25 milhões de dispositivos Android infectados pelo malware Agent Smith

Recentemente foi descoberto que 25 milhões de dispositivos Android infectados pelo malware Agent Smith. Confira os detalhes dessa ameaça e veja como evitá-la.

Pesquisadores de malware descobriram uma nova campanha maliciosa para dispositivos Android que substitui aplicativos legítimos por cópias corrompidas criadas para enviar anúncios ou sequestrar eventos de anúncios válidos.

25 milhões de dispositivos Android infectados pelo malware Agent Smith
25 milhões de dispositivos Android infectados pelo malware Agent Smith

25 milhões de dispositivos Android infectados pelo malware Agent Smith

Cerca de 25 milhões de dispositivos já foram infectados com o que os pesquisadores apelidaram de Agente Smith (alguém ainda lembra da Matrix?), depois que os usuários instalaram um aplicativo de uma loja Android não oficial.

As vítimas são atraídas com a promessa de um utilitário de fotografia, jogo ou aplicativo adulto que carrega um pacote malicioso.

Uma vez nos dispositivos, o aplicativo de isca descriptografa e instala o agente Smith.

O malware tenta ocultar sua presença posando como um utilitário do Google: Google Updater, Google Update para U ou “com.google.vending” e ocultando seu ícone do usuário.

No próximo estágio, o malware verifica se há aplicativos no dispositivo que também estão em uma lista codificada ou recebida do servidor de comando e controle (C2).

Quando uma correspondência é encontrada, o agente Smith extrai o APK e os anúncios de base de um módulo de anúncios mal-intencionados. Em seguida, ele substitui o pacote original pelo adulterado, sem que o usuário perceba nada.

Para completar o processo de instalação da atualização, o malware explora a vulnerabilidade Janus, que permite ignorar as assinaturas de um aplicativo e adicionar código arbitrário a ele.

O resultado disso é que o usuário do Android verá aplicativos com aparência inocente expelindo anúncios.

Além disso, até mesmo os anúncios do aplicativo original serão monetizados pelos operadores da Agent Smith, pois o malware pode sequestrar os eventos e transmiti-los ao corretor de anúncios com os IDs de campanha dos hackers.


Pesquisadores da Check Point viram o agente Smith é usado apenas para empurrar anúncios, mas dizem que seus operadores podem usá-lo para fins mais nefastos, como roubar credenciais bancárias.

Em um relatório técnico, a Check Point informou que:

“De fato, devido à sua capacidade de ocultar seu ícone do inicializador e representar quaisquer aplicativos populares existentes em um dispositivo, existem infinitas possibilidades de esse tipo de malware danificar o dispositivo de um usuário.”

O agente Smith foi observado à espreita em lojas populares de aplicativos de terceiros, como o 9Apps, que atende usuários principalmente indianos, árabes e indonésios.

No entanto, infecções também foram observadas em aparelhos na Arábia Saudita (245k), na Austrália (141k), no Reino Unido (137k) e nos EUA (303k).

O maior número de dispositivos infectados foi na Índia (mais de 15 milhões), seguido pelo Bangladesh (mais de 2,5 milhões) e pelo Paquistão (quase 1,7 milhão). A Indonésia ficou em quarto lugar com cerca de 570.000 dispositivos infectados.

A lista de aplicativos Android direcionados codificados no malware inclui o seguinte:

  • com.whatsapp;
  • com.lenovo.anyshare.gps;
  • com.mxtech.videoplayer.ad;
  • com.jio.jioplay.tv;
  • com.jio.media.jiobeats;
  • com.jiochat.jiochatapp;
  • com.jio.join;
  • com.good.gamecollection;
  • com.opera.mini.native;
  • in.startv.hotstar;
  • com.meitu.beautyplusme;
  • com.domobile.applock;
  • com.touchtype.swiftkey;
  • com.flipkart.android;
  • cn.xender;
  • com.eterno;
  • com.truecaller.

Esta lista é usada quando o agente Smith não pode alcançar o C2 e recuperar uma versão atualizada.

O malware não se limita a infectar apenas um aplicativo, ele substituirá todos os que estiverem na lista de alvos.

Um dispositivo infectado será revisitado ao longo do tempo e receberá os mais recentes patches maliciosos, dizem os pesquisadores.

A Check Point disse que:

“Isso nos levou a estimar que haja mais de 2,8 bilhões de infecções no total, em cerca de 25 milhões de dispositivos únicos, o que significa que, em média, cada vítima teria sofrido cerca de 112 trocas de aplicativos inocentes.”

Analisando as variantes do malware, os analistas descobriram mais de 360 ​​tipos de conta-gotas diferentes.

De acordo com as descobertas da Check Point, os primeiros sinais do agente Smith podem ser rastreados já no início de 2016.

Por dois anos, o agente de ameaças testou a loja 9Apps como um canal de distribuição e publicou vários aplicativos que serviriam como droppers.

Entre maio de 2018 e abril de 2019, os operadores começaram a testar a capacidade de comprometer aplicativos legítimos e amadureceram a campanha por meio de atualizações, bem como transferiram a infraestrutura para serviços em nuvem da AWS.

Parece que os agentes de ameaças do Agente Smith estavam tentando migrar para a loja oficial do Android, pois os pesquisadores encontraram 11 aplicativos no Google Play que incluíam “um SDK malicioso e inativo relacionado ao ator ‘Agente Smith'”.

Os pesquisadores notificaram o Google e os aplicativos ruins foram removidos.

O que está sendo falado no blog

Veja mais artigos publicados neste dia…

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.

Deixe um comentário

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.