Todos conocemos el mítico personaje de las películas de Matrix, el agente Smith: un programa que puede desplazarse a su antojo dentro Matrix a través de cualquier humano conectado a su software. Cuando ataca es capaz de multiplicarse, corromper, bloquear o controlar cualquier sistema virtual.

Algo parecido ha ocurrido con el último ciberataque que ha afectado alrededor de 25 millones de dispositivos Android en todo el mundo. El malware para terminales móviles “Agente Smith” aprovecha las vulnerabilidades del sistema operativo Android para reemplazar aplicaciones ya instaladas por otras que incluyen un código malicioso. La infección se produce al descargar apps que parecen que son de Google (tienen prácticamente la misma apariencia), por lo que pasan totalmente desapercibidas para el propietario del smartphone o de la tablet.

El “Agente Smith” usa los recursos del dispositivo para mostrar anuncios publicitarios falsos con la finalidad de obtener beneficios económicos de forma ilícita o de robar las credenciales del usuario para acceder online a sus cuentas bancarias. Actúa de forma muy similar a otros malwares como Gooligan, HummingBad y CopyCat.

El equipo de Check Point ha detectado 11 aplicaciones infectadas y ha trabajado estrechamente con Google para erradicar el problema. De hecho, hoy por hoy, ya no quedan apps con código malicioso dentro de Google Play (la plataforma de distribución digital de aplicaciones móviles para los dispositivos con sistema operativo Android). El 59% de los casos se han producido en la India, aunque también se han reportado incidentes en el resto del territorio asiático (Pakistán y Bangladesh).

A pesar de que el objetivo del «Agente Smith» eran países menos desarrollados, también ha conseguido infectar con éxito un número notable de dispositivos en países desarrollados como Arabia Saudita (245.000), Reino Unido (137.000) y Estados Unidos (303.000).

Cómo se produce la infección

Después de varios análisis técnicos, se ha descubierto que el modus operandi de este malware tiene tres fases:

  1. El usuario instala una aplicación que habitualmente está relacionada con herramientas de fotos, juegos o sexo, las cuales contienen archivos maliciosos cifrados.
  1. De forma automática, se introduce código malicioso en el APK principal (archivo ejecutable con el que se instala y se actualiza una app) del dispositivo a la espera de que se realice la próxima actualización de la aplicación. El archivo APK es renombrado como Google Updater, Google Update, Google U o «com.google.vending», y el icono suele estar oculto.
  1. Al ejecutarse la actualización fraudulenta, se extrae una lista de apps instaladas para detectar vulnerabilidades. Si las hay, a continuación, se extraen los APK para modificarlos introduciendo módulos de anuncios falsos. Después, volverá a instalar los APK y reemplazará los originales con los infectados.

Cómo reconocerlos

Si al abrir una app te aparecen anuncios, lo más probable es que esté contaminada. En ese caso, es mejor buscar entre las aplicaciones instaladas, nombres que te hagan dudar como los mencionados Google Updater, Google Update, Google U o «com.google.vending para borrarlas de tu dispositivo de forma inmediata.

Cómo evitarlo

Instalando soluciones de antivirus y anti ransomware para móviles que te eviten perder la información importante almacenada.  Con X by Orange despreocúpate de amenazas como el “Agente Smith” utilizando X Protection. Una solución de seguridad integral para proteger de forma eficaz los dispositivos de tu empresa. Cuenta con la tecnología anti ransomware más avanzada y, al mismo tiempo, funciona con un antivirus en tiempo real. Por si fuera poco, también detecta las redes Wi-Fi no seguras para evitar que te conectes a ellas. X Protection incorpora la tecnología de Check Point, líderes en seguridad informática a nivel mundial. Solicita tu prueba gratuita durante 15 días, sin importar que no seas de Orange y sin ningún tipo de penalización ni compromiso de permanencia.