Beveiligingsonderzoekers van Check Point hebben een nieuwe malware genaamd ‘Agent Smith’ ontdekt. De malware, vermomd als Google-gerelateerde applicatie, heeft wereldwijd ruim 25 miljoen apparaten geïnfecteerd, waarvan alleen al zo’n 15 miljoen in India.
Agent Smith vervangt automatisch geïnstalleerde apps door malafide versies, zonder dat de gebruiker iets in de gaten heeft. De malware maakt misbruik van bekende Android-kwetsbaarheden. De malafide apps zouden door een nauwe samenwerking tussen Check Point en Google inmiddels niet meer aanwezig zijn in de Play Store.
Spionage
Als de malware eenmaal toegang tot een apparaat heeft verkregen, vertoont het frauduleuze advertenties voor financieel gewin. Bovendien kan Agent Smith eenvoudig worden gebruikt voor het stelen van bankgegevens of spionage. Volgens Check Point toont de malware gelijkenissen met malware als Gooligan, Hummingbad en CopyCat.
“De malware valt geïnstalleerde applicaties ongemerkt aan, waardoor het voor gewone Android-gebruikers een uitdaging is om dergelijke bedreigingen zelfstandig te bestrijden. Een combinatie van geavanceerde threat prevention en threat intelligence, naast een ‘hygiene first’-aanpak voor de bescherming van digitale assets, vormt de beste verdediging tegen mobiele malware-aanvallen zoals Agent Smith”, zegt Jonathan Shimonovich, hoofd van Mobile Threat Detection Research bij Check Point.
Dropper-app
Volgens Shimonovich zouden gebruikers alleen apps van betrouwbare app-stores moeten downloaden. Dit om het risico op een infectie te verkleinen. Schadelijke code zit meestal verborgen in een zogeheten dropper-app. App-stores van derde partijen zouden niet altijd de juiste security-maatregelen nemen om apps met adware te blokkeren.
Ook Agent Smith is oorspronkelijke gedownload uit de veelgebruikte third party app-store genaamd 9Apps. De malware richt zich met name op Hindoestaans, Arabisch, Russisch en Indonesisch sprekende mensen. Hoewel de meeste slachtoffers zich in India bevinden, zijn ook Aziatische landen als Pakistan en Bangladesh getroffen. Bovendien zijn ook flink veel apparaten geïnfecteerd in het Verenigd Koninkrijk, Australië en de VS.
Gerelateerd: Android-backdoor kwam in firmware terecht via supply chain