스마트폰을 노리는 새로운 맬웨어 유형이 약 2,500만 개의 장치를 감염시켰으며 그 중 1,500만 개가 인도에 있습니다. 멀웨어는 "Agent Smith"라고 불립니다. Android 모바일 운영 체제를 대상으로 하여 사용자에게 경고하지 않고 설치된 앱을 악성 버전으로 교체합니다.
다음은 Smith 요원을 발견하는 방법, 중지하는 방법 및 Android 맬웨어로부터 보호하는 방법입니다.
Smith 요원 멀웨어란 무엇입니까?
Agent Smith는 일련의 Android 취약점을 악용하여 합법적인 기존 앱을 악성 모조품으로 교체하는 모듈식 멀웨어입니다. (어쨌든 모듈식 멀웨어란 무엇인가?) 악성 앱은 데이터를 훔치지 않습니다. 대신, 교체된 앱은 사용자에게 엄청난 수의 광고를 표시하거나 이미 제공된 광고에 대한 비용을 지불하기 위해 기기에서 크레딧을 훔칩니다.
이 악성코드는 바이러스로 특징지어지는 악명 높은 Matrix 캐릭터와 동일한 이름인 "Agent Smith"라는 별명을 가지고 있습니다. Check Point 연구팀은 악성코드가 전파하는 데 사용하는 방법이 영화 시리즈에서 Smith 요원의 기술과 유사하다고 추론합니다.
Check Point Software Technologies 모바일 위협 탐지 연구 책임자 Jonathan Shimonovich는 블로그 게시물에서 "맬웨어는 사용자가 설치한 애플리케이션을 조용히 공격하므로 일반 Android 사용자가 스스로 이러한 위협에 대처하기 어렵습니다."라고 말했습니다. "디지털 자산을 보호하기 위해 '위생 우선' 접근 방식을 채택하면서 지능형 위협 방지와 위협 인텔리전스를 결합하는 것이 "Agent Smith"와 같은 침입 모바일 맬웨어 공격에 대한 최상의 보호 기능입니다.
게다가 Smith 요원은 수많은 장치를 감염시켰습니다. 인도는 지금까지 가장 많은 감염을 가지고 있습니다. 체크 포인트 조사에 따르면 스미스 요원을 운반하는 약 1,500만 개의 장치가 있습니다. 다음으로 가까운 국가는 방글라데시로 약 250만 대의 기기가 감염되었습니다. 스미스 요원은 미국에서 300,000명 이상, 영국에서 약 137,000명이 감염되었습니다.
Smith 맬웨어 요원은 어떻게 작동합니까?
Check Point Research는 Agent Smith 멀웨어가 중국 Android 개발자가 해외 시장에서 앱을 게시하고 홍보하는 데 도움을 주는 중국 회사에서 시작된 것으로 보고 있습니다.
멀웨어는 타사 앱 스토어 "9Apps"에 처음 나타났습니다. 타사 앱 스토어는 인도, 아랍어 및 인도네시아 사용자를 대상으로 하며 해당 지역의 상당한 수의 감염을 설명합니다. (타사 앱 스토어에서 Android 앱을 다운로드하지 않는 것이 좋습니다.)
Agent Smith 악성코드는 3단계로 작동합니다.
- 드로퍼 앱은 피해자가 자발적으로 악성코드를 설치하도록 유인합니다. 초기 드롭퍼에는 암호화된 악성 파일이 포함되어 있으며 일반적으로 "거의 작동하지 않는 사진 유틸리티, 게임 또는 섹스 관련 앱"의 형태를 취합니다.
- 드로퍼는 악성 파일을 복호화하여 설치합니다. 멀웨어는 Google 업데이터, U용 Google 업데이트 또는 "com.google.vending"을 사용하여 활동을 위장합니다.
- 핵심 악성코드는 설치된 앱 목록을 생성합니다. 앱이 "먹이 목록"과 일치하면 대상 앱을 악성 광고 모듈로 패치하여 단순한 앱 업데이트인 것처럼 원본을 대체합니다.
먹이 목록에는 WhatsApp, Opera, SwiftKey, Flipkart, Truecaller 등이 포함됩니다.
