Comment repérer et supprimer les logiciels malveillants Agent Smith sur Android

xavier-malware-android

Un nouveau type de malware ciblant les smartphones a infecté quelque 25 millions d’appareils, dont 15 millions en Inde. Le malware est surnommé “Agent Smith”. Il cible le système d’exploitation mobile Android, remplaçant les applications installées par une version malveillante sans alerter l’utilisateur.

Voici comment vous repérez l’agent Smith, comment l’arrêter et comment vous protéger contre les logiciels malveillants Android.

Qu’est-ce qu’un logiciel malveillant Agent Smith ?

Agent Smith est un logiciel malveillant modulaire qui exploite une série de vulnérabilités Android pour remplacer les applications existantes légitimes par une imitation malveillante. (Qu’est-ce qu’un logiciel malveillant modulaire, au fait ?) L’application malveillante ne vole pas de données. Au lieu de cela, les applications remplacées affichent un grand nombre de publicités à l’utilisateur ou volent du crédit à l’appareil pour payer les publicités déjà diffusées.

Le malware porte le surnom “Agent Smith”, le même nom que le tristement célèbre personnage de Matrix qui est caractérisé comme un virus. L’équipe de recherche de Check Point pense que les méthodes utilisées par le logiciel malveillant pour se propager sont similaires aux techniques de l’agent Smith dans la série de films.

“Le logiciel malveillant attaque silencieusement les applications installées par l’utilisateur, ce qui rend difficile pour les utilisateurs courants d’Android de lutter seuls contre ces menaces”, déclare Jonathan Shimonovich, responsable de la recherche sur la détection des menaces mobiles chez Check Point Software Technologies, dans le billet de blog. “Combiner la prévention avancée des menaces et les renseignements sur les menaces tout en adoptant une approche “d’abord l’hygiène” pour protéger les actifs numériques est la meilleure protection contre les attaques de logiciels malveillants mobiles envahissants comme “Agent Smith”.

De plus, l’agent Smith a infecté un grand nombre d’appareils. L’Inde a de loin le plus d’infections. Les recherches de Check Point indiquent que quelque 15 millions d’appareils transportent l’agent Smith. Le prochain pays le plus proche est le Bangladesh, avec environ 2,5 millions d’appareils infectés. Il y a eu plus de 300 000 infections par l’agent Smith aux États-Unis et environ 137 000 au Royaume-Uni.

agent smith liste des infections

Comment fonctionne le logiciel malveillant Agent Smith ?

Check Point Research pense que le logiciel malveillant Agent Smith provient d’une société chinoise qui aide les développeurs chinois d’Android à publier et à promouvoir des applications sur les marchés étrangers.

Le logiciel malveillant est apparu pour la première fois sur la boutique d’applications tierce “9Apps”. La boutique d’applications tierce cible les utilisateurs indiens, arabes et indonésiens, expliquant le nombre important d’infections dans ces régions. (C’est une bonne raison d’éviter de télécharger des applications Android à partir de magasins d’applications tiers.)

Le logiciel malveillant Agent Smith fonctionne en trois phases.

  1. Une application dropper incite la victime à installer volontairement le logiciel malveillant. Le compte-gouttes initial contient des fichiers malveillants cryptés et prend généralement la forme “d’un utilitaire photo, de jeux ou d’applications liées au sexe qui fonctionnent à peine”.
  2. Le compte-gouttes décrypte et installe les fichiers malveillants. Le logiciel malveillant utilise Google Updater, Google Update for U ou “com.google.vending” pour dissimuler son activité.
  3. Le logiciel malveillant principal crée une liste des applications installées. Si une application correspond à sa “liste de proies”, elle corrige l’application cible avec un module publicitaire malveillant, remplaçant l’original comme s’il s’agissait d’une simple mise à jour de l’application.
agent smith comment fonctionnent les logiciels malveillants

La liste des proies comprend WhatsApp, Opera, SwiftKey, Flipkart et Truecaller, entre autres.

