如何偵測並移除 Android 上的 Agent Smith 惡意軟體

一種針對智慧型手機的新型惡意軟體已感染約 2,500 萬台裝置（其中 1,500 萬台位於印度）。該惡意軟體稱為 Agent Smith。 Agent Smith 針對Android行動作業系統，在使用者不知情的情況下用惡意版本替換已安裝的應用程式。

今天的文章將向您展示如何偵測、預防和保護您的 Android 裝置免受 Agent Smith 惡意軟體的侵害。

Agent Smith - Android 裝置上出現新惡意軟體

• 什麼是 Agent Smith 惡意軟體？
• Agent Smith 惡意軟體如何運作？
• Agent Smith 惡意軟體模組
• 從 Google Play 移除 Agent Smith 應用
• 如何從 Android 中偵測並刪除 Agent Smith

什麼是 Agent Smith 惡意軟體？

Agent Smith 是一種模組化惡意軟體，它利用一系列 Android 漏洞，以惡意假版本取代現有的合法應用程式。惡意應用程式不會竊取資料。相反，被替換的應用程式會向用戶顯示大量廣告，或從裝置中竊取積分來支付已顯示的廣告費用。

史密斯特務與著名電影《駭客任務》中的角色同名。 Check Point 的研究團隊認為，該惡意軟體的傳播方法與這部熱門電影系列中 Agent Smith 使用的技術類似。

Check Point Software Technologies 行動威脅偵測研究主管 Jonathan Shimonovich 表示，該惡意軟體會悄悄地攻擊用戶安裝的應用程序，讓 Android 用戶難以獨自對抗這些威脅。

此外，史密斯特工感染了大量設備。印度是遭受攻擊最嚴重的國家。 Check Point 的研究表明，這裡大約有 1500 萬台設備感染了 Agent Smith。排名第二的國家是孟加拉國，約有 250 萬台設備成為該惡意軟體的受害者。美國有超過 30 萬例史密斯特工病例，英國約有 137,000 例。

Agent Smith 惡意軟體如何運作？

Check Point Research 認為，Agent Smith 惡意軟體源自於一家中國公司，旨在幫助中國 Android 開發者在國外市場發布和推廣應用程式。

該惡意軟體首先出現在第三方應用商店。 9個應用程式。這家第三方應用程式商店針對印度、阿拉伯和印尼用戶（這解釋了為什麼這些地區感染 Agent Smith 的設備數量如此之多）。這就是您應該避免從第三方應用程式商店下載 Android 應用程式的原因之一。

Agent Smith 惡意軟體分三個階段運作。

1. Dropper 應用程式（一種為啟動病毒而開發的惡意軟體，以免費智慧型手機應用程式的形式）引誘受害者自願安裝惡意軟體。 Droppers 最初包含加密的惡意文件，通常採用圖像實用程式、遊戲或「成人」應用程式的形式，這些應用程式幾乎不活動。

2. Dropper解密並安裝惡意檔案。該惡意軟體使用 Google Updater、Google Update for U 或「com.google.vending」來偽裝其活動。

3. 主要惡意軟體建立已安裝應用程式的清單。如果應用程式與其“獵物”列表匹配，它就會使用惡意廣告模組“修補”目標應用程序，替換原始應用程序，就像它是單個應用程式更新一樣。很簡單。

「獵物」名單包括WhatsApp、Opera、SwiftKey、Flipkart、Truecaller 等。

有趣的是，Agent Smith 結合了多個 Android 漏洞，包括 Janus、Bundle 和 Man-in-the-Disk。這種組合創建了一個三階段的感染過程，允許惡意軟​​體傳播者建立殭屍網路來賺錢（透過廣告）。 Check Point 的研究團隊認為，Agent Smith 可能是第一個將所有漏洞整合並武器化的活動，使這種惡意軟體變得極其危險。

Agent Smith 惡意軟體模組

Agent Smith 惡意軟體使用模組化結構來感染目標，包括：

• 裝載機
• 核
• 靴子
• 修補
• 廣告SDK
• 更新程式

Dropper 是一個重新打包後包含惡意 Loader 模組的合法應用程式。載入程式提取並運行核心模組，該模組進而與惡意軟體的 C&C 伺服器進行通訊。然後，C&C伺服器將發送獵物清單。如果找到任何合適的應用程序，惡意軟體就會利用該漏洞將Boot模組注入到重新打包的應用程式中。

下次啟動受感染的應用程式時，Boot 模組會執行 Patch 模組，該模組使用 AdSDK 模組引入廣告並開始產生收入。

Agent Smith 的另一個有趣的元素是它不僅僅停留在一個惡意應用程式上。如果Agent Smith在獵物清單中發現多個符合的應用程序，它將用惡意版本取代每個應用程式。

史密斯特工還針對重新打包的應用程式發布了惡意更新補丁，繼續感染並投放新的廣告包。

從 Google Play 移除 Agent Smith 應用

Agent Smith 的主要感染點是第三方應用程式商店 9Apps。然而，想要觸碰Google Play幾乎是不可能的。 Check Point 在 Google Play 商店中發現了 11 個應用程序，其中包含一系列與 Agent Smith 相關的惡意非活動文件。 《特務史密斯》的 Google Play 版本使用的病毒技術略有不同，但目標相同。

Check Point 向 Google 報告了這些惡意應用程序，所有應用程式均已從 Google Play 商店中刪除。

如何從 Android 中偵測並刪除 Agent Smith

你可以很容易地發現史密斯特工。如果您經常使用的應用程式突然開始產生過多的廣告，則表示出現了問題。惡意軟體「提供」的廣告很難或不可能擺脫（這是另一個需要注意的跡象）。但由於史密斯代理在發布廣告時幾乎悄無聲息，因此很難檢測到應用程式上的微小變化。

• 如何偵測 Android 上的惡意應用程式

請注意，突然顯示大量廣告的應用程式並不表示史密斯特工的「排他性」。其他類型的 Android 惡意軟體也提供廣告來增加收入。因此，您的裝置可能感染了另一種類型的 Android 惡意軟體。

如果您懷疑出現問題，您應該使用防毒軟體在您的裝置上執行掃描。

第一個建議是 Malwarebytes Security，這是優秀的反惡意軟體工具的 Android 版本。下載 Malwarebytes Security 並執行完整的系統掃描。它將捕獲並刪除您設備上存在的任何惡意應用程式。

下載 Malwarebytes Security（免費，可訂閱）。

請參閱文章：適用於 Android 手機的最佳防毒應用程式以了解更多詳細資訊！

希望您找到正確的選擇！