흥미롭게도 Agent Smith는 Janus, Bundle 및 Man-in-the-Disk를 포함한 여러 Android 취약점을 함께 묶습니다. 이 조합은 맬웨어 배포자가 광고를 통해 수익을 창출하는 봇넷을 구축할 수 있도록 하는 3단계 감염 프로세스를 생성합니다. Check Point 연구팀은 Agent Smith가 모든 취약성을 "통합하고 무기화한" 첫 번째 캠페인일 가능성이 있는 것으로 보고 있으며, 이로 인해 악성코드가 "발생하는 만큼 악성"이 됩니다.
Agent Smith 멀웨어 모듈
Agent Smith 멀웨어는 모듈식 구조를 사용하여 다음으로 구성된 대상을 감염시킵니다.
- 로더
- 핵심
- 부팅
- 패치
- AdSDK
- 업데이터
드로퍼는 악성 로더도 포함하는 리패키지된 합법적인 애플리케이션입니다.
로더는 코어 모듈을 추출하고 실행하며, 이는 차례로 악성 명령 및 제어(C&C) 서버와 통신합니다. C&C 서버는 먹이 목록을 보냅니다. 앱이 발견되면 악성코드는 취약점을 이용하여 부트 모듈을 리패키지된 애플리케이션에 삽입합니다.
다음에 감염된 애플리케이션이 시작될 때 Boot 모듈은 AdSDK 모듈을 사용하여 광고를 소개하고 수익을 창출하기 시작하는 Patch 모듈을 실행합니다.
Agent Smith의 또 다른 흥미로운 요소는 하나의 악성 앱에서 멈추지 않는다는 것입니다. Smith 요원이 먹이 목록에서 일치하는 앱을 여러 개 찾으면 각 앱을 악성 버전으로 교체합니다. Smith 요원은 또한 재패키지된 앱에 악성 업데이트 패치를 발행하여 감염을 계속 유지하고 새로운 광고 패키지를 제공합니다.
Google Play에서 Smith 에이전트 앱 제거
Smith 요원의 주요 감염 지점은 타사 앱 스토어인 9Apps였습니다. 그러나 Google Play는 손대지 않았습니다. Check Point는 Google Play 스토어에서 Smith 요원과 관련된 "악의적이지만 휴면" 파일 세트를 포함하는 11개의 앱을 발견했습니다. Google Play 버전의 Agent Smith는 약간 다른 전파 기술을 사용하지만 최종 목표는 같습니다.
체크포인트는 악성 앱을 구글에 신고했고 모두 구글 플레이 스토어에서 삭제됐다.
Android에서 Smith 요원을 찾아 제거하는 방법
스미스 요원을 상당히 쉽게 발견할 수 있습니다. 정기적으로 사용하는 앱이 갑자기 엄청난 양의 광고를 생성하기 시작하면 문제가 있다는 확실한 신호입니다. 멀웨어가 제공하는 광고는 종료하기 어렵거나 불가능하며 이는 또 다른 지표입니다. 그러나 Smith 요원은 광고를 거의 조용히 차단하므로 앱의 미묘한 변경 사항을 파악하는 것은 매우 어렵습니다.
갑자기 엄청난 양의 광고를 표시하는 앱은 Smith 요원의 단독 표시가 아닙니다. 다른 Android 맬웨어 유형은 광고를 제공하여 수익을 늘립니다. 기기에 Joker와 같은 다른 유형의 Android 맬웨어가 있을 수 있습니다.
문제가 있다고 의심되는 경우 기기에서 맬웨어 방지 또는 바이러스 백신 검사를 완료해야 합니다.
첫 번째 호출 포트는 Malwarebytes Security입니다. , 우수한 맬웨어 방지 도구의 Android 버전입니다. Malwarebytes Security를 다운로드하고 전체 시스템 검사를 실행하십시오. 악성 앱을 잡아 제거해야 합니다.
Agent Smith 또는 기타 Android 맬웨어가 지속되는 경우 공장 초기화 없이 Android 맬웨어 제거에 대한 가이드를 확인하는 것이 좋습니다. 더 많은 Android 맬웨어 제거 앱과 데이터를 삭제하지 않고 기기를 청소하는 단계별 가이드를 제공합니다!