中国骇客提醒您近期Android木马猖狂模仿用户点击下载危险的恶意软件

Android用户已经接触到一个新的恶意程序模仿Adobe Flash Player作为多种危险的恶意软件的一个潜在的入口。的应用,检测由ESET安全软件为Android / trojandownloader.agent.ji,花样其受害者给予它在Android访问菜单特殊权限和使用这些下载并执行攻击者选择额外的恶意软件。

根据我们的分析,该木马的目标设备上运行Android,包括最新的版本。它是通过入侵网站–成人视频网站的分布,但也通过社会媒体。安全措施的借口下,网站引诱用户下载一个假的Adobe Flash Player更新。如果受害者属于合法寻找更新屏幕,运行安装,他们有更多的欺骗性的屏幕期待。

图1:假冒的Flash Player更新屏幕

那怎么使用呢?

下一个虚假的屏幕弹出以下安装成功,声称“太耗能量”并要求用户打开一个假的“节省电池”的模式。像大多数恶意弹出窗口,消息不会停止,直到受害者出现了并同意启用服务。这将打开Android访问菜单、列表显示服务可及性功能。合法的中,一个新的服务(在安装期间创建的恶意软件)命名为“节省电池”出现。然后服务请求的权限监控你的行动检索窗口内容打开通过触摸来探索–所有关键的未来的恶意行为,使攻击者模仿用户的点击和选择显示在屏幕上的任何事。

图2:弹出屏幕要求“节约电池”安装后

图3:辅助功能菜单与Android恶意服务

图3:辅助功能菜单与Android恶意服务

一旦服务启用,假冒的Flash播放器图标隐藏用户。然而,在这种背景下,恶意软件正忙着联系C&C服务器和它提供的关于妥协的设备信息。服务器URL导致检测的情况下,网络罪犯的选择–恶意应用程序响应,银行恶意软件(虽然它可以是任何的恶意软件包括广告软件通过间谍软件,并对勒索)。获取恶意链接后,受损的设备显示一个虚假的锁屏不能选择关闭它,包括正在进行的恶意活动下。

图5:锁屏覆盖恶意活动

这是当允许模仿用户的点击就派上用场了–恶意软件现在是免费下载,安装,执行并激活额外的恶意软件的设备管理员权限,在用户不知情的情况下,却依然看不见假锁屏下。在应用程序的秘密把戏完成,覆盖屏幕消失,用户可以继续使用移动设备–现在被下载的恶意软件。

我的设备被感染了?我怎么清理?

如果你认为你可能有过去安装这个假冒的Flash播放器的更新,你可以很容易地通过检查储蓄电池在辅助菜单验证服务。如果上市的服务,您的设备很可能被感染。

拒绝服务的权限只会带你回到第一个弹出屏幕并不会摆脱Android / trojandownloader.agent.ji。

To remove the downloader, try manually uninstalling the app from Settings -> Application Manager -> Flash-Player.

In some instances, the downloader also requests that the user activate Device administrator rights. If that turns out to be the case and you can’t uninstall the app, deactivate the administrator rights by going to Settings -> Security -> Flash-Player and then proceed with uninstalling.

即使这样,你的设备可能仍然是由无数的恶意程序通过下载安装感染。确保你的设备是干净的,我们建议使用一个有信誉的移动安全应用程序作为一种轻松的方法来检测和消除威胁。

如何保持安全

为了避免处理讨厌的移动恶意软件的后果,预防是关键。除了坚持值得信赖的网站,有更多的事情可以做,以保持安全。

如果你在你的浏览器下载的应用程序或更新,经常检查URL地址来确定你打算从源码安装。在这种特殊情况下,得到您的Adobe Flash Player更新唯一安全的地方是从Adobe官方网站。

运行你已经安装在您的移动设备后,注意哪些权限和权利要求。如果一个应用程序请求的权限,似乎不适合它的功能,不使这些没有仔细检查。

最后但并非最不重要的,即使所有的其他方法都失败了,一个有信誉的移动安全解决方案,可以保护您的设备从活跃的威胁。

如果你想了解更多关于Android的恶意软件,看看我们的最新的研究在话题。你也可以阻止由ESET的站在今年的移动世界大会

从被感染的设备视频采集(时间编辑)

视频片段(截取自被感染的设备)

http://www.welivesecurity.com/2017/02/14/new-android-trojan-mimics-user-clicks-download-dangerous-malware/

分析示例

Package Name Hash Detection name
loader.com.loader 4F086B56C98257D6AFD27F04C5C52A48C03E9D62 Android/TrojanDownloader.Agent.JI
cosmetiq.fl C6A72B78A28CE14E992189322BE74139AEF2B463 Android/Spy.Banker.HD
打赏

“中国骇客提醒您近期Android木马猖狂模仿用户点击下载危险的恶意软件”的一个回复

评论已关闭。