วิธีตรวจจับและลบมัลแวร์ Agent Smith บน Android

มัลแวร์ประเภทใหม่มุ่งเป้าไปที่สมาร์ทโฟนได้แพร่ระบาดในอุปกรณ์ประมาณ 25 ล้านเครื่อง (15 ล้านเครื่องอยู่ในอินเดีย) มัลแวร์นี้เรียกว่า Agent Smith Agent Smith กำหนดเป้าหมาย ระบบปฏิบัติการมือถือ Androidโดยแทนที่แอปพลิเคชันที่ติดตั้งด้วยเวอร์ชันที่เป็นอันตรายโดยที่ผู้ใช้ไม่รู้

บทความวันนี้จะแสดงวิธีตรวจจับ ป้องกัน และปกป้องอุปกรณ์ Android ของคุณจากมัลแวร์ Agent Smith

Agent Smith - มัลแวร์ใหม่ปรากฏบนอุปกรณ์ Android

• มัลแวร์ Agent Smith คืออะไร
• มัลแวร์ Agent Smith ทำงานอย่างไร
• โมดูลมัลแวร์ Agent Smith
• ลบแอพ Agent Smith ออกจาก Google Play
• วิธีตรวจจับและลบ Agent Smith ออกจาก Android

มัลแวร์ Agent Smith คืออะไร

Agent Smith เป็นมัลแวร์แบบโมดูลาร์ที่ใช้ประโยชน์จากช่องโหว่ของ Android หลายชุดเพื่อแทนที่แอปพลิเคชันที่ถูกต้องตามกฎหมายที่มีอยู่ด้วยเวอร์ชันปลอมที่เป็นอันตราย แอปที่เป็นอันตรายจะไม่ขโมยข้อมูล แต่แอปที่ถูกแทนที่จะแสดงโฆษณาจำนวนมากแก่ผู้ใช้หรือขโมยเครดิตจากอุปกรณ์เพื่อชำระค่าโฆษณาที่แสดงอยู่แล้ว

เจ้าหน้าที่สมิธมีชื่อเดียวกับตัวละครในหนังชื่อดังเรื่องเดอะเมทริกซ์ ทีมวิจัยของ Check Point เชื่อว่าวิธีการที่มัลแวร์นี้ใช้ในการแพร่กระจายนั้นคล้ายคลึงกับเทคนิคที่ Agent Smith ใช้ในซีรีส์ภาพยนตร์ยอดนิยมเรื่องนี้

ตามที่ Jonathan Shimonovich หัวหน้าฝ่ายวิจัยการตรวจจับภัยคุกคามมือถือของ Check Point Software Technologies ระบุว่ามัลแวร์จะโจมตีแอปพลิเคชันที่ผู้ใช้ติดตั้งแบบเงียบ ๆ ทำให้ผู้ใช้ Android เป็นเรื่องยาก ยากที่จะต่อสู้กับภัยคุกคามเหล่านั้นด้วยตนเอง

นอกจากนี้ Agent Smith ยังติดไวรัสในอุปกรณ์จำนวนมาก อินเดียเป็นประเทศที่ถูกโจมตีมากที่สุด การวิจัยของเช็คพอยท์แสดงให้เห็นว่ามีอุปกรณ์ประมาณ 15 ล้านเครื่องที่นี่ติดไวรัส Agent Smith ประเทศอันดับสองคือบังคลาเทศ โดยมีอุปกรณ์ประมาณ 2.5 ล้านเครื่องตกเป็นเหยื่อของมัลแวร์นี้ มีคดีของ Agent Smith มากกว่า 300,000 รายในสหรัฐอเมริกา และประมาณ 137,000 รายในสหราชอาณาจักร

มัลแวร์ Agent Smith ทำงานอย่างไร

Check Point Research เชื่อว่ามัลแวร์ Agent Smith มีต้นกำเนิดมาจากบริษัทจีน ซึ่งสร้างขึ้นเพื่อช่วยนักพัฒนา Android ชาวจีนในการเผยแพร่และโปรโมตแอปพลิเคชันในตลาดต่างประเทศ

