Nella nota trilogia di Matrix, l’agente Smith ha descritto la razza umana come un virus che si riproduce in maniera incontrollabile finché non consuma tutte le risorse disponibili. Agent Smith è invece un malware che accede alle risorse dei dispositivi Android per mostrare banner pubblicitari. I ricercatori di Check Point hanno rilevato che sono stati infettati oltre 25 milioni di device, la maggioranza dei quali sono nei paesi asiatici e negli Stati Uniti.
Agent Smith è stato inizialmente individuato in India e nei paesi confinanti. Gli utenti hanno utilizzato l’app store 9Apps per installare app e giochi contenenti il malware che nasconde la sua presenza mostrando nomi apparentemente innocui, come Google Uploader. Il codice del malware è stato individuato anche in alcune app pubblicate sul Play Store, ma Google le ha prontamente rimosse. Agent Smith sfrutta diverse vulnerabilità di Android per sostituire porzioni di codice di app note, tra cui WhatsApp, bloccando l’installazione degli aggiornamenti.
L’attacco viene effettuato in tre fasi principali. La prima prevede appunto la ricerca delle app “target”. Se viene trovata una corrispondenza nella lista del malware viene avviata la fase successiva, ovvero la diffusione del codice infetto senza l’interazione dell’utente. Durante la terza fase viene modificato il file APK dell’app bersaglio, aggiungendo i moduli necessari alla visualizzazione delle inserzioni pubblicitarie.
Secondo i ricercatori di Check Point, l’unica funzionalità di Agent Smith è consentire ai suoi autori di ottenere profitti dai banner pubblicitari. Dato che è invisibile (non c’è nessuna icona nel launcher) e può impersonare qualsiasi app ufficiale, il malware potrebbe eseguire azioni più pericolose, come il furto di informazioni sensibili (password, messaggi privati, dati della carta di credito e altro) o l’intercettazione delle comunicazioni.
Visto che i vecchi dispositivi potrebbero non ricevere le patch di sicurezza, gli utenti devono prestare attenzione alle app scaricate e installare un antivirus aggiornato.