Kleine Erinnerung für Nutzer von Android-Geräten mit der Installation von Apps besonders sorgsam zu sein. Es gibt Anhaltspunkte, dass die Malware Agent Smith auch bald nach Deutschland herüber schwappen könnte.
Anzeige
Die Malware Agent Smith
"Agent Smith" ist eine Malware, die Sicherheitslücken in Android nutzt, um andere Android-Apps auf Geräten mit Android 7 und höher zu infizieren und Schadfunktionen zu injizieren. Speziell WhatsApp wird in diesem Zusammenhang genannt, aber auch andere Apps sind gefährdet.
Aktuell wird "Agent Smith" dazu benutzt, über die infizierten Apps Werbung einzublenden und dadurch finanzielle Vorteile zu erzielen. Die Malware könnte jedoch leicht für weitaus schädlichere Zwecke wie Banking-Trojaner oder Überwachung missbraucht werden.
Vorläufer aus 2016, weltweite Verbreitung
Entdeckt wurde diese Malware vom Sicherheitsanbieter CheckPoint, ich hatte im Blog-Beitrag Malware Agent Smith befällt Android-Apps darüber berichtet. Aufgetaucht ist die Malware in der aktuellen Form erstmals 2018 (Vorläufer reichen bis 2016 zurück). Die Malware adressiert vorwiegend russisch, hindi oder ähnlich sprechende Nutzer, ist aber weltweit verbreitet.
(Agent Smith-Infektionen, Quelle CheckPoint)
Anzeige
Bisher sind 25 Millionen Geräte, überwiegend in Indien (15,2 Millionen), Bangladesch (2,5 Millionen) und Pakistan (1,7 Millionen), von dieser Malware infiziert. Hintergrund ist, dass die App, die die Infektion auslöst, über einen alternativen Store verbreitet wurde. Die hohe Infektionsrate in Großbritannien führe ich darauf zurück, dass dort viele Bewohner mit Wurzeln aus dem Raum Pakistan und Indien angesiedelt sind.
Hinter der Malware steckt laut diesem ZDNet-Artikel ein chinesisches Technologieunternehmen aus der Stadt Guangzhou. ZDNet bezieht sich dabei auf diesen erweiterten Artikel von CheckPoint. Das Unternehmen unterstützt chinesische App-Entwickler bei der Vermarktung von Android-Apps auf ausländischen Plattformen.
Möglicherweise sind die aber lediglich Opfer eines Hacks geworden. Allerdings schreibt CheckPoint, dass verschiedene Stellenangebote auf chinesischen Jobbörsen und Daten des chinesischen National Enterprise Credit Information Public System (NECIPS) ein anderes Bild ergeben.
CheckPoint ist über diverse Recherchen mittlerweile der Namen der juristischen Person hinter der Aktion bekannt. Mehrere abgelaufene Stellenausschreibungen der chinesischen Firma aus 2018 und 2019, die einen Android Reverse Engineer suchten, legen nahe, dass da die Stellen besetzt wurden, die den Schlüssel zum Erfolg von Agent Smith gelegt haben könnten.
Kommt der große Angriff über den Google Play Store?
Was aber im Hinterkopf behalten sollte, sind die Ausführungen aus diesem CheckPoint-Artikel mit der detaillierten Analyse. Die Hintermänner der Agent Smith-Kampagne haben eine große Infrastruktur von C&C-Servern aufgebaut und sie könnten einen Angriff auf den Google Play Store planen.
Check Point hat Hinweise, die darauf hindeuten, dass die "Agent Smith"-Hintermänner die Penetrationsrate auf Google Play erhöhen und aktuell auf das richtige Timing für den Beginn von Angriffen wartet. CheckPoint hat infizierte Apps im Google Play Store entdeckt. Zum Zeitpunkt dieser Veröffentlichung des obigen CheckPoint-Artikels haben zwei mit dem Jaguar Kill Switch infizierte Apps 10 Millionen Downloads erreicht, während sich andere noch in der Anfangsphase befinden.