มัลแวร์ปรากฏตัวครั้งแรกในร้านแอปบุคคลที่สาม 9แอป ร้านแอปบุคคลที่สามนี้กำหนดเป้าหมายผู้ใช้ชาวอินเดีย อาหรับ และอินโดนีเซีย (ซึ่งอธิบายว่าทำไมจำนวนอุปกรณ์ที่ติดไวรัส Agent Smith จึงมีขนาดใหญ่มากในภูมิภาคเหล่านี้) นั่นเป็นเหตุผลหนึ่งที่คุณควรหลีกเลี่ยงการดาวน์โหลดแอป Android จาก App Store ของบุคคลที่สาม

มัลแวร์ Agent Smith ทำงานในสามระยะ

1. แอปพลิเคชันแบบหยด (มัลแวร์ประเภทหนึ่งที่พัฒนาขึ้นเพื่อปล่อยไวรัส ในรูปแบบของแอปพลิเคชันสมาร์ทโฟนฟรี) ล่อลวงเหยื่อให้ติดตั้งมัลแวร์โดยสมัครใจ ในตอนแรก Droppers จะมีไฟล์ที่เป็นอันตรายที่เข้ารหัสไว้ และมักจะอยู่ในรูปแบบของยูทิลิตี้รูปภาพ เกม หรือแอปพลิเคชัน "สำหรับผู้ใหญ่" ซึ่งเกือบจะไม่ได้ใช้งานแล้ว

2. Dropper ถอดรหัสและติดตั้งไฟล์ที่เป็นอันตราย มัลแวร์ใช้ Google Updater, Google Update สำหรับ U หรือ “com.google.vending” เพื่อปกปิดกิจกรรมของมัน

3. มัลแวร์หลักจะสร้างรายการแอปพลิเคชันที่ติดตั้ง หากแอปตรงกับรายการ "เหยื่อ" แอปจะ "แพตช์" แอปเป้าหมายด้วยโมดูลมัลแวร์โฆษณาแทนที่แอปเดิมราวกับว่าเป็นการอัปเดตแอปเดียว ง่าย

รายการ "เหยื่อ" ได้แก่WhatsApp , Opera, SwiftKey, Flipkart, Truecaller เป็นต้น

สิ่งที่น่าสนใจคือ Agent Smith ได้รวมช่องโหว่ของ Android หลายรายการเข้าด้วยกัน รวมถึง Janus, Bundle และ Man-in-the-Disk การรวมกันนี้สร้างกระบวนการติดไวรัสสามขั้นตอน ช่วยให้ผู้จัดจำหน่ายมัลแวร์สามารถสร้างบอตเน็ตที่สร้างรายได้ (ผ่านการโฆษณา) ทีมวิจัยของ Check Point เชื่อว่า Agent Smith อาจเป็นแคมเปญแรกที่ผสานรวมและสร้างอาวุธให้กับช่องโหว่ทั้งหมดเข้าด้วยกัน ทำให้มัลแวร์นี้เป็นอันตรายอย่างยิ่ง

โมดูลมัลแวร์ Agent Smith

มัลแวร์ Agent Smith ใช้โครงสร้างโมดูลาร์เพื่อโจมตีเป้าหมาย ได้แก่:

• รถตักดิน
• แกนกลาง
• รองเท้าบูท
• ปะ
• AdSDK
• ตัวอัพเดต

Dropper เป็นแอปพลิเคชั่นที่ถูกต้องตามกฎหมายที่ได้รับการบรรจุใหม่เพื่อให้มีโมดูล Loader ที่เป็นอันตราย ตัวโหลดจะแยกและรันโมดูล Core ซึ่งจะสื่อสารกับเซิร์ฟเวอร์ C&C ของมัลแวร์ จากนั้นเซิร์ฟเวอร์ C&C จะส่งรายชื่อเหยื่อ หากพบแอปพลิเคชันที่เหมาะสม มัลแวร์จะใช้ช่องโหว่เพื่อแทรกโมดูล Boot ลงในแอปพลิเคชันที่ทำแพ็กเกจใหม่

ครั้งถัดไปที่แอปที่ติดไวรัสเปิดตัว โมดูล Boot จะรันโมดูล Patch ซึ่งใช้โมดูล AdSDK เพื่อแนะนำโฆษณาและเริ่มสร้างรายได้

