z aplikacjami, takiego jak 9Apps. Aplikacje te zazwyczaj mają formę bezpłatnych gier, aplikacji użytkowych lub aplikacji rozrywkowych dla osób dorosłych, jednak zawierają zaszyfrowane złośliwe oprogramowanie. Następnie aplikacja inicjująca sprawdza, czy na urządzeniu zainstalowane są popularne aplikacje, np. WhatsApp, MXplayer, ShareIt i inne aplikacje znajdujące się na liście atakującego. Jeśli jakakolwiek z tych aplikacji znajduje się na zainfekowanym urządzeniu, “Agent Smith” na kolejnym etapie atakuje oryginalne aplikacje.

W drugim etapie, po pobraniu aplikacji wprowadzającej na urządzenie ofiary, aplikacja automatycznie odszyfrowuje złośliwe oprogramowanie do formy pierwotnej, tzn. pliku APK (plik instalacyjny systemu Android), który stanowi zasadniczą część ataku “Agenta Smitha”. Następnie aplikacja inicjująca wykorzystuje kilka znanych luk oprogramowania do zainstalowania właściwego programu złośliwego bez jakiejkolwiek interakcji z użytkownikiem.

Na trzecim etapie, złośliwy program prowadzi atak na każdą zainstalowaną aplikację znajdującą się na jego liście. Złośliwy program w sposób niezauważalny pobiera plik APK danej aplikacji, uzupełnia go o dodatkowe złośliwe moduły, a następnie wykorzystuje kolejny zestaw luk systemu do niezauważalnego zastąpienia oryginalnej wersji aplikacji wersją złośliwą.

Ponieważ “Agent Smith” został pierwotnie pobrany z popularnego niezależnego sklepu z aplikacjami 9Apps, przeznaczonego głównie dla klientów mówiących w języku hinduskim, arabskim, rosyjskim i indonezyjskim, nic dziwnego, że liczba zainfekowanych urządzeń jest tak duża. Jak wiadomo niezależne sklepy z aplikacjami często nie posiadają zabezpieczeń niezbędnych do blokowania aplikacji z oprogramowaniem adware.

Ze względu na tak przebiegłą metodę infekcji, jaką jest zastępowanie aplikacji zainstalowanych na urządzeniu ich złośliwymi wersjami, użytkownicy muszą pamiętać o konieczności pobierania aplikacji wyłącznie z zaufanych sklepów z aplikacjami, w celu ograniczenia ryzyka infekcji.

Jeśli Twoje urządzenie zostało zainfekowane przez aplikacje podobne do “Agenta Smitha” lub inne, wykonaj następujące działania w celu usunięcia złośliwych aplikacji.


W przypadku urządzeń z systemem Android:

  1. Przejdź do Menu Ustawienia.
  2. Kliknij Aplikacje lub Menedżer Aplikacji.
  3. Przejdź do podejrzanej aplikacji i odinstaluj ją.

Jeśli nie możesz znaleźć danej aplikacji, usuń wszystkie ostatnio zainstalowane aplikacje.

W przypadku iPhone’ów:

  1. Przejdź do Menu Ustawienia.
  2. Przejdź do “Safari”.
  3. 3. Sprawdź, czy na liście opcji zaznaczona jest opcja “blokuj wyskakujące okienka”.
  4. Następnie przejdź do “Zaawansowane” – “Dane strony internetowej”.
  5. Jeśli na liście znajdują się dane jakiejkolwiek strony, której nie rozpoznajesz, usuń te strony.

You have Successfully Subscribed!