Android で Agent Smith マルウェアを検出して削除する方法

スマートフォンを標的とした新しいタイプのマルウェアにより、約 2,500 万台のデバイスが感染しました（そのうち 1,500 万台はインドにありました）。このマルウェアは Agent Smith と呼ばれます。エージェント スミスはAndroidモバイル オペレーティング システムを標的にし、ユーザーが知らない間にインストールされているアプリケーションを悪意のあるバージョンに置き換えます。

今日の記事では、Android デバイスを Agent Smith マルウェアから検出、防止、保護する方法を説明します。

エージェント スミス - Android デバイスに新たなマルウェアが出現

• Agent Smith マルウェアとは何ですか?
• Agent Smith マルウェアはどのように機能しますか?
• Agent Smith マルウェア モジュール
• Agent Smith アプリを Google Play から削除する
• Android から Agent Smith を検出して削除する方法

Agent Smith マルウェアとは何ですか?

Agent Smith は、Android の一連の脆弱性を悪用して、既存の正規のアプリケーションを悪意のある偽のバージョンに置き換えるモジュール型マルウェアです。悪意のあるアプリはデータを盗みません。代わりに、置き換えられたアプリはユーザーに大量の広告を表示したり、すでに表示されている広告の料金を支払うためにデバイスからクレジットを盗んだりします。

エージェント スミスは、有名な映画「マトリックス」の登場人物と同じ名前です。チェック・ポイントの研究チームは、このマルウェアが拡散するために使用する手法は、このヒット映画シリーズでエージェント・スミスが使用した手法と類似していると考えています。

Check Point Software Technologies のモバイル脅威検出研究責任者である Jonathan Shimanovich 氏によると、このマルウェアはユーザーがインストールしたアプリケーションを静かに攻撃するため、Android ユーザーが単独でこれらの脅威に対抗することが困難になっています。

さらに、エージェント スミスは多数のデバイスを感染させました。インドは最も攻撃されている国だ。 Check Point の調査によると、ここの約 1,500 万台のデバイスが Agent Smith に感染していることがわかっています。 2 位の国はバングラデシュで、約 250 万台のデバイスがこのマルウェアの被害に遭っています。米国ではエージェント・スミスの感染者数が30万人以上、英国では約13万7,000人となっている。

Agent Smith マルウェアはどのように機能しますか?

Check Point Research は、Agent Smith マルウェアの起源は中国企業であり、中国の Android 開発者が海外市場でアプリケーションを公開および宣伝するのを支援するために作成されたものであると考えています。

このマルウェアは、サードパーティのアプリ ストアに最初に出現しました。 9アプリ。このサードパーティ アプリ ストアは、インド、アラブ、インドネシアのユーザーをターゲットとしています (これが、これらの地域で Agent Smith に感染したデバイスの数が非常に多い理由を説明しています)。これが、サードパーティのアプリストアから Android アプリをダウンロードすることを避けるべき理由の 1 つです。

Agent Smith マルウェアは 3 つのフェーズで動作します。

1. ドロッパー アプリケーション (無料のスマートフォン アプリケーションの形式で、ウイルスを起動するために開発されたマルウェアの一種) は、被害者を誘導して自発的にマルウェアをインストールさせます。ドロッパーには当初、暗号化された悪意のあるファイルが含まれており、多くの場合、画像ユーティリティ、ゲーム、またはほとんどアクティブではない「アダルト」アプリケーションの形式をとります。

2. ドロッパーは悪意のあるファイルを復号化してインストールします。このマルウェアは、Google Updater、Google Update for U、または「com.google.vending」を使用してその活動を偽装します。

3. 主要なマルウェアは、インストールされているアプリケーションのリストを作成します。アプリがその「獲物」リストに一致すると、ターゲットのアプリにマルバタイジング モジュールを「パッチ」し、単一のアプリのアップデートであるかのように元のアプリを置き換えます。