องค์ประกอบที่น่าสนใจอีกอย่างหนึ่งของ Agent Smith ก็คือมันไม่ได้หยุดอยู่แค่แอปพลิเคชั่นที่เป็นอันตรายเพียงตัวเดียวเท่านั้น หาก Agent Smith พบแอปพลิเคชันที่ตรงกันหลายรายการในรายการเหยื่อ มันจะแทนที่แต่ละแอปพลิเคชันด้วยเวอร์ชันที่เป็นอันตราย

นอกจากนี้ Agent Smith ยังออกแพตช์อัปเดตที่เป็นอันตรายสำหรับแอปพลิเคชันที่บรรจุใหม่ แพร่เชื้อต่อไปและให้บริการแพ็คเกจโฆษณาใหม่

ลบแอพ Agent Smith ออกจาก Google Play

จุดติดไวรัสหลักของ Agent Smith คือ App Store ของบุคคลที่สาม 9Apps อย่างไรก็ตาม แทบจะเป็นไปไม่ได้เลยที่จะสัมผัส Google Play Check Point ค้นพบแอปพลิเคชัน 11 รายการบน Google Play Store ที่มีคอลเลกชันของไฟล์ที่เป็นอันตรายและไม่ได้ใช้งานที่เกี่ยวข้องกับ Agent Smith Agent Smith เวอร์ชัน Google Play ใช้เทคนิคไวรัลที่แตกต่างกันเล็กน้อย แต่มีเป้าหมายเดียวกัน

Check Point รายงานแอปที่เป็นอันตรายไปยัง Google และทั้งหมดได้ถูกลบออกจาก Google Play Store แล้ว

วิธีตรวจจับและลบ Agent Smith ออกจาก Android

คุณสามารถมองเห็นเจ้าหน้าที่สมิธได้อย่างง่ายดาย หากแอปที่ใช้บ่อยของคุณเริ่มสร้างโฆษณามากเกินไปอย่างกะทันหัน นั่นอาจเป็นสัญญาณบ่งชี้ว่ามีบางอย่างผิดปกติ โฆษณาที่มัลแวร์ "แสดง" นั้นยากหรือไม่สามารถกำจัดได้ (นี่เป็นอีกสัญญาณหนึ่งที่ต้องระวัง) แต่เนื่องจาก Agent Smith ดำเนินการเกือบจะเงียบๆ ในการออกโฆษณา จึงเป็นเรื่องยากมากที่จะตรวจพบการเปลี่ยนแปลงเล็กๆ น้อยๆ ในแอปพลิเคชัน

• วิธีตรวจจับแอปพลิเคชั่นที่เป็นอันตรายบน Android

โปรดทราบว่าแอปพลิเคชันที่แสดงโฆษณาจำนวนมากอย่างกะทันหันนั้นไม่ใช่สัญญาณของ "ความพิเศษ" ของ Agent Smith มัลแวร์ Android ประเภท อื่นๆ ยังแสดงโฆษณาเพื่อเพิ่มรายได้อีกด้วย ดังนั้นอุปกรณ์ของคุณอาจติดมัลแวร์ Android ประเภทอื่น

หากคุณสงสัยว่ามีบางอย่างผิดปกติ คุณควรใช้ซอฟต์แวร์ป้องกันไวรัสเพื่อสแกนอุปกรณ์ของคุณ

คำแนะนำแรกคือ Malwarebytes Security ซึ่งเป็นเครื่องมือป้องกันมัลแวร์ที่ยอดเยี่ยมเวอร์ชัน Android ดาวน์โหลด Malwarebytes Security และทำการสแกนระบบแบบเต็ม มันจะจับและลบแอปพลิเคชั่นที่เป็นอันตรายใด ๆ ที่ปรากฏบนอุปกรณ์ของคุณ

ดาวน์โหลด Malwarebytes Security (ฟรี สมัครสมาชิกได้)

อ้างถึงบทความ: แอปพลิเคชั่นป้องกันไวรัสที่ดีที่สุดอันดับต้น ๆ สำหรับโทรศัพท์ Androidสำหรับรายละเอียดเพิ่มเติม!

หวังว่าคุณจะพบทางเลือกที่ถูกต้อง!