มัลแวร์ประเภทใหม่ที่กำหนดเป้าหมายไปยังสมาร์ทโฟนได้แพร่ระบาดในอุปกรณ์ 25 ล้านเครื่อง โดย 15 ล้านเครื่องอยู่ในอินเดีย มัลแวร์นี้มีชื่อว่า "Agent Smith" โดยกำหนดเป้าหมายไปยังระบบปฏิบัติการมือถือ Android โดยแทนที่แอปที่ติดตั้งด้วยเวอร์ชันที่เป็นอันตรายโดยไม่แจ้งเตือนผู้ใช้
นี่คือวิธีที่คุณพบ Agent Smith วิธีหยุด และวิธีป้องกันมัลแวร์ Android
มัลแวร์ Agent Smith คืออะไร
Agent Smith เป็นมัลแวร์โมดูลาร์ที่ใช้ประโยชน์จากช่องโหว่ของ Android เพื่อแทนที่แอปที่มีอยู่จริงด้วยการเลียนแบบที่เป็นอันตราย (มัลแวร์โมดูลาร์คืออะไร?) แอปที่เป็นอันตรายจะไม่ขโมยข้อมูล แทนที่แอปที่แทนที่จะแสดงโฆษณาจำนวนมากต่อผู้ใช้หรือขโมยเครดิตจากอุปกรณ์เพื่อชำระค่าโฆษณาที่แสดงไปแล้ว
มัลแวร์มีชื่อเล่นว่า "Agent Smith" ซึ่งเป็นชื่อเดียวกับอักขระ Matrix ที่น่าอับอายซึ่งมีลักษณะเป็นไวรัส ทีมวิจัยของ Check Point ให้เหตุผลว่าวิธีที่มัลแวร์ใช้ในการเผยแพร่นั้นคล้ายคลึงกับเทคนิคของ Agent Smith ในซีรีส์ภาพยนตร์
Jonathan Shimonovich หัวหน้าฝ่ายวิจัยการตรวจจับภัยคุกคามบนอุปกรณ์เคลื่อนที่กล่าวว่า "มัลแวร์โจมตีแอปพลิเคชันที่ผู้ใช้ติดตั้งไว้ เป็นการท้าทายสำหรับผู้ใช้ Android ทั่วไปในการต่อสู้กับภัยคุกคามดังกล่าวด้วยตนเอง" "การผสมผสานการป้องกันภัยคุกคามขั้นสูงและความชาญฉลาดของภัยคุกคามในขณะที่ใช้แนวทาง 'ถูกสุขอนามัยเป็นอันดับแรก' เพื่อปกป้องทรัพย์สินดิจิทัลคือการป้องกันที่ดีที่สุดจากการโจมตีมัลแวร์บนอุปกรณ์พกพา เช่น "Agent Smith"
นอกจากนี้ Agent Smith ยังติดไวรัสอุปกรณ์จำนวนมาก อินเดียมีผู้ติดเชื้อมากที่สุด การวิจัย Check Point ระบุว่ามีอุปกรณ์ 15 ล้านเครื่องที่มี Agent Smith ประเทศที่ใกล้ที่สุดรองลงมาคือบังกลาเทศ โดยมีอุปกรณ์ติดเชื้อประมาณ 2.5 ล้านเครื่อง มีผู้ติดเชื้อกว่า 300,000 รายในสหรัฐฯ และประมาณ 137,000 รายในสหราชอาณาจักร
มัลแวร์ Agent Smith ทำงานอย่างไร
Check Point Research เชื่อว่ามัลแวร์ Agent Smith มาจากบริษัทจีนที่ช่วยนักพัฒนา Android ชาวจีนในการเผยแพร่และโปรโมตแอปในตลาดต่างประเทศ
