بسم الله الرحمن الرحيم
الصلاة والسلام على اشرف المرسلين صلى الله عليه وسلم
السلام عليكم ورحمة الله
كيفية اكتشاف وإزالة Agent Smith Malware على نظام Android
أصاب نوع جديد من البرنمج الضارة يستهدف الهواتف الذكية نحو 25 مليون جهاز ، يوجد 15 مليون منها في الهند. يطلق على البرنامج الضار "Agent Smith". وهو يستهدف نظام تشغيل الهواتف المحمولة بنظام أندرويد ، ويستبدل التطبيقات المثبتة بإصدار ضار دون تنبيه المستخدم.إليك كيفية اكتشاف Agent Smith ، وكيفية إيقافه ، وكيفية حمايته من البرنمج الضارة التي تعمل بنظام Android.
ما هو برنمج الضارة Agent Smith ؟
عبارة عن برنمج ضارة نموذجية تستغل سلسلة من الثغرات الأمنية في نظام Android لاستبدال التطبيقات الحالية الشرعية بتقليد ضار.
لا يسرق التطبيق الضار البيانات. بدلاً من ذلك ، تعرض التطبيقات التي تم استبدالها عددًا كبيرًا من الإعلانات للمستخدم أو تسرق رصيدًا من الجهاز لدفع ثمن الإعلانات المعروضة بالفعل.
يحمل برنامج الضار لقب "Agent Smith" ، الذي يحمل نفس اسم شخصية Matrix الشهيرة والتي تتميز بفيروس. سبب بحث فريق Check Point هو أن الأساليب التي تستخدمها برنمج الضارة للنشر متشابهة .
يقول جوناثان شيمونوفيتش ، رئيس قسم أبحاث الكشف عن تهديدات الأجهزة المحمولة في منشور المدونة "البرنمج الضارة تهاجم التطبيقات المثبتة بواسطة المستخدم بصمت ، مما يجعل من الصعب على مستخدمي Android العاديين مكافحة هذه التهديدات بأنفسهم" .
"الجمع بين منع التهديدات المتقدمة وتبني نهج النظافة أولاً "
لحماية الأصول الرقمية هو أفضل حماية ضد هجمات البرمجيات الخبيثة المتنقلة مثل" Agent Smith ".
علاوة على ذلك ، أصيب العميل سميث بعدد كبير من الأجهزة. تشير دراسة Check Point إلى وجود حوالي 15 مليون جهاز يحمل Agent Smith. بنغلاديش هي الدولة الأقرب التالية ، حيث يوجد حوالي 2.5 مليون جهاز مصاب. كان هناك أكثر من 300000 إصابة من Agent Smith في الولايات المتحدة وحوالي 137000 في المملكة المتحدة.
كيف يعمل برنامج Smith Smith ؟
يعتقد أن البرنمج الضارة لـ Agent Smith تنبع من شركة صينية تساعد مطوري Android الصينيين على نشر التطبيقات وترويجها في الأسواق الخارجية.
ظهرت البرنمج الضارة أولاً في متجر التطبيقات التابع لجهة خارجية "9Apps". يستهدف متجر التطبيقات التابع لجهة خارجية المستخدمين الهنود والعرب والإندونيسيين ، موضحًا العدد الكبير من الإصابات في تلك المناطق.
(هذا سبب وجيه لتجنب تنزيل تطبيقات Android من متاجر التطبيقات التابعة لجهات خارجية .)
برنامج الخبيثة العامل سميث يعمل على ثلاث مراحل.
يقوم تطبيق dropper بجذب الضحية لتثبيت البرنمج الضارة طوعًا. يحتوي الأولية على ملفات ضارة مشفرة وعادة ما تأخذ شكل "أداة مساعدة بالكاد تعمل بالصور أو الألعاب أو التطبيقات غير اخلاقية."
يقوم بفك تشفير الملفات الضارة وتثبيتها. تستخدم البرنمج الضارة Google Updater أو Google Update لـ U أو "com.google.vending" لإخفاء نشاطها.
