Categories: MobileMobile OS

Android-Malware „Agent Smith“ befällt über 25 Millionen Geräte

Die Sicherheitsfirma Check Point hat mit „Agent Smith“ eine neuartige Android-Malware entdeckt. Sie infiziert Smartphones und ersetzt legitime Anwendungen durch mit Malware verseuchte Klone. In der Folge zeigen die Apps Anzeigen an. Die Malware kann aber auch für das Ausspähen von Nutzerdaten eingesetzt werden. Namensgeber der Malware ist die gleichnamige Figur im Film Matrix.

Nach Angaben von Check Point hat „Agent Smith“ bereits 25 Millionen Geräte befallen. Die überwiegende Mehrheit der Opfer befindet sich in Indien (15,2 Millionen), Bangladesch (2,5 Millionen) und Pakistan (1,7 Millionen). Hinter der Malware steht laut Check Point ein chinesisches Technologieunternehmen aus der Stadt Guangzhou.

Die Malware „Agent Smith“ verfügt laut Check Point über ausgeklügelte Infektionstechniken (Bild: Check Point).

Das Unternehmen hilft chinesischen Android-App-Entwicklern, ihre Apps auf ausländischen Plattformen zu veröffentlichen und zu bewerben. Check Point fand allerdings Stellenanzeigen der Firma, die mit dem Betrieb der Malware-Infrastruktur in Verbindung gebracht werden können und nicht zum realen Geschäft des Unternehmens passen. Die Jobangebote wurden ab 2018 veröffentlicht, als auch die ersten Versionen der Malware auftauchten. Weitere Details will Check Point zum gegenwärtigen Zeitpunkt nicht veröffentlichen, um eine laufende Untersuchung von Strafverfolgungsbehörden nicht zu gefährden.

Während die aktuelle Form der „Agent Smith“-Malware Anfang 2018 erschien und seit mehr als einem Jahr existiert, wurde sie in den meisten Fällen nur über Android-Apps verteilt, die sich im App Store 9Apps befinden. 9Apps wird von UCWeb, dem Entwickler hinter dem UC Browser, betrieben.

In den letzten Monaten sind laut Check Point aber auch Apps im Google Play Store erschienen, die mit Komponenten infiziert sind, die den Einsatz der Malware „Agent Smith“ ermöglichen. Elf solcher Apps wurden bereits im Play Store identifziert.

Es deute viele darauf hin, dass die Entwickler von ‚Agent Smith‘ sich für eine größere Durchdringungsrate im Google Play Store vorbereiten. „Zum Zeitpunkt dieser Veröffentlichung haben zwei mit „Agent Smith“ infizierte Apps 10 Millionen Downloads erreicht.“

„Agent Smith“ aus Play Store entfernt

Check Point hat Google von dem Vorfall berichtet, sodass sämtliche infizierten Apps aus dem Play Store entfernt wurden. Trotzdem sei Vorsicht geboten, da die Malware schwer zu erkennen sei. Sie verfüge über eine neuartige Struktur und ausgefeilte Infektionsmethoden, die es schwierig mache, sie zu erkennen.

Seit etwa Mai 2018 verwendet sie einen dreiteiligen Infektionsmechanismus, der den fortschrittlichsten heute bekannten Android-Malware-Stämmen wie CopyCat, Gooligan und HummingWhale entspricht.

Wenn eine mit einem speziellen SDK versehene App einmal installiert sei, würde mit einem Update eine bösartige Komponente heruntergeladen. Anschließende scannt „Agent Smith“ lokal installierte Anwendungen und ersetzt anhand einer internen Liste von Zielen die ursprünglichen Anwendungen durch werbeinfizierte Klone.

Diese Liste enthält 16 App-Paketnamen, wobei die überwiegende Mehrheit der Apps auf dem indischen Markt beliebt ist, wie verschiedene Jio- und Hotstar-Apps, aber auch internationale Apps wie WhatsApp, Lenovo’s AnyShare, Opera Mini, Flipkart und TrueCaller.

Der „Austausch“-Prozess ist sehr komplex, sagt Check Point. Die „Agent Smith“-Malware verwendet die Janus-Technik, um bösartigen Code in eine legitime Anwendung einzubringen, ohne jedoch den MD5-Dateihash zu beeinträchtigen. Wenn dies erfolgreich war, löst Agent Smith ein Update der injizierten App aus, indem er den bösartigen Code in der legitimen App zementiert und dann zukünftige App-Updates blockiert.

Der gesamte Prozess ist laut Check Point ziemlich innovativ und es hat die Sicherheitsforscher überrascht, dass er für etwas so Banales wie Adware genutzt wird. Check Point erwartet daher, dass die Technik auch für Spyware oder andere gefährlichere Bedrohungen verwendet werden wird. „Heute zeigt diese Malware unerwünschte Werbung, morgen könnte sie sensible Informationen stehlen; von privaten Nachrichten bis hin zu Bankdaten und vieles mehr“, teilt Check Point mit.

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Ein Kabel das Daten klaut?

Wenn das USB-Kabel mal wieder nicht aufzufinden ist, ist das Problem meist schnell gelöst. So…

3 Stunden ago

Mix an Software-Geschäftsmodellen wächst

Software-Anbieter setzen zunehmend auf Abos. Die Akzeptanz der Kunden für die neuen Geschäftsmodelle ist aber…

5 Stunden ago

Nutanix kooperiert mit Citrix

Nutanix und Citrix Systems, Inc. kündigen eine strategische Partnerschaft an für die hyperkonvergente Infrastruktur (HCI)…

5 Stunden ago

So richten Sie Richtlinien für Active Directory Passwörter ein

Administratoren wissen, dass schwache Passwörter ein Risiko darstellen. Mit der richtigen Policy für Active Directory…

8 Stunden ago

5 Wege, wie Sie dank verbesserter Sicherheit und intelligenter Konnektivität die Leistung Ihres Unternehmens steigern können

In einem Webinar mit dem Titel „5 Wege, wie Sie dank verbesserter Sicherheit und intelligenter…

1 Tag ago

Was macht Cloud-Security so komplex?

Cloud-Security funktioniert anders als On-Premises-Security und erfordert Cloud-spezifisches Expertenwissen. Um mögliche Gefahren durch Konfigurationsfehler zu…

1 Tag ago