Check Point Research avertit : 25 millions d’appareils Android sont infectés par un malware portant le doux nom d’Agent Smith, en référence au célèbre personnage de la trilogie Matrix.

La bestiole semble redoutable. Proliférant à travers la boutique tierce 9Apps, elle est propagée par de faux utilitaires et jeux (des « droppers »). Il importe peu que l’application soit fonctionnelle : il suffit que l’utilisateur l’installe pour que l’infection commence.

Le dropper déchiffre alors et installe l’APK contenant la charge virale. Elle se déguise en module s’appelant Google Updater, Google Update for U ou « com.google.vending ». L’icône de cette application est masquée.

Elle mène un travail silencieux de sape dans les autres applications. Elle examine la liste de celles installées et la compare à la sienne, codée « en dur » ou fournie par un serveur C&C (Command and Control).

Quand des occurrences sont trouvées (WhatsApp, Opera, ShareIt, MX Player…), l’Agent Smith arrive à se faire passer pour un module Google responsable des mises à jour, ouvre les APK correspondants et y effectue des modifications (patching). Elles deviennent alors des relais à publicités.

C’est à cette étape que les premiers signes tangibles d’infection apparaissent, l’utilisateur pouvant s’étonner de voir des publicités dans des applications qui n’en présentent d’ordinaire aucune.

Selon les chercheurs, 25 millions d’appareils seraient ainsi infectés à l’heure actuelle, dont 15 millions en Inde. En nombre d’infections, le Bengladesh et le Pakistan suivent, mais les États-Unis et le Royaume-Uni sont également impactés, avec plus de 300 000 appareils touchés pour le premier et plus de 100 000 pour le second.

Check Point Research note également que la majorité des attaques a lieu sur des appareils sous Android 5.0 et 6.0. Mais, plus surprenant, un quart des attaques touche des produits embarquant les versions 7.0 ou 8.0.

Par ailleurs, 11 applications embarquant l’Agent Smith ont été trouvées sur le propre Play Store de Google. Check Point Research dit avoir travaillé avec l’éditeur, qui a supprimé les fautives.