Новый Android-троян имитирует клики пользователей, чтобы загрузить опасные вредоносные программы

  1. Как это работает?
  2. Мое устройство заражено? Как мне это почистить?
  3. Как оставаться в безопасности
  4. Захват видео с зараженного устройства (время отредактировано)

Пользователи Android сталкиваются с новым вредоносным приложением, имитирующим Adobe Flash Player и служащим входными воротами для потенциально опасных вредоносных программ.

Пользователи Android столкнулись с новым вредоносным приложением, имитирующим Adobe Flash Player, который служит потенциальным входом для многих типов опасных вредоносных программ. Приложение, обнаруженное программным обеспечением безопасности ESET как Android / TrojanDownloader.Agent.JI, заставляет своих жертв предоставлять ему специальные разрешения в меню специальных возможностей Android и использует их для загрузки и запуска дополнительных вредоносных программ по выбору злоумышленников.

Согласно нашему анализу, троянец нацелен на устройства под управлением Android, включая последние версии. Он распространяется через скомпрометированные веб-сайты - видео для взрослых, а также через социальные сети. Под предлогом мер безопасности веб-сайты побуждают пользователей загрузить поддельное обновление Adobe Flash Player. Если жертвы попадают на законно выглядящий экран обновлений и запускают установку, у них есть более обманчивые экраны, на которые можно рассчитывать.

Пользователи Android сталкиваются с новым вредоносным приложением, имитирующим Adobe Flash Player и служащим входными воротами для потенциально опасных вредоносных программ

Рисунок 1: Экран обновления Fake Flash Player

Как это работает?

Следующий фальшивый экран появляется после успешной установки, требуя «слишком большого расхода энергии» и призывая пользователя включить поддельный режим «Экономия батареи». Как и большинство вредоносных всплывающих окон, сообщение не перестанет появляться, пока жертва не сдастся и не согласится включить службу. Откроется меню «Специальные возможности Android», в котором отображается список служб с функциями специальных возможностей. Среди законных появляется новая служба (созданная вредоносным ПО во время установки) под названием «Экономия батареи». Затем служба запрашивает разрешения для отслеживания ваших действий , извлечения содержимого окна и включения функции «Изучение касанием» - все это имеет решающее значение для будущей злонамеренной деятельности, позволяя злоумышленнику имитировать щелчки пользователя и выбирать все, что отображается на его экране.

Затем служба запрашивает разрешения для отслеживания ваших действий , извлечения содержимого окна и включения функции «Изучение касанием» - все это имеет решающее значение для будущей злонамеренной деятельности, позволяя злоумышленнику имитировать щелчки пользователя и выбирать все, что отображается на его экране

Рисунок 2: Всплывающее окно с запросом «Экономия батареи» после установки

Рисунок 2: Всплывающее окно с запросом «Экономия батареи» после установки

Рисунок 3: Меню специальных возможностей Android с вредоносным сервисом

Рисунок 3: Меню специальных возможностей Android с вредоносным сервисом

Рисунок 3: Меню специальных возможностей Android с вредоносным сервисом

Как только служба включена, поддельный значок Flash Player скрывается от пользователя. Однако в фоновом режиме вредоносная программа занята установлением связи со своим сервером C & C и предоставлением ему информации о скомпрометированном устройстве. Сервер отвечает URL-адресом, ведущим к вредоносному приложению по выбору киберпреступника - в обнаруженном случае - банковскому вредоносному ПО (хотя это может быть любое вредоносное ПО, от рекламного до шпионского и далее до вымогателей). После получения вредоносной ссылки на скомпрометированном устройстве отображается поддельный экран блокировки, на котором нет возможности его закрыть, что позволяет скрыть текущую вредоносную активность под ним.

Рисунок 5: Экран блокировки, охватывающий вредоносную деятельность

Именно тогда пригодится разрешение на имитацию кликов пользователя - теперь вредоносное ПО может свободно загружать, устанавливать, запускать и активировать права администратора устройства для дополнительного вредоносного ПО без согласия пользователя, оставаясь незаметным под экраном фальшивой блокировки. После того, как секретные махинации приложения завершены, наложенный экран исчезает, и пользователь может возобновить использование мобильного устройства - теперь скомпрометировано загруженным вредоносным ПО.

Мое устройство заражено? Как мне это почистить?

Если вы думаете, что могли установить это поддельное обновление Flash Player в прошлом, вы можете легко проверить это, выбрав «Экономия батареи» в разделе «Сервисы» в меню «Доступность». Если это указано в списке служб, ваше устройство вполне может быть заражено.

Отказ от службы с ее разрешениями вернет вас только к первому всплывающему экрану и не избавит от Android / TrojanDownloader.Agent.JI.

Чтобы удалить загрузчик, попробуйте вручную удалить приложение из Настройки -> Диспетчер приложений -> Flash-Player.

В некоторых случаях загрузчик также запрашивает у пользователя активацию прав администратора устройства. Если это так, и вы не можете удалить приложение, деактивируйте права администратора, выбрав «Настройки» -> «Безопасность» -> Flash-Player, а затем продолжите удаление.

Даже после этого ваше устройство может быть заражено бесчисленными вредоносными программами, установленными загрузчиком. Чтобы убедиться, что ваше устройство чистое, мы рекомендуем использовать надежное мобильное приложение для обеспечения безопасности в качестве удобного способа обнаружения и удаления угроз.

Как оставаться в безопасности

Чтобы избежать последствий неприятных мобильных вредоносных программ, профилактика всегда является ключевым фактором. Помимо использования надежных веб-сайтов, есть еще несколько вещей, которые вы можете сделать, чтобы оставаться в безопасности.

Если вы загружаете приложения или обновления в браузере, всегда проверяйте URL-адрес, чтобы убедиться, что вы устанавливаете его из предполагаемого источника. В этом конкретном случае единственное безопасное место для получения обновления Adobe Flash Player - с официального сайта Adobe.

После запуска всего, что вы установили на своем мобильном устройстве, обратите внимание на то, какие разрешения и права оно запрашивает. Если приложение запрашивает разрешения, которые не соответствуют его функциям, не включайте их без двойной проверки.

И последнее, но не менее важное, даже если ничего не помогает, надежное решение для мобильной безопасности защитит ваше устройство от активных угроз.

Если вы хотите узнать больше о вредоносных программах для Android, загляните в наш последнее исследование по теме. Вы также можете посетить стенд ESET в этом году. Mobile World Congress ,

Захват видео с зараженного устройства (время отредактировано)


Показатели компромисса анализируемой выборки (IoCs)

Имя пакета Имяобнаружения

хэша loader.com.loader 4F086B56C98257D6AFD27F04C5C52A48C03E9D62 Android / TrojanDownloader.Agent.JI cosmetiq.fl C6A72B78A28CE14E992189322BE74139AEF2B463 Android / SpyBank.

Как это работает?
Мое устройство заражено?
Как мне это почистить?
Мое устройство заражено?
Как мне это почистить?