News

Agent Smith impft Malware in beliebte Apps

Vermeintlich harmlose Android-Spiele waren Träger-Apps für die Malware Agent Smith. (Foto: Framesira / Shutterstock)

Auf die Entdeckung einer Malware namens Agent Smith hat Google mit der Entfernung der betroffenen Apps aus dem Play-Store reagiert. Damit ist die Gefahr nur teilweise beseitigt.

Agent Smith könnte Nutzer ausspionieren

Der israelische Software-Hersteller Check Point konnte in Kooperation mit Google mit Malware infizierte Android-Apps im Play-Store ausfindig machen. Die insgesamt elf betroffenen Apps, allesamt Spiele, waren mit einem Schadcode ausgestattet, den Check Point als „Agent Smith“ bezeichnet. Ausgehend von der infizierten App sucht die Malware nach bestimmten Anwendungen auf dem Smartphone der Betroffenen, in die sie ihren Code injizieren kann. Gelingt dies, zeigen die manipulierten Apps fortan Werbung an. Laut Check Point ist das technische Verfahren dahinter indes in der Lage, weitaus intensivere Eingriffe, etwa das Phishing sensibler Daten, zu leisten.

Malware sucht nach beliebten Apps

Unter den Anwendungspaketen, nach denen Agent Smith sucht, finden sich beliebte Apps, darunter Whatsapp, Flipkart, Swiftkey, ShareIt, der MXplayer und andere. Besorgte Nutzer sollten prüfen, ob sie eine der infizierten Apps auf ihren Geräten haben. Sollte das der Fall sein, reicht es zunächst aus, die Apps über den Standard-Dialog zu deinstallieren. Zusätzlich sollten die Zielanwendungen deinstalliert und neu aufgesetzt werden, um sicher zu gehen, dass nicht etwa bereits eine Infektion stattgefunden hat.

Rund 25 Millionen Geräte sind betroffen, vornehmlich in Asien

Die elf Spiele-Apps, in denen sich Agent Smith verborgen hat, befinden sich nach Schätzungen von Check Point auf etwa 25 Millionen Geräten. Dabei liegt der Schwerpunkt der Infektionen auf Indien mit rund sechzig Prozent aller Downloads, gefolgt von Bangladesch, Pakistan und Indonesien. Deutschland scheint bislang nicht betroffen zu sein, während es in den USA, Großbritannien und Australien immerhin zu mehr als 500.000 Downloads der identifizierten Träger-Apps gekommen ist.

Malware: Diese elf Spiele sind inzwischen aus dem Play-Store verschwunden. (Screenshot: Check Point/t3n.de)

Agent Smith muss Sicherheitslücken nutzen, um erfolgreich zu sein

Findet Agent Smith eine der Anwendungen aus ihrer Suchliste, versucht sie, diese App zu dekompilieren, um ihr anschließend den eigenen Schadcode beizugeben. Danach kompiliert Agent Smith die App neu. Sie ist nun um den Schadcode erweitert. Gelingt diese Vorgehensweise nicht, versucht die Malware, die App zu patchen.

Bemerkenswert in diesem Zusammenhang ist, dass Apps nicht einfach andere Apps updaten oder neu installieren können, ohne dass der Nutzer des jeweiligen Gerätes zustimmt. An dieser Stelle setzt Agent Smith auf bekannte Schwachstellen im Betriebssystem. Check Point nennt nicht, welche konkreten Sicherheitslücken die Malware ausnutzt. Dass die erfolgreiche Ausbreitung bislang zumeist unter Android 5 und 6 stattgefunden hat, sollte nicht missverstanden werden. Auch Angriffe auf aktuellere Versionen sind nach Angaben Check Points bereits erfolgt.

t3n meint: Nachdem sich die Angriffe weitgehend auf den asiatischen Raum konzentrieren und die betroffenen Apps bereits aus dem Play-Store entfernt wurden, kann für den Moment Entwarnung gegeben werden. Dennoch solltet ihr wachsam bleiben und etwaige Sicherheit-Updates unverzüglich durchführen. Das betrifft die eingesetzten Apps und natürlich auch das Betriebssystem an sich. (Dieter Petereit)

Passend dazu: Android-Berechtigungssystem in über 1.000 Fällen nutzlos

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Schreib den ersten Kommentar!

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 65 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Stephan Dörner (Chefredakteur t3n.de) & das gesamte t3n-Team

Anleitung zur Deaktivierung