มัลแวร์ปรากฏตัวครั้งแรกในแอพสโตร์ของบริษัทอื่น "9Apps" ร้านแอปของบุคคลที่สามกำหนดเป้าหมายผู้ใช้ชาวอินเดีย อาหรับ และชาวอินโดนีเซีย โดยอธิบายถึงจำนวนการติดไวรัสในพื้นที่เหล่านั้นอย่างมีนัยสำคัญ (เป็นเหตุผลที่ดีที่จะหลีกเลี่ยงการดาวน์โหลดแอป Android จากร้านแอปของบุคคลที่สาม)
มัลแวร์ Agent Smith ทำงานในสามขั้นตอน
- แอปหยดล่อเหยื่อให้ติดตั้งมัลแวร์โดยสมัครใจ หยดเริ่มต้นประกอบด้วยไฟล์ที่เป็นอันตรายที่เข้ารหัส และมักจะอยู่ในรูปแบบของ "ยูทิลิตี้รูปภาพ เกม หรือแอพเกี่ยวกับเพศที่แทบไม่ใช้งานได้"
- ดรอปเปอร์ถอดรหัสและติดตั้งไฟล์ที่เป็นอันตราย มัลแวร์ใช้ Google Updater, Google Update สำหรับ U หรือ "com.google.vending" เพื่อปิดบังกิจกรรม
- มัลแวร์หลักสร้างรายการแอปที่ติดตั้ง หากแอปตรงกับ "รายการเหยื่อ" แอปดังกล่าวจะแก้ไขแอปเป้าหมายด้วยโมดูลโฆษณาที่เป็นอันตราย แทนที่แอปเดิมราวกับว่าเป็นการอัปเดตแอปอย่างง่าย
รายชื่อเหยื่อรวมถึง WhatsApp, Opera, SwiftKey, Flipkart และ Truecaller เป็นต้น
สิ่งที่น่าสนใจคือ Agent Smith ได้รวมช่องโหว่ของ Android หลายรายการเข้าด้วยกัน รวมถึง Janus, Bundle และ Man-in-the-Disk การรวมกันสร้างกระบวนการติดไวรัส 3 ขั้นตอนทำให้ผู้เผยแพร่มัลแวร์สามารถสร้างบ็อตเน็ตที่สร้างรายได้ (ผ่านโฆษณา) ทีมวิจัยของ Check Point เชื่อว่า Agent Smith เป็น "อาจเป็นแคมเปญแรกที่เห็นว่าผสานรวมและสร้างอาวุธ" ช่องโหว่ทั้งหมดไว้ด้วยกัน ทำให้มัลแวร์ "เป็นอันตรายอย่างยิ่ง"
โมดูลมัลแวร์ Agent Smith
มัลแวร์ Agent Smith ใช้โครงสร้างโมดูลาร์เพื่อแพร่เชื้อไปยังเป้าหมาย ซึ่งประกอบด้วย:
- ตัวโหลด
- แกน
- บูต
- แพทช์
- AdSDK
- ตัวอัปเดต
ดรอปเปอร์เป็นแอปพลิเคชั่นที่ถูกต้องตามกฎหมายที่บรรจุใหม่ซึ่งมีตัวโหลดที่เป็นอันตรายด้วย
ตัวโหลดจะแยกและรันโมดูล Core ซึ่งจะสื่อสารกับเซิร์ฟเวอร์คำสั่งและการควบคุมมัลแวร์ (C&C) เซิร์ฟเวอร์ C&C ส่งรายชื่อเหยื่อ หากพบแอปใดๆ มัลแวร์จะใช้ช่องโหว่เพื่อฉีดโมดูล Boot ลงในแอปพลิเคชันที่จัดแพ็กเกจใหม่
ครั้งต่อไปที่แอปพลิเคชันที่ติดไวรัสเริ่มทำงาน โมดูล Boot จะเรียกใช้โมดูล Patch ซึ่งใช้โมดูล AdSDK เพื่อแนะนำโฆษณาและเริ่มสร้างรายได้