「獲物」のリストには、WhatsApp、Opera、SwiftKey、Flipkart、Truecallerなどが含まれます。

興味深いことに、Agent Smith は、Janus、Bundle、Man-in-the-Disk など、いくつかの Android の脆弱性を組み合わせています。この組み合わせにより 3 段階の感染プロセスが作成され、マルウェア配布者が(広告を通じて) 収益を得るボットネットを構築できるようになります。 Check Point の研究チームは、Agent Smith がすべての脆弱性を統合して武器化し、このマルウェアを非常に危険なものにする最初のキャンペーンである可能性があると考えています。

Agent Smith マルウェア モジュール

Agent Smith マルウェアは、モジュール構造を使用して次のようなターゲットに感染します。

• ローダ
• 芯
• ブーツ
• パッチ
• AdSDK
• アップデーター

Dropper は、悪意のある Loader モジュールを含むように再パッケージ化された正規のアプリケーションです。ローダーはコア モジュールを抽出して実行し、次にマルウェアの C&C サーバーと通信します。次に、C&C サーバーは餌リストを送信します。適切なアプリケーションが見つかると、マルウェアは脆弱性を利用して、再パッケージ化されたアプリケーションにブート モジュールを挿入します。

感染したアプリが次回起動すると、ブート モジュールがパッチ モジュールを実行します。パッチ モジュールは、AdSDK モジュールを使用して広告を導入し、収益の生成を開始します。

Agent Smith のもう 1 つの興味深い要素は、悪意のあるアプリケーションが 1 つだけで終わらないことです。エージェント スミスが獲物リスト内で複数の一致するアプリケーションを見つけた場合、各アプリケーションを悪意のあるバージョンに置き換えます。

エージェント スミスは、再パッケージ化されたアプリケーション用の悪意のある更新パッチもリリースし、感染を継続し、新しい広告パッケージを提供しました。

Agent Smith アプリを Google Play から削除する

Agent Smith の主な感染ポイントは、サードパーティのアプリ ストアである 9Apps です。ただし、Google Playに触れるのはほぼ不可能です。 Check Point は、Google Play ストアで、エージェント スミスに関連する悪意のある非アクティブなファイルのコレクションを含む 11 のアプリケーションを発見しました。 Google Play バージョンのエージェント スミスは、少し異なるバイラル手法を使用していますが、目的は同じです。

Check Point は悪意のあるアプリを Google に報告し、すべて Google Play ストアから削除されました。

Android から Agent Smith を検出して削除する方法

エージェント スミスは簡単に見つけられます。頻繁に使用するアプリが突然過剰な量の広告を生成し始めた場合、それは何かが間違っていることを示す確実な兆候です。マルウェアが「配信」する広告は、削除するのが困難または不可能です (これも注意すべき兆候です)。しかし、Agent Smith は広告の発行においてほぼ黙って動作するため、アプリケーション上の非常に小さな変更を検出することは非常に困難です。

• Android で悪意のあるアプリケーションを検出する方法

突然大量の広告を表示するアプリケーションは、エージェント スミスの「独占性」を示すものではないことに注意してください。他の種類の Android マルウェアも、収益を増やすために広告を配信します。したがって、デバイスが別の種類の Android マルウェアに感染している可能性があります。

何か問題があると思われる場合は、ウイルス対策ソフトウェアを使用してデバイスのスキャンを実行する必要があります。

最初の提案は、優れたマルウェア対策ツールの Android バージョンである Malwarebytes Security です。 Malwarebytes Security をダウンロードし、システム全体のスキャンを実行します。デバイス上に存在する悪意のあるアプリケーションをキャプチャして削除します。

Malwarebytes Security をダウンロードします(無料、サブスクリプションが利用可能)。

詳細については、「Android スマートフォン向けの最高のウイルス対策アプリケーション」の記事を参照してください。

正しい選択が見つかることを願っています。