Há uma nova variedade de malware para Android que muda de forma. Ele substitui aplicações legítimas por aplicações comprometidas e é chamado de Agente Smith em homenagem ao vilão icônico de Matrix. Aproveitando que o novo filme está de volta aos cinemas, vamos entender mais sobre esse malware e como combatê-lo.
Mais um ataque de malware direcionado ao Android – então, qual é o problema?
O Agent Smith é semelhante a outras campanhas de malware, como Gooligan, HummingBad e CopyCat, no que diz respeito à destruição que pode causar por meio de anúncios fraudulentos. No entanto, ele vai um passo além desses outros “agentes” na forma como infecta os dispositivos, e isso é motivo de preocupação.
Com o Google constantemente tentando melhorar os padrões de segurança do Android, os invasores estão reiniciando suas campanhas de malware para que sejam inteligentes o suficiente para escapar das medidas rigorosas.
O agente Smith combina três brechas diferentes – a vulnerabilidade Janus, Bundle e um ataque man-in-the-disk – para criar um exército de botnets. De acordo com a Check Point Research, que descobriu o agente Smith, esse ataque em três frentes é o primeiro desse tipo no mundo do malware.
Vamos ver rapidamente como o agente Smith ataca os dispositivos.
-
Uma aplicação ou conjunto comprometido é instalado voluntariamente pelo usuário de lojas de terceiros.
-
A aplicação vem com um kit de malware criptografado que inicialmente impede que o agente Smith seja identificado.
-
O kit de malware se descompacta e o malware principal é instalado no dispositivo.
-
O agente Smith identifica a lista de aplicações presentes no dispositivo e verifica as aplicações instaladas com sua lista de presas (codificadas ou obtidas dinamicamente de um servidor).
-
Depois de identificar uma aplicação de destino, o agente Smith adiciona um módulo de anúncio malicioso ao original.
Sim, então é apenas adware?
Bem, não exatamente. O que começou como adware supostamente também pode roubar suas credenciais bancárias e até espionar. Como o Agent Smith é uma campanha de malware completamente nova, as possibilidades podem ser infinitas.
Quais países foram afetados?
A imagem abaixo, retirada da Check Point Research, mostra os países afetados pelo agente Smith. Mais ataques foram relatados nos países que exibem tons mais escuros de vermelho.
Embora a Índia pareça ser a mais impactada, partes dos EUA, Europa e Austrália foram vítimas do agente Smith. A Check Point estima cerca de 2,8 milhões de infecções em todo o mundo, com 303.000 apenas nos EUA.
Quais aplicações estão atuando como vetores?
Embora a lista de aplicações afetadas esteja sempre em expansão, algumas atuam como vetores para o Agent Smith incluem WhatsApp, Xender, Opera, AppLock e Truecaller.
As empresas precisam se preocupar?
As empresas certamente precisam se preocupar com o agente Smith por dois motivos: primeiro, a penetração do BYOD no espaço corporativo e, segundo, a tendência das campanhas de malware mais recentes de liberar recursos destrutivos aparentemente infinitos. Por exemplo, uma versão mais recente do WannaLocker que inclui spyware, um Trojan de acesso remoto (RAT) e um Trojan bancário, atingiu recentemente quatro bancos no Brasil. Enquanto o Google tenta desesperadamente manter uma aparência de segurança no Android, os ataques de malware estão aproveitando muitas campanhas diferentes para afetar milhões de dispositivos.
Qual é a solução?
A solução está em uma ferramenta de gerenciamento de dispositivos móveis (MDM). Embora sejam predominantemente usadas para gerenciamento de dispositivos, as soluções de MDM também atuam como uma excelente configuração de linha de base para segurança de dispositivos. As soluções de MDM vêm com muitas políticas que ajudam você a proteger proativamente seus dispositivos contra ameaças de segurança.
Em empresas com diretrizes de propriedade corporativa, habilitação pessoal (COPE) e/ou traga seu próprio dispositivo (BYOD), há uma necessidade ainda maior de gerenciar aplicativos, pois eles podem se tornar vetores primários de disseminação de malware.
-
Para começar, você pode impedir que os usuários do dispositivo instalem aplicações de lojas de terceiros não autorizadas. Se você deseja mais segurança, pode impedir completamente que os usuários instalem qualquer aplicação.
-
Mas como os funcionários instalarão as aplicações de que precisam para trabalhar? Você pode usar uma solução de MDM para instalar silenciosamente, mesmo se essas restrições estiverem em vigor.
-
Em seguida, coloque na blacklist as aplicações que sua organização não aprova; além de impedir instalações subsequentes, sua solução de MDM também deve remover as instalações existentes de aplicações indesejados.
-
Da mesma forma, as soluções de MDM permitem predefinir permissões e garantir que os usuários não possam modificar as permissões concedidas. Isso garante que não haja chance de concessão injustificada de permissões, o que pode levar ao acesso não autorizado aos dados.
-
As soluções de MDM também permitem ativar o Google Play Protect nos dispositivos. Ele verifica constantemente as aplicações disponíveis em um dispositivo em busca de anomalias de segurança (não importa de onde ela foi instalada) e mantém seus dados seguros, garantindo que o dispositivo tenha as atualizações de segurança necessárias.
-
Tendo falado de soluções proativas, vamos nos concentrar em algumas reativas. Se você descobrir aplicações infectadas em um dos dispositivos da sua organização e atualizar essas aplicações for a melhor maneira de interromper o ataque, você poderá iniciar atualizações silenciosas a partir de sua ferramenta de MDM.
-
Depois de perceber que um dispositivo foi afetado, é imperativo que os dados confidenciais disponíveis no dispositivo sejam removidos. Com uma solução de MDM, você pode optar por limpar completamente o dispositivo ou pelo menos remover os dados corporativos disponíveis nele.
Você pode usar o Mobile Device Manager Plus para proteger proativamente seus dispositivos contra malwares baseados em aplicações, como o Agent Smith. Clique aqui para obter seu teste de 30 dias totalmente gratuito.
Nota : Esse conteúdo foi traduzido do nosso site em inglês e está replicado nos sites dos nossos parceiros também.
