«Agent Smith»

Skadevaren «Agent Smith» har erstattet apper på 25 millioner telefoner

Den nye skadevaren rammer mobile enheter uten at brukerne vet om det, melder sikkerhetsselskapet Check Point.

Illustrasjonsbilde. Ny mobil skadevare erstatter populære Android-apper uten at brukeren vet om det.
Illustrasjonsbilde. Ny mobil skadevare erstatter populære Android-apper uten at brukeren vet om det. (Skjermbilde: digi.no)

Den nye skadevaren rammer mobile enheter uten at brukerne vet om det, melder sikkerhetsselskapet Check Point.

Check Point Research oppdaget nylig en ny mobil skadevare som til nå har infisert rundt 25 millioner enheter til intetanende brukere.

Forkledd som en Google-relatert applikasjon, utnytter kjernedelen av skadevaren kjente Android-sårbarheter og erstatter automatisk installerte apper på enhetene med skadelige versjoner. Brukeren er er ikke delaktig i prosessen.

Alarmerende hastighet

 Skadevaren, som ifølge Check Point sprer seg i alarmerende hastighet, har fått navnet «Agent Smith» fra Matrix-triologien, og refererer til idéen om at menneskene formerer seg inntil alle ressurser er oppbrukt.

Hittil befinner hovedtyngden av ofrene seg i India og andre asiatiske land som Pakistan og Bangladesh. Også et betydelig antall enheter i UK, Australia og USA er rammet. Selskapet opplyser ikke om hvorvidt de også har funnet tilfeller i Norge. 

Viruset utnytter deretter sin brede tilgang til telefonen til å vise falske annonser for økonomisk vinning.

Falske annonser

Kart over forekomsten av «Agent Smith» Skjermbilde: Check Point Research

Denne metoden ligner på tidligere skadevare som Gooligan, Hummingbad og Copycat, og kan infisere alle smarttelefoner oppdatert etter Android 7.

Og selv om Check Points funn viser at skadevaren i dette tilfellet kun brukes til økonomisk vinning gjennom ondsinnede annonser, er skadepotensialet langt større.

Siden skadevaren skjuler appene fra appoversikten og erstatter eksisterende apper, kan den lett brukes til langt mer påtrengende og skadelige formål som å hente ut bankinformasjon og avlytting, skriver sikkerhetsselskapet.

Les også

Utnytter kjente svakheter

Ofrene lokkes til å laste ned et såkalt dropperprogram fra en tredjeparts appbutikk som for eksempel 9Apps. Programmet som inneholder skadevaren gir seg ut for å være gratis spill, nytteapper eller pornografi.

Deretter sjekker den om telefonen har lastet ned noen av appene fra angripernes forhåndsbestemte liste, som blant annet inkluderer WhatsApp, MXplayer, ShareIt.

Skadelige apper, fra «Agent Smith» eller annen skadevare, kan fjernes på følgende måte:

For Android:
1. Gå inn på «Innstillinger»
2. Klikk på «Apper» eller «Application Manager»
3. Bla til den mistenkte appen og avinstaller den.
Hvis den ikke vises, fjern gjerne alle nylig installerte apper.

For Iphone:
1. Gå inn på «Innstillinger»
2. Bla til «Safari»
3. På listen over alternativer, sørg for at «blokker popupvinduer» er valgt.
4. Skroll deretter ned og velg «Avansert», -> «Nettstedsdata».
5. Slett alle eventuelle ugjenkjennelige nettsteder på listen.

Skadevaren i dropperprogrammet dekrypteres, og utnytter deretter flere kjente Android-svakheter for å installere den delen av skadevaren som utfører og skjuler angrepet mot Android-appene.

Check Point påpeker at bruken av tredjeparts appbutikker gjør brukerne sårbare for angrep,  blant annet fordi disse ofte mangler sikkerhetstiltak som kreves for å blokkere apper med reklame.

Butikken 9Apps retter seg hovedsakelig mot indiske, arabiske og indonesiske brukere.

Google skal nå ha fjernet alle de falske appene fra Google Play-butikken. 

Kommentarer (12)

Kommentarer (12)
Til toppen