Check Point Research ha recentemente scoperto un nuovo malware che ha già infettato oltre 25 milioni di dispositivi mobili. Si tratta di Agent Smith, un virus camuffato da una normalissima applicazione collegata a Google.
La parte centrale del virus sfrutta varie vulnerabilità dei dispositivi, sia Android che iOS, e sostituisce automaticamente l’applicazione installata sul dispositivo con versioni dannose della stessa all’insaputa dell’utente. Agent Smith, chiamato così dal villain della saga cinematografica “The Matrix”, attualmente utilizza il suo ampio accesso alle risorse del dispositivo per mostrare falsi annunci a scopo di lucro. Questo modo di agire assomiglia a precedenti malware come Gooligan, Hummingbad e CopyCat e può infettare tutti gli smartphone aggiornati anche oltre Android v.7.
L’attacco di Agent Smith
Dal report di Check Point Research, leggiamo che l’attacco di Agent Smith si divide in tre fasi ben precise:
- Prima fase – Il virus attira gli utenti a scaricare una falsa applicazione da un app store come 9Apps. Agent Smith è solitamente mascherato da giochi gratuiti, applicazioni di utilità o messaggistica e così via. Una volta installata, l’applicazione, con all’interno il virus, controlla se sul dispositivo si trovano applicazioni popolari come WhatsApp, MXplayer o ShareIt.
- Seconda fase – Una volta nel dispositivo, la finta applicazione decrittografa automaticamente il malware nella sua forma originale (un file APK). Il virus sfrutta quindi le diverse vulnerabilità del sistema per installare il malware senza alcuna interazione da parte dell’utente.
- Terza fase – Il malware principale inizia gli attacchi contro ogni applicazione installata sul dispositivo. Il malware di base estrae silenziosamente un file APK di un’applicazione innocua, inserisce al suo interno moduli aggiuntivi dannosi e infine approfitta delle altre vulnerabilità del sistema per installare la versione malevola dell’applicazione-bersaglio.
Oltre al “banale” spam di annunci pubblicitari, i danni di Agent Smith possono interessare anche il furto delle credenziali bancarie o le intercettazioni di chiamate e messaggi. Infatti, grazie alla sua capacità di nascondersi e di impersonare le app più popolari, ci sono infinite possibilità che questo tipo di malware danneggi il dispositivo di un utente.
Cosa fare in caso di infezione?
Per rimuovere le app dannose, probabilmente colpite da Agent Smith, Check Point consiglia di seguire i seguenti passaggi:
- Per Android:
- Menù Impostazioni
- Cliccare su App o Application Manager
- Spostarsi sull’app sospetta e disinstallarla
- Se non si trova, rimuovere tutte le applicazioni installate di recente
- Per iPhone:
- Menù Impostazioni
- Scorrere fino a Safari
- Nell’elenco delle opzioni, assicurarsi che sia selezionato “Block Pop-ups”
- Poi proseguire su Avanzate -> Dati del sito web
- Per tutti i siti elencati non riconosciuti, effettuare la cancellazione