'Agent Smith' Android Malware Secretly Replacing WhatsApp and Others Infects 25 Million Devices

Android设备对恶意软件威胁和各种恶意攻击并不陌生，主要是通过受感染的应用程序。不幸的是，对于Android设备，用户倾向于从Google Play商店或各种第三方来源获取应用程序恶意应用程序，而iPhone用户通常从受控且主要是无恶意软件的Apple App Store环境获取应用程序。事实证明，最新一批受恶意软件困扰的应用程序是以被称为Agent Smith的恶意软件的形式出现的，该软件以秘密取代Android设备上的WhatsApp应用程序而闻名。

Agent Smith Android恶意软件希望利用操作系统中的漏洞，它会在没有用户注意的情况下自动替换合法应用程序。 Agent Smith被发现秘密取代的主要应用程序是WhatsApp，Flipkart，Opera Mini，据说是来自联想和Swiftkey的应用程序。

有关WhatsApp及其被Agent Smith恶意软件利用的一个特别注意事项是WhatsApp在180多个国家/地区拥有超过15亿活跃用户。但是，这些用户中只有一部分是Android用户，这导致Agent Smith应用程序迄今为止影响了超过2500万台设备。

特工史密斯来自哪里？

Check Point是第一批发现Agent Smith恶意软件的人之一，它从流行的The Matrix系列电影中得到了它的聪明名字，因为它的行为有点类似于电影中名为"Agent Smith"的角色。

还怀疑在Agent Smith恶意软件的核心模块上使用默认的应用列表来搜索受感染的设备。 Check Point揭示的app命令和控制服务器列表如下：

• WhatsApp的
• lenovo.anyshare.gps
• mxtech.videoplayer.ad
• jio.jioplay.tv
• jio.media.jiobeats
• jiochat.jiochatapp
• jio.join
• good.gamecollection
• opera.mini.native
• startv.hotstar
• meitu.beautyplusme
• domobile.applock
• touchtype.swiftkey
• flipkart.android
• cn.xender
• ETERNO
• truecaller

至于恶意软件的起源，计算机安全研究人员认为，一家帮助中国Android开发者的中国互联网公司在其他国外市场上发布和营销应用程序。该恶意软件最初是在第三方应用商店9Apps上发现的，主要针对孟加拉国，巴基斯坦和印度的Android用户。然而，在2500万台受感染的Android设备中，在美国检测到超过300,000个，在英国检测到超过130,000个。

特工史密斯有一个欺骗性的议程

在某些情况下，Check Point的研究人员透露，特工史密斯伪装成与谷歌相关的应用程序，进一步避免了Android用户的任何怀疑。此外，由Agent Smith恶意软件执行的攻击最终会在受感染的设备上显示欺诈性广告，从而可能允许恶意软件背后的网络犯罪分子通过广告展示或点击广告来赚钱。

至于Agent Smith恶意软件的构成，研究人员对威胁样本进行了比较，并与Janus漏洞进行了类似的比较，该漏洞允许威胁行为者用受感染的版本替换任何应用程序. 在Windows PC ， Mac计算机和移动设备上 ，这种方法过去曾被无数次使用 ，其中应用程序伪装成合法应用程序，只有在没有用户意识的情况下才能访问系统并执行恶意操作。

目前，应用程序开发人员已经了解Agent Smith威胁，但最终Android用户需要采取适当的预防措施来缓解此类攻击。 Android用户可以做的一件事就是限制从第三方下载应用程序，并且只能从受信任的来源获取应用程序。此外，用户可以阻止加载广告软件的应用或启用其他安全功能。无论哪种方式，我们都没有看到史密斯特工程师或其他新兴恶意软件威胁的最后一个，我们必须保持警惕，因为我们不想陷入这个矩阵。