Comment détecter et supprimer le malware Agent Smith sur Android

Un nouveau type de malware ciblant les smartphones a infecté environ 25 millions d'appareils (dont 15 millions en Inde). Ce malware s'appelle Agent Smith. L'agent Smith cible le système d'exploitation mobile Android , remplaçant les applications installées par des versions malveillantes à l'insu de l'utilisateur.

L'article d'aujourd'hui vous montrera comment détecter, prévenir et protéger votre appareil Android contre le malware Agent Smith.

Agent Smith - Un nouveau malware apparaît sur les appareils Android

• Qu’est-ce que le malware Agent Smith ?
• Comment fonctionne le malware Agent Smith ?
• Module anti-malware Agent Smith
• Supprimer les applications Agent Smith de Google Play
• Comment détecter et supprimer l'agent Smith d'Android

Qu’est-ce que le malware Agent Smith ?

Agent Smith est un malware modulaire qui exploite une série de vulnérabilités Android pour remplacer les applications légitimes existantes par une fausse version malveillante. Les applications malveillantes ne volent pas de données. Au lieu de cela, les applications remplacées diffusent de grandes quantités de publicités aux utilisateurs ou volent des crédits sur l'appareil pour payer les publicités déjà affichées.

L'agent Smith porte le même nom qu'un personnage du célèbre film Matrix. L'équipe de recherche de Check Point estime que les méthodes utilisées par ce malware pour se propager sont similaires aux techniques utilisées par l'agent Smith dans cette série de films à succès.

Selon Jonathan Shimonovich, responsable de la recherche sur la détection des menaces mobiles chez Check Point Software Technologies, le malware attaque silencieusement les applications installées par l'utilisateur, ce qui rend difficile pour les utilisateurs d'Android de lutter seuls contre ces menaces.

De plus, l'agent Smith a infecté un grand nombre d'appareils. L'Inde est le pays le plus attaqué. Les recherches de Check Point montrent qu'environ 15 millions d'appareils sont infectés par l'agent Smith. Le deuxième pays est le Bangladesh, avec environ 2,5 millions d’appareils victimes de ce malware. Il existe plus de 300 000 cas d’agent Smith aux États-Unis et environ 137 000 cas au Royaume-Uni.

Comment fonctionne le malware Agent Smith ?

Check Point Research estime que le malware Agent Smith provient d'une société chinoise, créée pour aider les développeurs Android chinois à publier et à promouvoir des applications sur les marchés étrangers.

Le malware est apparu pour la première fois sur les magasins d’applications tiers. 9applications. Cette boutique d'applications tierce cible les utilisateurs indiens, arabes et indonésiens (ce qui explique pourquoi le nombre d'appareils infectés par l'agent Smith est si important dans ces régions). C'est l'une des raisons pour lesquelles vous devriez éviter de télécharger des applications Android à partir de magasins d'applications tiers .

Le malware Agent Smith fonctionne en trois phases.

1. Une application dropper (un type de malware développé pour lancer des virus, sous la forme d'une application gratuite pour smartphone) incite les victimes à installer volontairement un malware. Les droppers contiennent initialement des fichiers malveillants cryptés et prennent souvent la forme d'utilitaires d'images, de jeux ou d'applications « pour adultes », qui sont quasiment inactifs.

2. Dropper décrypte et installe les fichiers malveillants. Le malware utilise Google Updater, Google Update for U ou « com.google.vending » pour dissimuler son activité.

3. Le malware principal crée une liste des applications installées. Si une application correspond à sa liste de « proies », elle « corrige » l’application cible avec un module de publicité malveillante, remplaçant l’original comme s’il s’agissait d’une seule mise à jour d’application.

La liste des « proies » comprend WhatsApp , Opera, SwiftKey, Flipkart, Truecaller, etc.

Il est intéressant de noter que l'agent Smith combine plusieurs vulnérabilités Android, notamment Janus, Bundle et Man-in-the-Disk. Cette combinaison crée un processus d'infection en trois étapes, permettant aux distributeurs de logiciels malveillants de créer des réseaux de zombies qui gagnent de l'argent (grâce à la publicité). L'équipe de recherche de Check Point estime que l'agent Smith pourrait être la première campagne à intégrer et à militariser toutes les vulnérabilités ensemble, ce qui rend ce malware extrêmement dangereux.

Module anti-malware Agent Smith

Le malware Agent Smith utilise une structure modulaire pour infecter les cibles, notamment :

• Chargeur
• Cœur
• Bottes
• Correctif
• SDK publicitaire
• Programme de mise à jour

Dropper est une application légitime reconditionnée pour contenir un module Loader malveillant. Le chargeur extrait et exécute le module Core, qui à son tour communique avec le serveur C&C du malware. Ensuite, le serveur C&C enverra la liste des proies. Si une application appropriée est trouvée, le logiciel malveillant utilise la vulnérabilité pour injecter le module Boot dans l'application reconditionnée.

Au prochain lancement de l'application infectée, le module Boot exécute le module Patch, qui utilise le module AdSDK pour introduire des publicités et commencer à générer des revenus.

Un autre élément intéressant d'Agent Smith est qu'il ne s'arrête pas à une seule application malveillante. Si l'agent Smith trouve plusieurs applications correspondantes dans la liste des proies, il remplacera chaque application par la version malveillante.

L'agent Smith a également publié des correctifs de mise à jour malveillants pour les applications reconditionnées, poursuivant ainsi l'infection et diffusant de nouveaux packages publicitaires.

Supprimer les applications Agent Smith de Google Play

Le principal point d'infection de l'agent Smith est la boutique d'applications tierce, 9Apps. Cependant, il est quasiment impossible de toucher à Google Play. Check Point a découvert 11 applications sur le Google Play Store contenant un ensemble de fichiers malveillants et inactifs liés à l'agent Smith. Les versions Google Play d'Agent Smith utilisent une technique virale légèrement différente mais avec le même objectif.

Check Point a signalé les applications malveillantes à Google et toutes ont été supprimées du Google Play Store.

Comment détecter et supprimer l'agent Smith d'Android

Vous pouvez repérer l'agent Smith assez facilement. Si vos applications fréquemment utilisées commencent soudainement à générer une quantité excessive de publicités, c'est un signe certain que quelque chose ne va pas. Les publicités que le malware « diffuse » sont difficiles, voire impossibles, à supprimer (c'est un autre signe à surveiller). Mais comme l'agent Smith agit presque silencieusement lors de la diffusion des annonces, il est extrêmement difficile de détecter de très petits changements sur l'application.

• Comment détecter les applications malveillantes sur Android

Veuillez noter que les applications qui affichent soudainement un énorme volume de publicités ne sont pas un signe de « l'exclusivité » de l'agent Smith. D'autres types de logiciels malveillants Android diffusent également des publicités pour augmenter les revenus. Par conséquent, votre appareil peut être infecté par un autre type de malware Android.

Si vous pensez que quelque chose ne va pas, vous devez utiliser un logiciel antivirus pour exécuter une analyse sur votre appareil.

La première suggestion est Malwarebytes Security, la version Android de l'excellent outil anti-malware. Téléchargez Malwarebytes Security et exécutez une analyse complète du système. Il capturera et supprimera toutes les applications malveillantes présentes sur votre appareil.

Téléchargez Malwarebytes Security (gratuit, abonnement disponible).

Reportez-vous à l'article : Meilleures applications antivirus pour téléphones Android pour plus de détails !

J'espère que vous trouverez le bon choix !