Một loại phần mềm độc hại mới nhắm mục tiêu vào điện thoại thông minh đã lây nhiễm khoảng 25 triệu thiết bị, 15 triệu trong số đó là ở Ấn Độ. Phần mềm độc hại được đặt tên là "Đặc vụ Smith". Nó nhắm mục tiêu đến hệ điều hành di động Android, thay thế các ứng dụng đã cài đặt bằng phiên bản độc hại mà không cảnh báo cho người dùng.
Dưới đây là cách bạn phát hiện Đặc vụ Smith, cách ngăn chặn nó và cách bảo vệ khỏi phần mềm độc hại Android.
Phần mềm độc hại Agent Smith là gì?
Agent Smith là một phần mềm độc hại mô-đun khai thác một loạt lỗ hổng của Android để thay thế các ứng dụng hợp pháp hiện có bằng một phần mềm giả mạo độc hại. (Dù sao thì phần mềm độc hại theo mô-đun là gì?) Ứng dụng độc hại không ăn cắp dữ liệu. Thay vào đó, các ứng dụng được thay thế hiển thị một số lượng lớn các quảng cáo cho người dùng hoặc lấy cắp tín dụng từ thiết bị để trả cho các quảng cáo đã được phân phát.
Phần mềm độc hại mang biệt danh "Đặc vụ Smith", cùng tên với nhân vật Ma trận khét tiếng có đặc điểm là virus. Nhóm nghiên cứu Check Point lý do rằng các phương pháp mà phần mềm độc hại sử dụng để lan truyền tương tự như các kỹ thuật của Đặc vụ Smith trong loạt phim.
"Phần mềm độc hại tấn công các ứng dụng do người dùng cài đặt một cách âm thầm, khiến người dùng Android thông thường khó có thể tự mình chống lại các mối đe dọa như vậy", Trưởng phòng Nghiên cứu Phát hiện Mối đe dọa Di động Jonathan Shimonovich của Check Point cho biết trong bài đăng trên blog. "Việc kết hợp tính năng ngăn chặn mối đe dọa nâng cao và thông minh về mối đe dọa trong khi áp dụng phương pháp 'vệ sinh trước tiên' để bảo vệ tài sản kỹ thuật số là cách bảo vệ tốt nhất chống lại các cuộc tấn công phần mềm độc hại di động xâm lấn như" Agent Smith ".
Hơn nữa, Đặc vụ Smith đã lây nhiễm cho một số lượng lớn các thiết bị. Cho đến nay, Ấn Độ có nhiều ca nhiễm nhất. Nghiên cứu của Check Point chỉ ra khoảng 15 triệu thiết bị mang Đặc vụ Smith. Quốc gia gần nhất tiếp theo là Bangladesh, với khoảng 2,5 triệu thiết bị bị nhiễm. Đã có hơn 300.000 ca nhiễm Agent Smith ở Mỹ và khoảng 137.000 ca ở Anh.
Phần mềm độc hại Agent Smith hoạt động như thế nào?
Check Point Research tin rằng phần mềm độc hại Agent Smith bắt nguồn từ một công ty Trung Quốc giúp các nhà phát triển Android Trung Quốc xuất bản và quảng bá ứng dụng ở thị trường nước ngoài.
Phần mềm độc hại lần đầu tiên xuất hiện trên cửa hàng ứng dụng của bên thứ ba "9Apps". Cửa hàng ứng dụng của bên thứ ba nhắm mục tiêu đến người dùng Ấn Độ, Ả Rập và Indonesia, giải thích cho số lượng đáng kể các ca lây nhiễm ở những khu vực đó. (Đó là lý do chính đáng để tránh tải xuống ứng dụng Android từ các cửa hàng ứng dụng của bên thứ ba.)
Phần mềm độc hại Agent Smith hoạt động theo ba giai đoạn.
- Một ứng dụng nhỏ giọt thu hút nạn nhân tự nguyện cài đặt phần mềm độc hại. Ống nhỏ giọt ban đầu chứa các tệp độc hại được mã hóa và thường có dạng "tiện ích ảnh, trò chơi hoặc ứng dụng liên quan đến tình dục hầu như không hoạt động."
- Ống nhỏ giọt giải mã và cài đặt các tệp độc hại. Phần mềm độc hại sử dụng Google Updater, Google Update for U hoặc "com.google.vending" để ngụy trang hoạt động của nó.
- Phần mềm độc hại cốt lõi tạo ra một danh sách các ứng dụng đã cài đặt. Nếu một ứng dụng khớp với "danh sách con mồi" của nó, nó sẽ vá ứng dụng mục tiêu bằng một mô-đun quảng cáo độc hại, thay thế ứng dụng gốc như thể đó là một bản cập nhật ứng dụng đơn giản.
Danh sách con mồi bao gồm WhatsApp, Opera, SwiftKey, Flipkart và Truecaller, trong số những thứ khác.
