Vous avez pu lire de nombreux articles aujourd'hui au sujet du fameux Malware Agent Smith qui aurait infecté plus de 25 Millions de terminaux Android ... Vous vous êtes demandé comme moi comment ce malware fonctionne réellement et pourquoi est-il si innovant et comment le supprimer ?

Il suffit pour cela de revenir à la source de l'information et d'arrêter de lire les informations partielles que vous diffusent de nombreux sites de news sur Internet.

La source de la détection de ce malware provient du cabinet de recherche Check Point qui décrit précisément comment fonctionne ce malware et qui décrit pourquoi ce malware est si innovant :

https://research.checkpoint.com/agent-smith-a-new-species-of-mobile-malware/

Quatre points intéressants sont à retenir concernant ce malware :

  1. Ce malware décompile le code DEX des applications Android pour pouvoir modifier leur comportement dont notamment les fonctions d'affichage de publicités ciblées comme celles de Whatsapp.
  2. Il utilise une vieille vulnérabilité connue sous le nom "Janus" et identifiée par GuardSquare (CVE-2017-13156) pour outrepasser les contrôles d'intégrité des APK sur Android en exploitant le boot.dex des applications qui n'est pas pris en compte dans le mécanisme de contrôle d'intégrité des APK sur Android.
  3. Il se multiplie sur le terminal Android en insérant son code dans le boot.dex des applications présentes sur le terminal.
  4. Le seul canal de transmission de ce malware passe par les publicités que celui-ci diffuse sans votre accord sur les applications qu'il infecte.

agent-smith-fonctionnement
(source : Check Point Research)

Pour se prémunir de ce virus, il faut donc :

  • Ne pas télécharger d'applications provenant de store alternatif.
  • Ne pas installer des applications mobiles poussées au travers de publicités sur des réseaux sociaux.

Au-delà des nuisances liées à l'affichage de publicités inopinées, le seul moyen de détecter la présence de ce malware est de vérifier si les signatures des fichiers boot.dex des applications installées sont identiques à leurs originales afin de s'assurer qu'aucune application n'ait été altérée.

Depuis la publication de la faille de sécurité "Janus" il y a deux ans, de nombreux Antivirus sur Android sont capables d'identifier ce type d'attaque en assurant un contrôle d'intégrité plus avancé que celui proposé par Android.

Si vous vous êtes fait infecté par ce malware, la solution la plus seine pour retrouver un smartphone Android propre est de réaliser une réinitialisation d'usine de votre smartphone Android et d'installer les mises à jour d'Android proposées par votre constructeur si elles existent ...

Vous serez ainsi certain de ne pas garder d'applications vérolées sur votre smartphone. Avant cette action de réinitialisation, assurez-vous d'avoir sauvegardé vos contacts et vos données importantes qui ne seraient pas stockées sur la carte SD de votre smartphone.