องค์ประกอบที่น่าสนใจอีกประการของ Agent Smith คือมันไม่ได้หยุดอยู่แค่แอปที่เป็นอันตรายตัวเดียว หาก Agent Smith พบแอปที่ตรงกันหลายรายการในรายชื่อเหยื่อ แอปจะแทนที่แอปแต่ละแอปด้วยเวอร์ชันที่เป็นอันตราย Agent Smith ยังออกแพตช์อัปเดตที่เป็นอันตรายให้กับแอปที่จัดแพ็กเกจใหม่ ทำให้การติดไวรัสดำเนินต่อไป และให้บริการแพ็คเกจโฆษณาใหม่
การนำแอป Agent Smith ออกจาก Google Play
จุดสำคัญของการติดเชื้อสำหรับ Agent Smith คือร้านแอปบุคคลที่สาม 9Apps อย่างไรก็ตาม Google Play ไม่ได้ถูกแตะต้อง Check Point ค้นพบ 11 แอพใน Google Play Store ที่มีชุดไฟล์ที่ "เป็นอันตรายแต่อยู่เฉยๆ" ที่เกี่ยวข้องกับนักแสดง Agent Smith Agent Smith เวอร์ชัน Google Play ใช้เทคนิคการเผยแพร่ที่แตกต่างกันเล็กน้อยแต่มีเป้าหมายสุดท้ายเหมือนกัน
Check Point รายงานแอปที่เป็นอันตรายไปยัง Google และทั้งหมดถูกลบออกจาก Google Play Store
วิธีระบุและลบ Agent Smith ออกจาก Android
คุณสามารถมองเห็น Agent Smith ได้ค่อนข้างง่าย หากแอพที่ใช้เป็นประจำของคุณเริ่มผลิตโฆษณาจำนวนมากอย่างกะทันหัน แสดงว่ามีบางอย่างผิดปกติ โฆษณาที่มัลแวร์แสดงนั้นยากหรือไม่สามารถออกได้ ซึ่งเป็นอีกตัวบ่งชี้หนึ่ง แต่เนื่องจาก Agent Smith แทบจะปิดกั้นโฆษณาอย่างเงียบๆ การเปลี่ยนแปลงแอปของคุณเพียงเล็กน้อยจึงเป็นเรื่องยากอย่างเหลือเชื่อ
โปรดทราบว่าแอปที่แสดงโฆษณาจำนวนมากในทันใดนั้นไม่ใช่เครื่องหมายแสดงเดี่ยวของ Agent Smith มัลแวร์ Android ประเภทอื่นๆ แสดงโฆษณาเพื่อเพิ่มรายได้ อุปกรณ์ของคุณอาจมีมัลแวร์ Android ประเภทอื่น เช่น Joker
หากคุณสงสัยว่ามีบางอย่างผิดปกติ คุณควรทำการสแกนมัลแวร์หรือโปรแกรมป้องกันไวรัสบนอุปกรณ์ของคุณ
พอร์ตการโทรแรกคือ Malwarebytes Security เครื่องมือป้องกันมัลแวร์ที่ยอดเยี่ยมเวอร์ชัน Android ดาวน์โหลด Malwarebytes Security และเรียกใช้การสแกนระบบแบบเต็ม ควรตรวจจับและนำแอปที่เป็นอันตรายออก
หาก Agent Smith หรือมัลแวร์ Android อื่นๆ ยังคงอยู่ เราขอแนะนำอย่างยิ่งให้ตรวจสอบคำแนะนำในการลบมัลแวร์ Android โดยไม่ต้องรีเซ็ตเป็นค่าจากโรงงาน มันมีแอพกำจัดมัลแวร์ Android เพิ่มเติมรวมถึงคำแนะนำทีละขั้นตอนในการทำความสะอาดอุปกรณ์ของคุณโดยไม่ต้องลบข้อมูลใด ๆ !
