Agent Smith

Agent Smith: Neue Android-Malware infiziert 25 Millionen Smartphones

Die Figur „Agent Smith“ aus dem Film „Matrix“ beschreibt die menschliche Rasse als Parasiten, der sich solange verdoppelt, bis er alle Ressourcen verbraucht hat. Ironischerweise kommt Agent Smith als Computer-Virus wieder zurück, nachdem Neo ihn vernichtet hat.

Forscher des Sicherheitsunternehmens CheckPoint haben das als Inspiration genommen und eine neue Form von Malware als „Agent Smith“ betitelt. Die neue Malware hat bislang über 25 Millionen Android-Smartphones infiziert und bleibt von den Usern meist völlig unbemerkt. Die App tarnt sich als vermeintlich normale Anwendung, nutzt dann eine ganze Reihe an bekannten Android-Lücken aus, um installierte Apps gegen manipulierte auszutauschen.

Agent Smith-Malware tauscht Werbung aus

Momentan wird Agent Smith dazu benutzt, reguläre Anzeigen gegen Werbung der Hacker auszutauschen und die unrechtmäßigen Einnahmen daraus auf das eigene Konto zu schieben. Damit ähnelt die Malware anderen Angriffen wie Gooligan, CopyCat und Hummingbad und kann theoretisch alle Android-Smartphones infiltrieren.

Die Malware wird momentan ausschließlich für den Ad-Betrug verwendet, kann letztlich aber für jegliche Zwecke eingesetzt werden, etwa zum Diebstahl von Kreditkarten. Da die App nicht per Icon auf dem Smartphone dargestellt wird, ist sie für die meisten Anwender nur schwer zu entdecken. Die Google-Sicherheitsprüfung wird umgangen, indem die App nur über Dritt-App-Stores angeboten wird, wie sie in Russland oder Asien weit verbreitet sind.

Agent Smith operiert in drei Schritten

Agent Smith agiert in drei Schritten: Zunächst muss der Anwender die manipulierte App installieren (Dropper Application). Das sind meist kostenlose Spiele oder Tools wie Foto-Editoren. Danach sucht die Malware im System nach bekannten Apps wie etwa Whats App.

Im der zweiten Phase wird der Virus entschlüsselt. Er enthält eine APK (Application Installation File), die als Herzstück der Malware dient. Dann werden verschiedene bekannte Lücken genutzt um die APK zu installieren.

Zum Schluss arbeitet die Malware eine Ziel-Liste mit Apps ab, bei denen die originale APK gegen die gefälschte ausgetauscht wird. Jetzt kann Agent Smith schließlich damit anfangen, echte Werbung gegen die manipulierte auszutauschen.

Agent Smith Malware

Werbung ist lohnendes Ziel für Betrug

Die Werbung im Internet wird von Werbe-Netzwerken und Agenturen wie AdWords verwaltet, die dem App- oder Seitenbetreiber pro View oder Klick einen gewissen Betrag auszahlen. Werden Apps so manipuliert, dass sie die Werbung der Hacker anzeigen, werden auch die Erlöse an die Angreifer ausgezahlt.