Android-Malware „Agent Smith“ befällt über 25 Millionen Geräte

Die Sicherheitsfirma Check Point hat mit „Agent Smith“ eine neuartige Android-Malware entdeckt. Sie infiziert Smartphones und ersetzt legitime Anwendungen durch mit Malware verseuchte Klone. In der Folge zeigen die Apps Anzeigen an. Die Malware kann aber auch für das Ausspähen von Nutzerdaten eingesetzt werden. Namensgeber der Malware ist die gleichnamige Figur im Film Matrix.

Nach Angaben von Check Point hat „Agent Smith“ bereits 25 Millionen Geräte befallen. Die überwiegende Mehrheit der Opfer befindet sich in Indien (15,2 Millionen), Bangladesch (2,5 Millionen) und Pakistan (1,7 Millionen). Hinter der Malware steht laut Check Point ein chinesisches Technologieunternehmen aus der Stadt Guangzhou.

Die Malware „Agent Smith“ verfügt laut Check Point über ausgeklügelte Infektionstechniken (Bild: Check Point).

Das Unternehmen hilft chinesischen Android-App-Entwicklern, ihre Apps auf ausländischen Plattformen zu veröffentlichen und zu bewerben. Check Point fand allerdings Stellenanzeigen der Firma, die mit dem Betrieb der Malware-Infrastruktur in Verbindung gebracht werden können und nicht zum realen Geschäft des Unternehmens passen. Die Jobangebote wurden ab 2018 veröffentlicht, als auch die ersten Versionen der Malware auftauchten. Weitere Details will Check Point zum gegenwärtigen Zeitpunkt nicht veröffentlichen, um eine laufende Untersuchung von Strafverfolgungsbehörden nicht zu gefährden.

Während die aktuelle Form der „Agent Smith“-Malware Anfang 2018 erschien und seit mehr als einem Jahr existiert, wurde sie in den meisten Fällen nur über Android-Apps verteilt, die sich im App Store 9Apps befinden. 9Apps wird von UCWeb, dem Entwickler hinter dem UC Browser, betrieben.

In den letzten Monaten sind laut Check Point aber auch Apps im Google Play Store erschienen, die mit Komponenten infiziert sind, die den Einsatz der Malware „Agent Smith“ ermöglichen. Elf solcher Apps wurden bereits im Play Store identifziert.

Es deute viele darauf hin, dass die Entwickler von ‚Agent Smith‘ sich für eine größere Durchdringungsrate im Google Play Store vorbereiten. „Zum Zeitpunkt dieser Veröffentlichung haben zwei mit „Agent Smith“ infizierte Apps 10 Millionen Downloads erreicht.“

„Agent Smith“ aus Play Store entfernt

Check Point hat Google von dem Vorfall berichtet, sodass sämtliche infizierten Apps aus dem Play Store entfernt wurden. Trotzdem sei Vorsicht geboten, da die Malware schwer zu erkennen sei. Sie verfüge über eine neuartige Struktur und ausgefeilte Infektionsmethoden, die es schwierig mache, sie zu erkennen.

Seit etwa Mai 2018 verwendet sie einen dreiteiligen Infektionsmechanismus, der den fortschrittlichsten heute bekannten Android-Malware-Stämmen wie CopyCat, Gooligan und HummingWhale entspricht.

Wenn eine mit einem speziellen SDK versehene App einmal installiert sei, würde mit einem Update eine bösartige Komponente heruntergeladen. Anschließende scannt „Agent Smith“ lokal installierte Anwendungen und ersetzt anhand einer internen Liste von Zielen die ursprünglichen Anwendungen durch werbeinfizierte Klone.

Diese Liste enthält 16 App-Paketnamen, wobei die überwiegende Mehrheit der Apps auf dem indischen Markt beliebt ist, wie verschiedene Jio- und Hotstar-Apps, aber auch internationale Apps wie WhatsApp, Lenovo’s AnyShare, Opera Mini, Flipkart und TrueCaller.

Der „Austausch“-Prozess ist sehr komplex, sagt Check Point. Die „Agent Smith“-Malware verwendet die Janus-Technik, um bösartigen Code in eine legitime Anwendung einzubringen, ohne jedoch den MD5-Dateihash zu beeinträchtigen. Wenn dies erfolgreich war, löst Agent Smith ein Update der injizierten App aus, indem er den bösartigen Code in der legitimen App zementiert und dann zukünftige App-Updates blockiert.

Der gesamte Prozess ist laut Check Point ziemlich innovativ und es hat die Sicherheitsforscher überrascht, dass er für etwas so Banales wie Adware genutzt wird. Check Point erwartet daher, dass die Technik auch für Spyware oder andere gefährlichere Bedrohungen verwendet werden wird. „Heute zeigt diese Malware unerwünschte Werbung, morgen könnte sie sensible Informationen stehlen; von privaten Nachrichten bis hin zu Bankdaten und vieles mehr“, teilt Check Point mit.