Jenis malware baru yang menargetkan smartphone telah menginfeksi sekitar 25 juta perangkat, 15 juta di antaranya berada di India. Malware ini dijuluki "Agen Smith." Ia menargetkan sistem operasi seluler Android, menggantikan aplikasi yang diinstal dengan versi jahat tanpa memberi tahu pengguna.
Inilah cara Anda melihat Agen Smith, cara menghentikannya, dan cara melindungi terhadap malware Android.
Apa itu Agen Smith Malware
Inilah cara Anda melihat Agen Smith, cara menghentikannya, dan cara melindungi terhadap malware Android.
Apa itu Agen Smith Malware
Agent Smith adalah malware modular yang mengeksploitasi serangkaian kerentanan Android untuk mengganti aplikasi yang ada yang sah dengan tiruan jahat. Aplikasi jahat tidak mencuri data. Alih-alih, aplikasi yang diganti menampilkan banyak iklan untuk pengguna atau mencuri kredit dari perangkat untuk membayar iklan yang sudah ditayangkan.
Malware ini mengusung nama "Agen Smith", nama yang sama dengan karakter Matrix yang terkenal yang dicirikan sebagai virus. Alasan tim peneliti Check Point bahwa metode yang digunakan malware untuk disebarkan mirip dengan teknik Agen Smith dalam seri film.
"Malware ini menyerang aplikasi yang diinstal oleh pengguna secara diam-diam, sehingga menantang bagi pengguna Android umum untuk memerangi ancaman semacam itu sendiri," kata Kepala Riset Riset Deteksi Ancaman Seluler Teknologi Perangkat Lunak Titik Teknologi Jonathan Shimonovich dalam posting blognya. “Menggabungkan pencegahan ancaman tingkat lanjut dan intelijen ancaman sambil mengadopsi pendekatan 'kebersihan pertama' untuk melindungi aset digital adalah perlindungan terbaik terhadap serangan malware ponsel invasif seperti“ Agen Smith. ”
Selain itu, Agen Smith telah menginfeksi sejumlah besar perangkat. India memiliki infeksi terbanyak. Penelitian Titik Periksa menunjukkan sekitar 15 juta perangkat yang membawa Agen Smith. Negara terdekat berikutnya adalah Bangladesh, dengan sekitar 2,5 juta perangkat terinfeksi. Ada lebih dari 300.000 infeksi Agen Smith di AS dan sekitar 137.000 di Inggris.
Malware ini mengusung nama "Agen Smith", nama yang sama dengan karakter Matrix yang terkenal yang dicirikan sebagai virus. Alasan tim peneliti Check Point bahwa metode yang digunakan malware untuk disebarkan mirip dengan teknik Agen Smith dalam seri film.
"Malware ini menyerang aplikasi yang diinstal oleh pengguna secara diam-diam, sehingga menantang bagi pengguna Android umum untuk memerangi ancaman semacam itu sendiri," kata Kepala Riset Riset Deteksi Ancaman Seluler Teknologi Perangkat Lunak Titik Teknologi Jonathan Shimonovich dalam posting blognya. “Menggabungkan pencegahan ancaman tingkat lanjut dan intelijen ancaman sambil mengadopsi pendekatan 'kebersihan pertama' untuk melindungi aset digital adalah perlindungan terbaik terhadap serangan malware ponsel invasif seperti“ Agen Smith. ”
Selain itu, Agen Smith telah menginfeksi sejumlah besar perangkat. India memiliki infeksi terbanyak. Penelitian Titik Periksa menunjukkan sekitar 15 juta perangkat yang membawa Agen Smith. Negara terdekat berikutnya adalah Bangladesh, dengan sekitar 2,5 juta perangkat terinfeksi. Ada lebih dari 300.000 infeksi Agen Smith di AS dan sekitar 137.000 di Inggris.
Bagaimana Cara Kerja Agen Malware Smith
Check Point Research meyakini malware Agent Smith berasal dari perusahaan China yang membantu pengembang Android China menerbitkan dan mempromosikan aplikasi di pasar luar negeri.
Malware pertama kali muncul di toko aplikasi pihak ketiga "9Apps." Toko aplikasi pihak ketiga menargetkan pengguna India, Arab, dan Indonesia, menjelaskan jumlah infeksi yang signifikan di wilayah tersebut. (Ini adalah alasan yang bagus untuk menghindari mengunduh aplikasi Android dari toko aplikasi pihak ketiga.)
Malware Agent Smith bekerja dalam tiga fase.
Daftar mangsa termasuk WhatsApp, Opera, SwiftKey, Flipkart, dan Truecaller, antara lain.
Yang menarik, Agent Smith menggabungkan beberapa kerentanan Android, termasuk Janus, Bundle, dan Man-in-the-Disk. Kombinasi ini menciptakan proses infeksi 3-tahap yang memungkinkan distributor malware membangun botnet yang dimonetisasi (melalui iklan). Tim peneliti Check Point percaya Agen Smith adalah "mungkin kampanye pertama yang terlihat yang mengintegrasikan dan mempersenjatai" semua kerentanan bersama, membuat malware "sama jahatnya dengan datangnya".
Modul Agen Malware Smith
Malware pertama kali muncul di toko aplikasi pihak ketiga "9Apps." Toko aplikasi pihak ketiga menargetkan pengguna India, Arab, dan Indonesia, menjelaskan jumlah infeksi yang signifikan di wilayah tersebut. (Ini adalah alasan yang bagus untuk menghindari mengunduh aplikasi Android dari toko aplikasi pihak ketiga.)
Malware Agent Smith bekerja dalam tiga fase.
- Aplikasi dropper memikat korban untuk menginstal malware secara sukarela. Dropper awal berisi file berbahaya terenkripsi dan biasanya berupa "utilitas foto, permainan, atau aplikasi yang berhubungan dengan seks yang hampir tidak berfungsi."