Fait intéressant, Agent Smith regroupe plusieurs vulnérabilités Android, notamment Janus, Bundle et Man-in-the-Disk. La combinaison crée un processus d’infection en 3 étapes permettant au distributeur de logiciels malveillants de créer un botnet monétisé (via des publicités). L’équipe de recherche de Check Point pense que l’agent Smith est “probablement la première campagne vue qui intègre et militarise” toutes les vulnérabilités ensemble, rendant le malware “aussi malveillant que possible”.

Modules de logiciels malveillants Agent Smith

Le malware Agent Smith utilise une structure modulaire pour infecter les cibles, consistant en :

  • Chargeur
  • Coeur
  • Botte
  • Pièce
  • AdSDK
  • Mise à jour
structure modulaire de l'agent smith malware

Le dropper est une application légitime reconditionnée qui contient également le chargeur malveillant.

Le chargeur extrait et exécute le module Core, qui à son tour communique avec le serveur de commande et de contrôle (C&C) des logiciels malveillants. Le serveur C&C envoie la liste des proies. Si des applications sont trouvées, le logiciel malveillant utilise une vulnérabilité pour injecter le module de démarrage dans l’application reconditionnée.

Au prochain démarrage de l’application infectée, le module Boot exécute le module Patch, qui utilise le module AdSDK pour introduire les publicités et commencer à générer des revenus.

Un autre élément intéressant d’Agent Smith est qu’il ne s’arrête pas à une seule application malveillante. Si l’agent Smith trouve plusieurs correspondances d’applications dans la liste des proies, il remplacera chacune d’entre elles par une version malveillante. L’agent Smith publie également des correctifs de mise à jour malveillants pour les applications reconditionnées, en maintenant l’infection et en proposant de nouveaux packages publicitaires.

Suppression des applications Agent Smith de Google Play

Le principal point d’infection pour l’agent Smith était le magasin d’applications tiers, 9Apps. Cependant, Google Play n’a pas été épargné. Check Point a découvert 11 applications sur le Google Play Store contenant un ensemble de fichiers “malveillants mais dormants” relatifs à l’acteur Agent Smith. Les versions Google Play d’Agent Smith utilisent une technique de propagation légèrement différente mais ont le même objectif final.

Check Point a signalé les applications malveillantes à Google et toutes ont été supprimées du Google Play Store.

Comment repérer et supprimer l’agent Smith d’Android

Vous pouvez repérer l’agent Smith assez facilement. Si vos applications régulièrement utilisées commencent soudainement à produire une quantité écrasante de publicités, c’est un signe certain que quelque chose ne va pas. Les publicités diffusées par le logiciel malveillant sont difficiles ou impossibles à quitter, ce qui est un autre indicateur. Mais comme l’agent Smith agit presque silencieusement en interdisant les publicités, il est incroyablement difficile de détecter les changements subtils apportés à vos applications.

Veuillez noter que les applications affichant soudainement un énorme volume de publicités ne sont pas le seul marqueur de l’agent Smith. D’autres types de logiciels malveillants Android diffusent des publicités pour augmenter les revenus. Votre appareil peut avoir un autre type de malware Android, comme Joker.

Si vous pensez que quelque chose ne va pas, vous devez effectuer une analyse antimalware ou antivirus sur votre appareil.

La première escale est Sécurité Malwarebytes, la version Android de l’excellent outil antimalware. Téléchargez Malwarebytes Security et exécutez une analyse complète du système. Il devrait intercepter et supprimer toutes les applications malveillantes.

Télécharger:Sécurité Malwarebytes(Gratuit, abonnement disponible)

Si l’agent Smith ou d’autres logiciels malveillants Android persistent, nous vous conseillons vivement de consulter notre guide pour supprimer les logiciels malveillants Android sans réinitialisation d’usine. Il propose plus d’applications de suppression de logiciels malveillants Android ainsi qu’un guide étape par étape pour nettoyer votre appareil — sans supprimer aucune donnée !

Leave a Comment

Your email address will not be published. Required fields are marked *