安卓現新的木馬病毒，可模仿用戶點擊下載危險的惡意軟體

安卓用戶正面臨一個新的威脅，威脅來自於一個模仿Adobe Flash Player的惡意APP，名為Android/TrojanDownloader.Agent.JI，可為多種危險的惡意軟體提供潛在的入口。

這款APP在安卓的輔助功能菜單（Android accessibility menu ）中騙取受害者的授權後，便可下載和運行更多的惡意軟體。

分析研究表明，這款木馬的攻擊目標是使用安卓系統的設備，包括最新的版本，通過受感染的網站和社會媒體傳播。

以加強安全措施為借口，受感染的網站會引誘用戶下載一個假的Adobe Flash Player更新，如果受害者被看似正規合法的更新界面所迷惑，運行了安裝程序，那麼你就中招了，更多的欺騙界面將隨之而來。

圖一 假的Flash Player更新界面

木馬的工作原理

安裝完成之後，下一個欺騙界面會顯示「電量過度消耗」，並提示用戶打開假的「省電」模式。就像大多數的惡意軟體一樣，如果用戶不啟用「省電」模式，提示消息便會一直出現。

當用戶同意啟用之後，會出現安卓的輔助功能菜單，菜單里列出了有此功能的服務，惡意軟體在安裝過程中生成的「省電」服務便混在那些合法的服務當中。

「省電」服務請求允許監控用戶的操作行為、檢索窗口內容、開啟觸摸瀏覽（Explore by Touch），為之後的惡意操作打下基礎。

這些功能開啟之後，攻擊者便能模擬用戶的點擊行為，選擇屏幕上顯示的任何內容。

圖二 安裝更新之後跳出的請求開啟「省電」模式界面

圖三 包含惡意服務的安卓輔助功能

圖四 包含惡意服務的安卓輔助功能

一旦服務被啟用，假的Flash Player 圖標便會隱藏。

惡意軟體在後台瘋狂的運行，將受感染設備的信息發送到自己的C&C server，伺服器隨後會發送一個URL指向到網路罪犯選擇的任意一個惡意APP，這個惡意APP可以是廣告軟體、間諜軟體、或者是勒索軟體，我們檢測到的是銀行惡意軟體。

一旦獲取了惡意鏈接，受感染的設備會顯示一個無法關閉的假的鎖屏頁面，頁面之下惡意操作正在上演。

圖五 鎖屏掩蓋下，惡意操作正在上演

拿到模擬用戶點擊的授權之後，惡意軟體便可以自由的下載、安裝、運行、並激活設備的管理者許可權，為更多的惡意軟體打開通道，它們不需要得到用戶的許可，這一切的發生都躲在假的鎖屏下。等這一套把戲結束了，假的鎖屏頁面消失了，用戶便可以繼續使用他們已經被惡意軟體感染的移動設備。

如何檢測是否被感染

如果你覺得之前可能安裝過這個假的Flash Player更新，可以檢查一下輔助功能菜單里有沒有「省電」這個服務，如果有，那麼你的設備已經被感染了。

拒絕服務只能讓你回到最初的彈出界面，並不能卸載掉Android/TrojanDownloader.Agent.JI. 想要徹底移除，可以嘗試在設置->應用管理-> Flash-Player中手動卸載（Settings-> Application Manager -> Flash-Player）。

如果downloader獲取了設備的管理者許可權，受害者需在設置->安全->Flash-Player中禁用downloader的許可權（Settings -> Security -> Flash-Player），然後再卸載。

即便卸載了，你的設備可能還是會被downloader安裝的眾多惡意軟體感染。為了確保你的設備不被感染，我們建議用戶使用信譽高的移動安全APP來幫助用戶檢測和消除威脅。

如何遠離惡意軟體

想要避免惡意軟體帶來的危害，預防是關鍵。除了訪問可信任的網站，下面的方法也能幫助你遠離惡意軟體。

當你在網頁中下載APP或者是下載更新的時候，一定要檢查URL地址，以確保安裝來源是預期中的正確來源。在這個案例中，唯一安全的Adobe Flash Player update來源是Adobe的官方網站。

當你在移動設備上運行安裝的軟體時，要留意軟體請求哪些許可和許可權。如果一個APP請求了與它的功能不相關的許可權，不要輕易同意啟用，要多檢查幾遍。

最後，即便之前的預防措施都失敗了，一款卓越的移動安全應用將會保護你的設備遠離主動威脅。

視頻片段（截取自被感染的設備）

http://www.welivesecurity.com/2017/02/14/new-android-trojan-mimics-user-clicks-download-dangerous-malware/

分析示例

*本文作者：金烏實驗室，參考來源：

welivesecurity

，轉載請註明來自Freebuf.COM