- Dropper mendekripsi dan menginstal file berbahaya. Malware menggunakan Google Updater, Google Update untuk U, atau "com.google.vending" untuk menyamarkan aktivitasnya.
- Malware inti membuat daftar aplikasi yang diinstal. Jika suatu aplikasi cocok dengan "daftar mangsanya," itu akan menambal aplikasi target dengan modul iklan berbahaya, menggantikan yang asli seolah-olah itu adalah pembaruan aplikasi sederhana.
Daftar mangsa termasuk WhatsApp, Opera, SwiftKey, Flipkart, dan Truecaller, antara lain.
Yang menarik, Agent Smith menggabungkan beberapa kerentanan Android, termasuk Janus, Bundle, dan Man-in-the-Disk. Kombinasi ini menciptakan proses infeksi 3-tahap yang memungkinkan distributor malware membangun botnet yang dimonetisasi (melalui iklan). Tim peneliti Check Point percaya Agen Smith adalah "mungkin kampanye pertama yang terlihat yang mengintegrasikan dan mempersenjatai" semua kerentanan bersama, membuat malware "sama jahatnya dengan datangnya".
Modul Agen Malware Smith
Malware Agent Smith menggunakan struktur modular untuk menginfeksi target, terdiri dari:
Dropper adalah aplikasi sah yang dikemas ulang yang juga berisi loader jahat.
Loader mengekstrak dan menjalankan modul Core, yang pada gilirannya berkomunikasi dengan server perintah dan kontrol malware (C&C). Server C&C mengirimkan daftar mangsa. Jika ada aplikasi yang ditemukan, malware menggunakan kerentanan untuk menyuntikkan modul Boot ke dalam aplikasi yang dikemas ulang.
Saat berikutnya aplikasi yang terinfeksi dimulai, modul Boot menjalankan modul Patch, yang menggunakan modul AdSDK untuk memperkenalkan iklan dan mulai menghasilkan pendapatan.
Elemen lain yang menarik dari Agen Smith adalah bahwa ia tidak berhenti di satu aplikasi berbahaya. Jika Agen Smith menemukan beberapa aplikasi yang cocok pada daftar mangsa, itu akan menggantikan masing-masing dengan versi jahat. Agen Smith juga mengeluarkan tambalan pembaruan berbahaya ke aplikasi yang dikemas ulang, menjaga agar infeksi tetap berjalan, dan melayani paket iklan baru.
Menghapus Aplikasi Agen Smith Dari Google Play
- Loader
- Core
- Boot
- Patch
- AdSDK
- Updater
Dropper adalah aplikasi sah yang dikemas ulang yang juga berisi loader jahat.
Loader mengekstrak dan menjalankan modul Core, yang pada gilirannya berkomunikasi dengan server perintah dan kontrol malware (C&C). Server C&C mengirimkan daftar mangsa. Jika ada aplikasi yang ditemukan, malware menggunakan kerentanan untuk menyuntikkan modul Boot ke dalam aplikasi yang dikemas ulang.
Saat berikutnya aplikasi yang terinfeksi dimulai, modul Boot menjalankan modul Patch, yang menggunakan modul AdSDK untuk memperkenalkan iklan dan mulai menghasilkan pendapatan.
Elemen lain yang menarik dari Agen Smith adalah bahwa ia tidak berhenti di satu aplikasi berbahaya. Jika Agen Smith menemukan beberapa aplikasi yang cocok pada daftar mangsa, itu akan menggantikan masing-masing dengan versi jahat. Agen Smith juga mengeluarkan tambalan pembaruan berbahaya ke aplikasi yang dikemas ulang, menjaga agar infeksi tetap berjalan, dan melayani paket iklan baru.
Menghapus Aplikasi Agen Smith Dari Google Play
Titik utama infeksi untuk Agent Smith adalah toko aplikasi pihak ketiga, 9Apps. Namun, Google Play tidak tersentuh. Check Point menemukan 11 aplikasi di Google Play store yang berisi kumpulan file "jahat namun tidak aktif" yang berkaitan dengan aktor Agent Smith. Versi Google Play dari Agen Smith menggunakan teknik propagasi yang sedikit berbeda tetapi memiliki tujuan akhir yang sama.
Check Point melaporkan aplikasi jahat ke Google, dan semua telah dihapus dari Google Play store.
Cara Menemukan dan Menghapus Agen Smith Dari Android
Check Point melaporkan aplikasi jahat ke Google, dan semua telah dihapus dari Google Play store.
Cara Menemukan dan Menghapus Agen Smith Dari Android
Anda dapat melihat Agen Smith dengan mudah. Jika aplikasi Anda yang biasa digunakan tiba-tiba mulai menghasilkan iklan dalam jumlah besar, itu adalah pertanda pasti ada yang salah. Iklan yang ditayangkan malware sulit atau tidak mungkin untuk keluar, yang merupakan indikator lain. Tetapi karena Agen Smith bertindak hampir secara diam-diam membatasi iklan, menangkap perubahan halus pada aplikasi Anda sangat sulit.
Harap perhatikan bahwa aplikasi tiba-tiba menampilkan sejumlah besar iklan bukan penanda tunggal Agen Smith. Jenis malware Android lainnya menayangkan iklan untuk meningkatkan pendapatan. Perangkat Anda dapat memiliki berbagai jenis malware Android.
Port of call pertama adalah Malwarebytes Security, versi Android dari alat antimalware yang sangat baik. Unduh Malwarebytes Security dan jalankan pemindaian sistem penuh. Itu harus menangkap dan menghapus aplikasi berbahaya.
Unduh: Malwarebytes Security (Gratis, berlangganan tersedia)