Agent Smith, il virus che colpisce i dispositivi mobile

DiMarco Nisticò

PUBBLICATO IL 12 Lug 2019 ALLE 18:16 - AGGIORNATO IL 4 Aprile 2020 ALLE 17:58 #sicurezza

Nella celeberrima trilogia di Matrix, Agent Smith descrive la razza umana come una specie che si moltiplica fino a consumare ogni risorsa. Nella realtà, “Agent Smith” è un vero e proprio malware mobile che si sta diffondendo a ritmi allarmanti.

Check Point Research ha recentemente scoperto una nuova variante del malware mobile che ha già infettato circa 25 milioni di dispositivi, mentre l’utente rimane completamente ignaro. Camuffata come un’applicazione collegata a Google, la parte centrale del malware sfrutta varie vulnerabilità Android già note e sostituisce automaticamente le applicazioni installate sul dispositivo con versioni dannose senza che l’utente faccia nulla.

Soprannominato Agent Smith, il malware attualmente utilizza il suo ampio accesso alle risorse del dispositivo per mostrare annunci a scopo di lucro, naturalmente falsi. Questa attività assomiglia a precedenti campagne malware quali GooliganHummingbad e CopyCat e può infettare tutti gli smartphone aggiornati anche oltre Android 7.

Tuttavia, potrebbe essere facilmente utilizzato per scopi molto più delicati e dannosi, come il furto delle credenziali bancarie e le intercettazioni. Infatti, grazie alla sua capacità di nascondersi e di impersonare le app più popolari, ci sono infinite possibilità che questo tipo di malware danneggi il dispositivo di un utente.

Nel panorama delle minacce mobile, la migliore protezione contro gli attacchi invasivi di malware mobile come Agent Smith consiste nell’utilizzare tecnologie avanzate di threat prevention, basate su informazioni avanzate sulle minacce, combinate con un approccio hygiene first per proteggere le risorse digitali.

Come agisce Agent Smith

agent smith virus

Agent Smith colpisce i dispositivi seguendo esattamente tre fasi.

Nella prima fase, l’utente viene indotto a scaricare un’applicazione cosiddetta “esca” da uno store come 9Apps. Tali applicazioni sono spesso mascherate da giochi gratuiti, applicazioni di uso quotidiano o anche programmi ufficiali. Al loro interno contengono un codice malevolo che verifica se sul dispositivo attaccato siano installate applicazioni come WhatsApp, Messenger e tutte quelle app utilizzate dalla maggioranza degli utenti. Se le app si trovano su una lista predefinita, allora l’attacco può proseguire.

Si passa dunque alla seconda fase, dove avviene l’attacco vero e proprio. Agent Smith quindi sfrutta alcune vulnerabilità del sistema per poter installare il malware nel dispositivo, senza che l’utente si accorga di nulla.

Nella terza e ultima fase, ormai il malware ha il pieno possesso del dispositivo. Quindi estrae i file apk di applicazioni innocue ed inietta il payload all’interno di esse, così che una volta l’utente installerà nuovamente l’app si ritroverà con il virus pronto a colpire.

Cosa fare se si viene colpiti da Agent Smith

Per rimuovere le app dannose, probabilmente colpite da Agent Smith, Check Point consiglia di seguire i seguenti passaggi:

Per Android:

  • Menù Impostazioni
  • Cliccare su App o Application Manager
  • Spostarsi sull’app sospetta e disinstallarla
  • Se non si trova, rimuovere tutte le applicazioni installate di recente

Per iPhone:

  • Menù Impostazioni
  • Scorrere fino a Safari
  • Nell’elenco delle opzioni, assicurarsi che sia selezionato “Block Pop-ups”
  • Poi proseguire su Avanzate -> Dati del sito web
  • Per tutti i siti elencati non riconosciuti, effettuare la cancellazione

Il nostro consiglio inoltre è quello di non utilizzare store di terze parti per il download o l’acquisto di app ma prediligete sempre quelli ufficiali, come Google Play Store o App Store.

La parola agli esperti

Abbiamo chiesto maggiori informazioni riguardo Agent Smith e ci ha risposto direttamente Pierluigi Torriani, Security Engineering Manager Italy di Check Point. Ecco le risposte alle nostre domande:

1) Come poter riconoscere le eventuali app colpite da Agent Smith se si
camuffano come app ufficiali?

Considerando che l’app malevola utilizza gli ads (advertisements), una delle possibilità è di cercare, per quanto possibile, di non installare app che presentano ads, oppure si può capire se, improvvisamente, un’applicazione inizia a mostrare ads che prima non aveva. Il malware identificato è di una nuova tipologia e molto evoluto rispetto a molti altri, quindi riconoscerlo diventa veramente difficile anche agli occhi di un esperto. Inoltre, la prima attività malevola è quella di nascondere l’icona di installazione dell’app stessa. Un’ulteriore verifica che l’utente potrebbe effettuare in caso di comportamenti anomali di alcune app è quello di rimuovere tutte le recenti app installate.

2) Quali azioni è possibile eseguire in maniera preventiva per evitare di essere colpiti?

Agent Smith utilizza un metodo di infezione subdolo, che è quello di sostituire le app dei dispositivi esistenti con la versione dannosa di tali app. Esempi di applicazioni sono WhatsApp, MXplayer, ShareIt, ecc…
Agli utenti viene ricordato che le app devono essere scaricate solo da app store attendibili per mitigare e ridurre il rischio di infezione, avere il dispositivo aggiornato e non rendere il dispositivo “rooted”, cioè modificare le impostazioni affinchè si possano avere diritti da “SuperUser” accedendo a tutte le risorse del sistema operativo. Dato che la modalità di Agent Smith è quella di attaccare silenziosamente le applicazioni installate dagli utenti dai vari app store di terze parti, esempio 9Apps, è molto difficile per gli utenti
Android individuare e combattere tale minaccia. Check Point suggerisce la soluzione avanzata di prevenzione delle minacce come SandBlast Mobile installata sul dispositivo, che avrebbe rilevato e bloccato l’installazione della versione dannosa di queste app, avvisando l’utente del tentativo di attività sospetta.

3) In che modo si è venuti a conoscenza di questo virus?

All’inizio del 2019, il team di ricerca di Check Point che monitora costantemente gli attacchi su scala mondiale, ha osservato un’ondata di tentativi di attacco di malware Android contro gli utenti in India che presentavano forti caratteristiche riconducibili a una vulnerabilità denominata Janus. Tutti i campioni raccolti dal nostro team durante le indagini iniziali presentavano delle app con icona nascosta, dichiarando di essere aggiornamenti o moduli di vendita correlati a Google (un componente chiave del framework Google Play). Dopo ulteriori analisi è diventato chiaro che questa applicazione era dannosa ed era simile inizialmente al malware CopyCat, scoperto sempre da Check Point nell’aprile del 2016. Al procedere di ulteriori indagini, si sono rivelate caratteristiche uniche del malware tali da credere di essere di fronte ad una nuovissima campagna di malware con target Android.

Per un’analisi più tecnica di questo virus e di come agisce, vi rimandiamo all’articolo di Check Point.

Di Marco Nisticò

Sviluppatore informatico, cerco sempre di stare al passo con i tempi in un mondo ormai circondato dalla tecnologia.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.