Điều thú vị là Đặc vụ Smith kết hợp một số lỗ hổng Android lại với nhau, bao gồm Janus, Bundle và Man-in-the-Disk. Sự kết hợp này tạo ra một quy trình lây nhiễm 3 giai đoạn cho phép nhà phân phối phần mềm độc hại xây dựng một mạng botnet kiếm tiền (thông qua quảng cáo). Nhóm nghiên cứu của Check Point tin rằng Đặc vụ Smith "có thể là chiến dịch đầu tiên được nhìn thấy tích hợp và vũ khí hóa" tất cả các lỗ hổng với nhau, làm cho phần mềm độc hại "độc hại như chúng xuất hiện".
Mô-đun Phần mềm độc hại Agent Smith
Phần mềm độc hại Agent Smith sử dụng cấu trúc mô-đun để lây nhiễm các mục tiêu, bao gồm:
- Trình tải
- Cốt lõi
- Khởi động
- Bản vá
- AdSDK
- Trình cập nhật
Ống nhỏ giọt là một ứng dụng hợp pháp được đóng gói lại cũng chứa trình tải độc hại.
Bộ tải trích xuất và chạy mô-đun Core, mô-đun này sẽ giao tiếp với máy chủ kiểm soát và lệnh (C&C) của phần mềm độc hại. Máy chủ C&C gửi danh sách con mồi. Nếu tìm thấy bất kỳ ứng dụng nào, phần mềm độc hại sẽ sử dụng lỗ hổng để đưa mô-đun Khởi động vào ứng dụng được đóng gói lại.
Lần tiếp theo khi ứng dụng bị nhiễm bệnh khởi động, mô-đun Khởi động sẽ chạy mô-đun Patch, mô-đun này sử dụng mô-đun AdSDK để giới thiệu các quảng cáo và bắt đầu tạo ra doanh thu.
Một yếu tố thú vị khác của Đặc vụ Smith là nó không chỉ dừng lại ở một ứng dụng độc hại. Nếu Agent Smith tìm thấy nhiều ứng dụng trùng khớp trong danh sách con mồi, nó sẽ thay thế mỗi ứng dụng bằng một phiên bản độc hại. Đặc vụ Smith cũng phát hành các bản vá cập nhật độc hại cho các ứng dụng đóng gói lại, giữ cho sự lây nhiễm tiếp tục và phân phát các gói quảng cáo mới.
Xóa các ứng dụng Agent Smith khỏi Google Play
Điểm lây nhiễm chính của Đặc vụ Smith là cửa hàng ứng dụng của bên thứ ba, 9Apps. Tuy nhiên, Google Play không bị ảnh hưởng. Check Point đã phát hiện ra 11 ứng dụng trên cửa hàng Google Play có chứa một bộ tệp "độc hại nhưng không hoạt động" liên quan đến diễn viên Đặc vụ Smith. Các phiên bản Google Play của Agent Smith sử dụng kỹ thuật truyền bá hơi khác nhưng có cùng mục tiêu cuối cùng.
Check Point đã báo cáo các ứng dụng độc hại cho Google và tất cả đều đã bị xóa khỏi cửa hàng Google Play.
Cách Phát hiện và Xóa Đặc vụ Smith khỏi Android
Bạn có thể nhận ra Đặc vụ Smith khá dễ dàng. Nếu các ứng dụng được sử dụng thường xuyên của bạn đột nhiên bắt đầu tạo ra một lượng lớn quảng cáo, thì đó là một dấu hiệu chắc chắn có điều gì đó không ổn. Các quảng cáo mà phần mềm độc hại phân phát rất khó hoặc không thể thoát, đó là một chỉ báo khác. Nhưng vì Đặc vụ Smith gần như âm thầm ngăn chặn các quảng cáo, nên việc nhận ra những thay đổi tinh vi đối với ứng dụng của bạn là điều vô cùng khó khăn.
Xin lưu ý rằng các ứng dụng đột nhiên hiển thị một lượng lớn quảng cáo không phải là dấu ấn riêng của Đặc vụ Smith. Các loại phần mềm độc hại Android khác phục vụ quảng cáo để tăng doanh thu. Thiết bị của bạn có thể có một loại phần mềm độc hại Android khác, chẳng hạn như Joker.
Nếu bạn nghi ngờ có điều gì đó không ổn, bạn nên hoàn tất quá trình quét chống phần mềm độc hại hoặc phần mềm diệt vi rút trên thiết bị của mình.
Cổng gọi đầu tiên là Malwarebytes Security , phiên bản Android của công cụ chống phần mềm độc hại tuyệt vời. Tải xuống Malwarebytes Security và chạy quét toàn bộ hệ thống. Nó sẽ bắt và xóa mọi ứng dụng độc hại.
Nếu Agent Smith hoặc phần mềm độc hại Android khác vẫn tiếp diễn, chúng tôi thực sự khuyên bạn nên xem hướng dẫn của chúng tôi để xóa phần mềm độc hại Android mà không cần khôi phục cài đặt gốc. Nó có nhiều ứng dụng xóa phần mềm độc hại Android hơn cũng như hướng dẫn từng bước để làm sạch thiết bị của bạn --- mà không xóa bất kỳ dữ liệu nào!