Android에서 Agent Smith 악성코드를 탐지하고 제거하는 방법

스마트폰을 표적으로 삼는 새로운 유형의 악성 코드가 약 2,500만 대의 장치를 감염시켰습니다(그 중 1,500만 개는 인도에 있음). 이 악성코드의 이름은 Agent Smith입니다. Agent Smith는 Android 모바일 운영체제를 표적 으로 삼아 설치된 애플리케이션을 사용자가 모르는 사이에 악성 버전으로 교체합니다.

오늘 기사에서는 Agent Smith 악성 코드로부터 Android 장치를 탐지, 예방 및 보호하는 방법을 보여줍니다.

Smith 요원 - Android 기기에 새로운 악성 코드가 나타남

• Agent Smith 악성 코드란 무엇입니까?
• Agent Smith 악성코드는 어떻게 작동하나요?
• Agent Smith 악성 코드 모듈
• Google Play에서 Agent Smith 앱 삭제
• Android에서 Agent Smith를 감지하고 제거하는 방법

Agent Smith 악성 코드란 무엇입니까?

Agent Smith는 일련의 Android 취약점을 악용하여 기존의 합법적인 애플리케이션을 악의적인 가짜 버전으로 대체하는 모듈식 악성 코드입니다 . 악성 앱은 데이터를 훔치지 않습니다. 대신 교체된 앱은 사용자에게 대량의 광고를 표시하거나 이미 표시된 광고 비용을 지불하기 위해 기기에서 크레딧을 훔칩니다.

스미스 요원은 유명한 영화 매트릭스의 등장인물과 같은 이름을 가지고 있습니다. Check Point의 연구팀은 이 악성 코드가 확산되는 데 사용하는 방법이 이 인기 영화 시리즈에서 Agent Smith가 사용한 기술과 유사하다고 믿습니다.

Check Point Software Technologies의 모바일 위협 탐지 연구 책임자인 Jonathan Shimonovich에 따르면, 악성 코드는 사용자가 설치한 애플리케이션을 자동으로 공격하므로 Android 사용자가 스스로 이러한 위협에 맞서 싸우는 것을 어렵게 만듭니다.

게다가 스미스 요원은 다수의 장치를 감염시켰다. 인도는 가장 많은 공격을 받은 국가이다. Check Point의 연구에 따르면 이곳의 약 1,500만 대의 장치가 Agent Smith에 감염된 것으로 나타났습니다. 2위 국가는 방글라데시로 약 250만 대의 장치가 이 악성 코드의 피해를 입었습니다. 미국에는 Smith 요원의 사례가 300,000건이 넘고 영국에는 약 137,000건이 넘습니다.

Agent Smith 악성코드는 어떻게 작동하나요?

Check Point Research는 Agent Smith 악성 코드가 중국 Android 개발자가 해외 시장에서 애플리케이션을 게시하고 홍보할 수 있도록 돕기 위해 만들어진 중국 회사에서 시작된 것으로 믿고 있습니다.

이 악성코드는 타사 앱 스토어에 처음 나타났습니다. 9Apps. 이 타사 앱 스토어는 인도, 아랍 및 인도네시아 사용자를 대상으로 합니다. 이는 Agent Smith에 감염된 장치 수가 이 지역에서 그렇게 많은 이유를 설명합니다. 이것이 타사 앱 스토어 에서 Android 앱을 다운로드하지 말아야 하는 이유 중 하나입니다 .

Agent Smith 악성 코드는 세 단계로 작동합니다.

1. 드로퍼 애플리케이션(바이러스를 발사하기 위해 개발된 악성코드의 일종으로, 무료 스마트폰 애플리케이션 형태)은 피해자가 자발적으로 악성코드를 설치하도록 유인한다. 드로퍼는 초기에 암호화된 악성 파일을 포함하며 이미지 유틸리티, 게임 또는 거의 비활성화된 "성인용" 애플리케이션의 형태를 취하는 경우가 많습니다.

2. Dropper는 악성 파일을 복호화하여 설치합니다. 악성코드는 Google Updater, Google Update for U 또는 "com.google.vending"을 사용하여 활동을 위장합니다.

3. 주요 악성코드는 설치된 애플리케이션 목록을 생성한다. 앱이 "먹이" 목록과 일치하면 대상 앱을 악성 광고 모듈로 "패치"하여 마치 단일 앱 업데이트인 것처럼 원본을 대체합니다. 간단합니다.

