Androidでエージェントスミスマルウェアを見つけて削除する方法

スマートフォンを標的とする新しいマルウェアタイプが約2500万台のデバイスに感染し、そのうち1,500万台がインドにあります。このマルウェアは「エージェントスミス」と呼ばれています。これはAndroidモバイルオペレーティングシステムを対象としており、インストールされているアプリをユーザーに警告することなく悪意のあるバージョンに置き換えます。

エージェント・スミスを見つける方法、それを止める方法、Androidマルウェアから保護する方法は次のとおりです。

エージェントスミスマルウェアとは何ですか？

Agent Smithは、一連のAndroidの脆弱性を悪用して、正当な既存のアプリを悪意のある模倣に置き換えるモジュラーマルウェアです。 （とにかく、モジュラーマルウェアとは何ですか？）悪意のあるアプリはデータを盗みません。代わりに、置き換えられたアプリは、ユーザーに膨大な数の広告を表示したり、デバイスからクレジットを盗んで、すでに配信された広告の代金を支払ったりします。

このマルウェアには、ウイルスとして特徴付けられる悪名高いマトリックスキャラクターと同じ名前の「エージェントスミス」というモニカが付いています。チェック・ポイントの調査チームは、マルウェアが伝播するために使用する方法が、映画シリーズのエージェント・スミスの手法に類似していると考えています。

「マルウェアはユーザーがインストールしたアプリケーションをサイレントに攻撃するため、一般的なAndroidユーザーがそのような脅威に自分で対抗することは困難です」とチェックポイントソフトウェアテクノロジーズのモバイル脅威検出リサーチ責任者であるジョナサンシモノビッチ氏はブログ投稿で述べています。 「高度な脅威防止と脅威インテリジェンスを組み合わせながら、デジタル資産を保護するための「衛生優先」アプローチを採用することは、「エージェントスミス」のような侵入型モバイルマルウェア攻撃に対する最善の保護です。

さらに、エージェント・スミスは膨大な数のデバイスに感染しています。インドは圧倒的に最も多くの感染症を持っています。チェック・ポイントの調査によると、エージェント・スミスを搭載したデバイスは約1,500万台です。次に近い国はバングラデシュで、約250万台のデバイスが感染しています。米国では300,000を超えるエージェント・スミスの感染があり、英国では約137,000の感染がありました。

エージェントスミスマルウェアはどのように機能しますか？

Check Point Researchは、Agent Smithマルウェアは、中国のAndroid開発者が海外市場でアプリを公開および宣伝するのを支援する中国の企業に由来すると考えています。

このマルウェアは、サードパーティのアプリストア「9Apps」に最初に登場しました。サードパーティのアプリストアは、インド、アラビア、インドネシアのユーザーを対象としており、これらの地域での感染のかなりの数を説明しています。 （サードパーティのアプリストアからAndroidアプリをダウンロードしないようにするのは良い理由です。）

エージェントスミスマルウェアは3つのフェーズで機能します。

1. ドロッパーアプリは、被害者にマルウェアを自発的にインストールするように誘惑します。最初のドロッパーには暗号化された悪意のあるファイルが含まれており、通常は「ほとんど機能しない写真ユーティリティ、ゲーム、またはセックス関連のアプリ」の形式を取ります。
2. ドロッパーは、悪意のあるファイルを復号化してインストールします。このマルウェアは、Google Updater、Google Update for U、または「com.google.vending」を使用してその活動を偽装します。
3. コアマルウェアは、インストールされているアプリのリストを作成します。アプリが「獲物リスト」と一致する場合、ターゲットアプリに悪意のある広告モジュールをパッチし、単純なアプリの更新であるかのように元のアプリを置き換えます。

獲物リストには、WhatsApp、Opera、SwiftKey、Flipkart、Truecallerなどが含まれます。

興味深いことに、Agent Smithは、Janus、Bundle、Man-in-the-Diskなど、いくつかのAndroidの脆弱性をバンドルしています。この組み合わせにより、マルウェアの配布者が（広告を介して）現金化されたボットネットを構築できるようにする3段階の感染プロセスが作成されます。チェック・ポイントの調査チームは、エージェント・スミスがすべての脆弱性を「統合して武器化した最初のキャンペーン」であり、マルウェアを「悪意のあるもの」にしていると考えています。

エージェントスミスマルウェアモジュール

エージェントスミスマルウェアは、モジュール構造を使用して、次の要素で構成されるターゲットに感染します。

• ローダー
• コア
• ブート
• パッチ
• AdSDK
• アップデーター

ドロッパーは再パッケージ化された正規のアプリケーションであり、悪意のあるローダーも含まれています。

ローダーはコアモジュールを抽出して実行し、コアモジュールはマルウェアのコマンドアンドコントロール（C＆C）サーバーと通信します。 C＆Cサーバーは獲物リストを送信します。アプリが見つかった場合、マルウェアは脆弱性を利用して、再パッケージ化されたアプリケーションにブートモジュールを挿入します。

感染したアプリケーションが次に起動すると、ブートモジュールはパッチモジュールを実行します。パッチモジュールは、AdSDKモジュールを使用して広告を紹介し、収益の生成を開始します。

エージェントスミスのもう1つの興味深い要素は、1つの悪意のあるアプリにとどまらないことです。エージェントスミスが獲物リストで複数のアプリの一致を見つけた場合、それぞれを悪意のあるバージョンに置き換えます。エージェントスミスはまた、再パッケージ化されたアプリに悪意のある更新パッチを発行し、感染を継続させ、新しい広告パッケージを提供します。

GooglePlayからエージェントスミスアプリを削除する

エージェントスミスの主な感染点は、サードパーティのアプリストアである9Appsでした。しかし、GooglePlayは手つかずではありませんでした。チェック・ポイントは、エージェント・スミスのアクターに関連する「悪意のあるが休止状態の」ファイルのセットを含む11個のアプリをGooglePlayストアで発見しました。エージェントスミスのGooglePlayバージョンは、わずかに異なる伝播手法を使用していますが、最終目標は同じです。

Check Pointは悪意のあるアプリをGoogleに報告し、すべてがGooglePlayストアから削除されました。

Androidからエージェントスミスを見つけて削除する方法

エージェント・スミスをかなり簡単に見つけることができます。定期的に使用しているアプリが突然圧倒的な量の広告を出し始めた場合、それは何かが間違っていることの確かな兆候です。マルウェアが配信する広告は、終了するのが困難または不可能です。これは別の指標です。しかし、エージェントスミスはほとんど静かに広告を禁止しているため、アプリの微妙な変更を把握することは非常に困難です。

突然大量の広告を表示するアプリは、エージェントスミスのソロマーカーではないことに注意してください。他のAndroidマルウェアの種類は、収益を増やすために広告を提供します。お使いのデバイスには、ジョーカーなどのさまざまな種類のAndroidマルウェアが含まれている可能性があります。

何かがおかしいと思われる場合は、デバイスでマルウェア対策スキャンまたはウイルス対策スキャンを完了する必要があります。

最初の呼び出しポートはMalwarebytesSecurity 、優れたウイルス対策ツールのAndroidバージョン。 Malwarebytes Securityをダウンロードして、システム全体のスキャンを実行します。悪意のあるアプリをキャッチして削除する必要があります。

Agent Smithまたはその他のAndroidマルウェアが続く場合は、工場出荷時にリセットせずにAndroidマルウェアを削除するためのガイドを確認することを強くお勧めします。より多くのAndroidマルウェア除去アプリと、データを削除せずにデバイスをクリーンアップするためのステップバイステップガイドを備えています！