(Verdächtige Android-Apps, Quelle: CheckPoint)
Check Point Research hat die gefährlichen Apps aus obigem Screenshot nach der Entdeckung an Google gemeldet. Derzeit wurden alle maßgeschneiderten Apps aus dem Google Play Store entfernt. Aber man sollte davon ausgehen, dass demnächst viele potentiell infizierte Android-Apps im Store auftauchen – meist von unbekannten Entwicklern.
Tipps zum Entfernen und mit Umsicht agieren
Der Tipp, um da möglichst frei von Infektionen zu bleiben, wäre, sich möglichst wenige Android-Apps aus dem Play Store zuzulegen und nur auf bekannte App-Entwickler zu bauen, wenn man Apps herunterlädt. Zeigt das Gerät plötzlich in allen Apps Werbung an und haben Sie den Eindruck, einen Adware-Dropper installiert zu haben? Wer von Anwendungen wie "Agent Smith" oder anderen infiziert wurde, kann diese Schritte ausführen, um die bösartigen Anwendungen zu entfernen.
1. Rufen Sie die Einstellungen-App unter Android auf und gehen Sie auf den Eintrag für die Apps.
2. Scrollen Sie zu der verdächtigen App und deinstallieren Sie diese.
Wenn Sie auf diese Weise nicht fündig wurden, deinstallieren Sie alle zuletzt installierten Android-Apps. Mit etwas Glück ist die Malware weg – aber es gibt Fälle, wo das nicht ausreicht und das Gerät quasi auf Werksauslieferungszustand zurückgesetzt werden muss.
Ähnliche Artikel:
Malware Agent Smith befällt Android-Apps
Fake Samsung Android Update-App lockt 10 Millionen Nutzer
Android: Juli 2019 Sicherheits-Update und Malware-Apps
238 Android Apps in Google Play wegen Ads entfernt
Android-Schwachstelle: Trojaner liest WhatsApp mit
Anzeige
Wer sich solche App 's, wie in den Screenshots zu sehen, installiert, outet sich, wes Geistes Kind er ist.
99% der Smartphone Besitzer mit Android System interessieren sich überhaupt nicht für derlei Probleme. Demzufolge wissen sie auch nichts von den Gefahren, die im Play Store massenhaft lauern.
Die Hauptverantwortung liegt bei Google, oder dem entsprechenden Store, um diese Dinge zu verhindern.
Die "HauptVerantwortung" – was ist das überhaupt für eine dahergezogene Bezeichnung – kann und wird niemals alleine beim Verteiler liegen. Die Nutzer haben die gleiche Verantwortung, nehmen diese aber nicht wahr, weil es ihnen großteils einfach egal ist! Sie wollen sich nicht damit befassen müßen, also nehmen sie ihre Schäden daraus resultierend billigend in Kauf. Diese "Dinge" werden niemals verhindert werden, da Leichtsinn und Arglosigkeit nicht einfach "weg gewischt" werden können. Die stecken in Jedem, also in uns Allen!
Ich empfehle eine TCPview-APP (Network Connection and Spy Mobile) [https://play.google.com/store/apps/details?id=com.antispycell.connmonitor] zu installieren. Damit hat man die beste Gegenwehr, wenn ein Smartphone Opfer eines Trojaners oder Virus durch eine installierte APP geworden ist. Man kann auch zusätzlich alle Dienste deaktivieren und eine Netzwerküberwachungsapp starten, daraus lässt sich allermeistens der Übeltäter jedweder Serververbindung herausfinden.
Kürzlich startete ich manuell das Update einer TTSReader-App, die mir daraufhin ganzflächige Werbung im Vordergrund und etliche hunderte Verbindungen im Hintergrund erstellte. Nach wenigen Minuten hatte ich den Übeltäter entdeckt und den Dienst deaktiviert und die APP deinstalliert.
Kein Normalo-User wird sich jemals damit auseinander setzen….
@H.V. Das sehe ich (leider) genauso.