安全路透社
当前位置:安全路透社 > 网络转载 > 正文

安卓现新的木马病毒,可模仿用户点击下载危险的恶意软件

配图.jpg

安卓用户正面临一个新的威胁,威胁来自于一个模仿Adobe Flash Player的恶意APP,名为Android/TrojanDownloader.Agent.JI,可为多种危险的恶意软件提供潜在的入口。这款APP在安卓的辅助功能菜单(Android accessibility menu )中骗取受害者的授权后,便可下载和运行更多的恶意软件。

分析研究表明,这款木马的攻击目标是使用安卓系统的设备,包括最新的版本,通过受感染的网站和社会媒体传播。以加强安全措施为借口,受感染的网站会引诱用户下载一个假的Adobe Flash Player更新,如果受害者被看似正规合法的更新界面所迷惑,运行了安装程序,那么你就中招了,更多的欺骗界面将随之而来。

图1.png

图一 假的Flash Player更新界面

木马的工作原理

安装完成之后,下一个欺骗界面会显示“电量过度消耗”,并提示用户打开假的“省电”模式。就像大多数的恶意软件一样,如果用户不启用“省电”模式,提示消息便会一直出现。当用户同意启用之后,会出现安卓的辅助功能菜单,菜单里列出了有此功能的服务,恶意软件在安装过程中生成的“省电”服务便混在那些合法的服务当中。“省电”服务请求允许监控用户的操作行为、检索窗口内容、开启触摸浏览(Explore by Touch),为之后的恶意操作打下基础。这些功能开启之后,攻击者便能模拟用户的点击行为,选择屏幕上显示的任何内容。

图2.png

图二 安装更新之后跳出的请求开启“省电”模式界面

图3.png

图三 包含恶意服务的安卓辅助功能

图4.png

图四 包含恶意服务的安卓辅助功能

一旦服务被启用,假的Flash Player 图标便会隐藏。恶意软件在后台疯狂的运行,将受感染设备的信息发送到自己的C&C server,服务器随后会发送一个URL指向到网络罪犯选择的任意一个恶意APP,这个恶意APP可以是广告软件、间谍软件、或者是勒索软件,我们检测到的是银行恶意软件。一旦获取了恶意链接,受感染的设备会显示一个无法关闭的假的锁屏页面,页面之下恶意操作正在上演。

图5.png

图五 锁屏掩盖下,恶意操作正在上演

拿到模拟用户点击的授权之后,恶意软件便可以自由的下载、安装、运行、并激活设备的管理者权限,为更多的恶意软件打开通道,它们不需要得到用户的许可,这一切的发生都躲在假的锁屏下。等这一套把戏结束了,假的锁屏页面消失了,用户便可以继续使用他们已经被恶意软件感染的移动设备。

如何检测是否被感染

如果你觉得之前可能安装过这个假的Flash Player更新,可以检查一下辅助功能菜单里有没有“省电”这个服务,如果有,那么你的设备已经被感染了。拒绝服务只能让你回到最初的弹出界面,并不能卸载掉Android/TrojanDownloader.Agent.JI. 想要彻底移除,可以尝试在设置->应用管理-> Flash-Player中手动卸载(Settings-> Application Manager -> Flash-Player)。如果downloader获取了设备的管理者权限,受害者需在设置->安全->Flash-Player中禁用downloader的权限(Settings -> Security -> Flash-Player),然后再卸载。

即便卸载了,你的设备可能还是会被downloader安装的众多恶意软件感染。为了确保你的设备不被感染,我们建议用户使用信誉高的移动安全APP来帮助用户检测和消除威胁。

如何远离恶意软件

想要避免恶意软件带来的危害,预防是关键。除了访问可信任的网站,下面的方法也能帮助你远离恶意软件。

当你在网页中下载APP或者是下载更新的时候,一定要检查URL地址,以确保安装来源是预期中的正确来源。在这个案例中,唯一安全的Adobe Flash Player update来源是Adobe的官方网站。

当你在移动设备上运行安装的软件时,要留意软件请求哪些许可和权限。如果一个APP请求了与它的功能不相关的权限,不要轻易同意启用,要多检查几遍。

最后,即便之前的预防措施都失败了,一款卓越的移动安全应用将会保护你的设备远离主动威胁。

视频片段(截取自被感染的设备)

http://www.welivesecurity.com/2017/02/14/new-android-trojan-mimics-user-clicks-download-dangerous-malware/

分析示例

Package Name Hash Detection name
loader.com.loader 4F086B56C98257D6AFD27F04C5C52A48C03E9D62 Android/TrojanDownloader.Agent.JI
cosmetiq.fl C6A72B78A28CE14E992189322BE74139AEF2B463 Android/Spy.Banker.HD

*本文作者:金乌实验室,参考来源:welivesecurity,转载请注明来自Freebuf.COM

未经允许不得转载:安全路透社 » 安卓现新的木马病毒,可模仿用户点击下载危险的恶意软件

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册