"먹이" 목록에는 WhatsApp , Opera, SwiftKey, Flipkart, Truecaller 등이 포함됩니다.

흥미롭게도 Agent Smith는 Janus, Bundle 및 Man-in-the-Disk를 포함한 여러 Android 취약점을 결합합니다. 이 조합을 통해 3단계 감염 프로세스가 생성되어 맬웨어 배포자가 (광고를 통해) 돈을 버는 봇넷을 구축할 수 있습니다. Check Point의 연구팀은 Agent Smith가 모든 취약점을 통합하고 무기화하여 이 악성 코드를 매우 위험하게 만드는 최초의 캠페인일 수 있다고 믿습니다.

Agent Smith 악성 코드 모듈

Agent Smith 악성코드는 모듈식 구조를 사용하여 다음을 포함한 대상을 감염시킵니다.

• 짐을 싣는 사람
• 핵심
• 부츠
• 반점
• AdSDK
• 업데이터

Dropper는 악성 로더 모듈을 포함하도록 재패키징된 합법적인 애플리케이션입니다. 로더는 코어 모듈을 추출하고 실행하며, 이는 다시 악성코드의 C&C 서버와 통신합니다. 그러면 C&C 서버가 먹이 목록을 보냅니다. 적합한 애플리케이션이 발견되면 악성코드는 취약점을 이용하여 리패키징된 애플리케이션에 부트 모듈을 주입합니다.

다음에 감염된 앱이 실행되면 부팅 모듈은 AdSDK 모듈을 사용하여 광고를 소개하고 수익 창출을 시작하는 패치 모듈을 실행합니다.

Agent Smith의 또 다른 흥미로운 요소는 하나의 악성 애플리케이션에만 국한되지 않는다는 것입니다. Smith 요원이 먹이 목록에서 일치하는 여러 응용 프로그램을 찾으면 각 응용 프로그램을 악성 버전으로 교체합니다.

Smith 요원은 또한 리패키징된 애플리케이션에 대한 악성 업데이트 패치를 출시하여 감염을 계속하고 새로운 광고 패키지를 제공했습니다.

Google Play에서 Agent Smith 앱 삭제

Smith 요원의 주요 감염 지점은 타사 앱 스토어인 9Apps입니다. 하지만 Google Play를 터치하는 것은 거의 불가능합니다. Check Point는 Google Play 스토어에서 Agent Smith와 관련된 악성 비활성 파일 모음이 포함된 11개의 애플리케이션을 발견했습니다. Agent Smith의 Google Play 버전은 약간 다른 바이러스 기술을 사용하지만 목표는 동일합니다.

Check Point는 악성 앱을 Google에 신고했으며 Google Play 스토어에서 모두 삭제되었습니다.

Android에서 Agent Smith를 감지하고 제거하는 방법

스미스 요원을 아주 쉽게 발견할 수 있습니다. 자주 사용하는 앱이 갑자기 과도한 양의 광고를 생성하기 시작한다면 확실히 뭔가 잘못되었다는 신호입니다. 맬웨어가 "제공"하는 광고는 제거하기 어렵거나 불가능합니다(이는 주의해야 할 또 다른 신호입니다). 그러나 Agent Smith는 광고 발행에 있어 거의 자동으로 행동하기 때문에 애플리케이션에서 아주 작은 변화를 감지하는 것은 극히 어렵습니다.

• Android에서 악성 애플리케이션을 탐지하는 방법

갑자기 엄청난 양의 광고를 표시하는 애플리케이션은 Smith 요원의 '독점'을 나타내는 신호가 아니라는 점에 유의하시기 바랍니다. 다른 유형의 Android 악성코드 도 수익을 늘리기 위해 광고를 게재합니다. 따라서 귀하의 기기가 다른 유형의 Android 악성 코드에 감염되었을 수 있습니다.

뭔가 잘못된 것으로 의심되면 바이러스 백신 소프트웨어를 사용하여 장치에서 검사를 실행해야 합니다.

첫 번째 제안은 탁월한 맬웨어 방지 도구의 Android 버전인 Malwarebytes Security입니다. Malwarebytes Security를 ​​다운로드하고 전체 시스템 검사를 실행하세요. 장치에 존재하는 모든 악성 애플리케이션을 캡처하고 제거합니다.

Malwarebytes Security를 ​​다운로드하세요 (무료, 구독 가능).

자세한 내용은 Android 휴대폰을 위한 최고의 바이러스 백신 애플리케이션 문서를 참조하세요 !

올바른 선택을 찾으시길 바랍니���!