تقوم البرنمج الضارة الأساسية بإنشاء قائمة بالتطبيقات المثبتة. إذا كان أحد التطبيقات يطابق ، فيقوم بتصحيح التطبيق المستهدف بوحدة إعلانية ضارة ، مع استبدال الأصل كما لو كان تحديث تطبيق بسيط.
تتضمن قائمة فريسة WhatsApp و Opera و SwiftKey و Flipkart و Truecaller ، من بين أشياء أخرى.
ومن المثير للاهتمام ، أن Client Smith تجمع بين العديد من الثغرات الأمنية في Android ، بما في ذلك Janus و Bundle و Man-in-the-Disk. ينشئ هذا الجمع عملية عدوى ثلاثية المراحل تسمح لموزع البرمجيات الخبيثة ببناء شبكة روبوت مسيولة (عبر الإعلانات).
يستخرج المُحمل الوحدة النمطية Core ويقوم بتشغيلها ، والذي يتصل بدوره بخادم الأوامر والتحكم (C&C) في البرنمج الضارة. خادم C&C يرسل قائمة الفرائس. في حالة العثور على أي تطبيقات ، تستخدم البرنمج الضارة ثغرة أمنية لحقن وحدة التمهيد في التطبيق المعاد تعبئته.
في المرة التالية التي يبدأ فيها تشغيل التطبيق المصاب ، تقوم وحدة التمهيد بتشغيل وحدة التصحيح ، والتي تستخدم وحدة AdSDK لتقديم الإعلانات والبدء في تحقيق إيرادات.
عنصر آخر مثير للاهتمام في Agent Smith هو أنه لا يتوقف عند تطبيق واحد. إذا عثر Agent Smith على العديد من مطابقات التطبيقات في قائمة الفرائس ، فسيستبدل كل إصدار بإصدار ضار. يُصدر Agent Smith أيضًا تصحيحات تحديث ضارة للتطبيقات التي تمت إعادة تعبئتها ، وتواصل العدوى ، وتقدم حزم إعلانات جديدة.
إزالة تطبيقات Agent Smith من Google Play
كانت النقطة الرئيسية للإصابة بالعميل سميث هي متجر تطبيقات الطرف الثالث ، 9Apps. ومع ذلك . اكتشف تطبيقًا على متجر Google Play تحتوي على مجموعة "ضارة ولكنها نائمة" من الملفات المتعلقة بممثل Agent Smith. تستخدم إصدارات Google Play من Agent Smith تقنية انتشار مختلفة قليلاً ولكن لها نفس الهدف النهائي.
أبلغت عن التطبيقات الضارة إلى Google ، وتمت إزالتها جميعًا من متجر Google Play.
كيفية اكتشاف وإزالة عامل سميث من أندرويد
إذا بدأت التطبيقات التي تستخدمها بشكل منتظم فجأة في إنتاج كمية هائلة من الإعلانات ، فهذه علامة أكيدة على وجود خطأ ما. من الصعب الخروج بالإعلانات التي تعرضها برنمج الضارة ، وهو مؤشر آخر. ولكن بما أن Agent Smith يعمل على منع الإعلانات ، فإن التقاط التغييرات الطفيفة على تطبيقاتك أمر صعب للغاية.
يرجى ملاحظة أن التطبيقات التي تعرض فجأة حجمًا هائلاً من الإعلانات ليست العلامة الفردية للوكيل سميث. تخدم أنواع البرنمج الضارة الأخرى التي تعمل بنظام Android إعلانات لزيادة الإيرادات. يمكن أن يحتوي جهازك على نوع مختلف من البرنمج الضارة التي تعمل بنظام Android.
إذا كنت تشك في وجود خطأ ما ، فيجب عليك إكمال فحص مكافحة الفيروسات أو مكافحة الفيروسات على جهازك .
المشاركات
ليست هناك تعليقات:
إرسال تعليق
(( مَا يَلْفِظُ مِنْ قَوْلٍ إِلَّا لَدَيْهِ رَقِيبٌ عَتِيدٌ))