根據報導，一種名為Agent Smith 的新型Android 惡意軟件已經感染了2500 萬部手機，其目的是推送廣告或劫持有效的廣告事件。受害者被引誘從第三方應用商店下載偽裝成照片應用程序、色情相關應用程序或遊戲等病毒程序，一旦下載完畢，這些程序就會下載Agent Smith。該惡意軟件通常偽裝成Google Updater、Google Update for U 或com.google.vending 等實用工具，並對用戶隱藏其圖標。

（來自：bleepingcomputer，packetstormsecurity）

接下來，惡意軟件檢查目標手機上的應用程序，然後獲取帶有惡意廣告模塊的“補丁”識別APK的更新。

為了完成更新安裝過程，惡意軟件利用Janus 漏洞，該漏洞可以讓其繞過Android 的APK 完整性檢查。Janus 是一個可追溯到2017 年的Android 漏洞。

Check Point 估計，每個受害者手機上可能有多達112 個應用程序被那些顯示廣告的應用程序所取代。他們寫道：

一旦完成了殺毒鏈，Agent Smith 就會利用用戶應用程序來顯示廣告，表面上只是用來推銷廣告，但是它的運營商可能會利用它來做更壞的事情，比如竊取銀行憑證。

Check Point 說，Agent Smith 潛伏在第三方應用商店，如9 App，主要為印度用戶，阿拉伯人和印度尼西亞用戶服務。

受感染數量最多的是印度(超過1 500萬)，其次是孟加拉國(超過250萬)和巴基斯坦(近170萬)，印度尼西亞以57 萬個受感染的設備名列第四。

但是還發現，在沙特阿拉伯(245 K)、澳大利亞(141 K)、英國(137 K)和美國(303 K)的設備上也出現了感染。

該惡意軟件並不局限於只感染一個應用程序，它將取代其目標列表中的任何和全部，受感染的設備將逐漸得被重新檢查，並提供最新的惡意補丁。惡意軟件中被編碼的目標Android 應用程序列表包括以下內容：

● com.whatsapp

● com.lenovo.anyshare.gps

● com.mxtech.videoplayer.ad

● com.jio.jioplay.tv

● com.jio.media.jiobeats

● com.jiochat.jiochatapp

● com.jio.join

● com.good.gamecollection

● com.opera.mini.native

● in.startv.hotstar

● com.meitu.beautyplusme

● com.domobile.applock

● com.touchtype.swiftkey

● com.flipkart.android

● cn.xender

● com.eterno

● com.truecaller

研究人員分析說：“我們將Agent Smith 運動與位於廣州的一家中國互聯網公司聯繫起來，該公司的前端合法業務是幫助中國Android 開發者在海外平台上發布和推廣他們的應用程序”。

Check Point 報告說，Agent Smith 在Android 5.0 版(40%)和6.0 版(34%)的手機中最為普遍，9% 的受感染手機的是8.0 版。谷歌最新版本的Android 操作系統是Pie，版本為9.0。

研究人員認為：

Agent Smith 提醒我們，僅靠系統開發人員的努力還不足以建立一個安全的Android 生態系統，它需要係統開發人員、設備製造商、應用程序開發人員和用戶的關注和行動，以便及時修補、分發、採用和安裝漏洞修補程序。