安卓現新的木馬病毒,可模仿用戶點擊下載危險的惡意軟體
安卓用戶正面臨一個新的威脅,威脅來自於一個模仿Adobe Flash Player的惡意APP,名為Android/TrojanDownloader.Agent.JI,可為多種危險的惡意軟體提供潛在的入口。
這款APP在安卓的輔助功能菜單(Android accessibility menu )中騙取受害者的授權後,便可下載和運行更多的惡意軟體。
分析研究表明,這款木馬的攻擊目標是使用安卓系統的設備,包括最新的版本,通過受感染的網站和社會媒體傳播。
以加強安全措施為借口,受感染的網站會引誘用戶下載一個假的Adobe Flash Player更新,如果受害者被看似正規合法的更新界面所迷惑,運行了安裝程序,那麼你就中招了,更多的欺騙界面將隨之而來。
圖一 假的Flash Player更新界面
木馬的工作原理
安裝完成之後,下一個欺騙界面會顯示「電量過度消耗」,並提示用戶打開假的「省電」模式。就像大多數的惡意軟體一樣,如果用戶不啟用「省電」模式,提示消息便會一直出現。
當用戶同意啟用之後,會出現安卓的輔助功能菜單,菜單里列出了有此功能的服務,惡意軟體在安裝過程中生成的「省電」服務便混在那些合法的服務當中。
「省電」服務請求允許監控用戶的操作行為、檢索窗口內容、開啟觸摸瀏覽(Explore by Touch),為之後的惡意操作打下基礎。
這些功能開啟之後,攻擊者便能模擬用戶的點擊行為,選擇屏幕上顯示的任何內容。
圖二 安裝更新之後跳出的請求開啟「省電」模式界面
圖三 包含惡意服務的安卓輔助功能
圖四 包含惡意服務的安卓輔助功能
一旦服務被啟用,假的Flash Player 圖標便會隱藏。
惡意軟體在後台瘋狂的運行,將受感染設備的信息發送到自己的C&C server,伺服器隨後會發送一個URL指向到網路罪犯選擇的任意一個惡意APP,這個惡意APP可以是廣告軟體、間諜軟體、或者是勒索軟體,我們檢測到的是銀行惡意軟體。
一旦獲取了惡意鏈接,受感染的設備會顯示一個無法關閉的假的鎖屏頁面,頁面之下惡意操作正在上演。
圖五 鎖屏掩蓋下,惡意操作正在上演
拿到模擬用戶點擊的授權之後,惡意軟體便可以自由的下載、安裝、運行、並激活設備的管理者許可權,為更多的惡意軟體打開通道,它們不需要得到用戶的許可,這一切的發生都躲在假的鎖屏下。等這一套把戲結束了,假的鎖屏頁面消失了,用戶便可以繼續使用他們已經被惡意軟體感染的移動設備。
如何檢測是否被感染
如果你覺得之前可能安裝過這個假的Flash Player更新,可以檢查一下輔助功能菜單里有沒有「省電」這個服務,如果有,那麼你的設備已經被感染了。
拒絕服務只能讓你回到最初的彈出界面,並不能卸載掉Android/TrojanDownloader.Agent.JI. 想要徹底移除,可以嘗試在設置->應用管理-> Flash-Player中手動卸載(Settings-> Application Manager -> Flash-Player)。
如果downloader獲取了設備的管理者許可權,受害者需在設置->安全->Flash-Player中禁用downloader的許可權(Settings -> Security -> Flash-Player),然後再卸載。
即便卸載了,你的設備可能還是會被downloader安裝的眾多惡意軟體感染。為了確保你的設備不被感染,我們建議用戶使用信譽高的移動安全APP來幫助用戶檢測和消除威脅。
如何遠離惡意軟體
想要避免惡意軟體帶來的危害,預防是關鍵。除了訪問可信任的網站,下面的方法也能幫助你遠離惡意軟體。
當你在網頁中下載APP或者是下載更新的時候,一定要檢查URL地址,以確保安裝來源是預期中的正確來源。在這個案例中,唯一安全的Adobe Flash Player update來源是Adobe的官方網站。
當你在移動設備上運行安裝的軟體時,要留意軟體請求哪些許可和許可權。如果一個APP請求了與它的功能不相關的許可權,不要輕易同意啟用,要多檢查幾遍。
最後,即便之前的預防措施都失敗了,一款卓越的移動安全應用將會保護你的設備遠離主動威脅。
視頻片段(截取自被感染的設備)
http://www.welivesecurity.com/2017/02/14/new-android-trojan-mimics-user-clicks-download-dangerous-malware/
分析示例
Package Name | Hash | Detection name |
---|---|---|
loader.com.loader | 4F086B56C98257D6AFD27F04C5C52A48C03E9D62 | Android/TrojanDownloader.Agent.JI |
cosmetiq.fl | C6A72B78A28CE14E992189322BE74139AEF2B463 | Android/Spy.Banker.HD |
*本文作者:金烏實驗室,參考來源:
welivesecurity
,轉載請註明來自Freebuf.COM
※往水裡投毒?解析針對工業控制系統的勒索攻擊
※雖然SHA-1遭遇碰撞攻擊,但「天還沒塌」
※賭場老千與老虎機的故事(下集) | 在偽隨機數的幫助下走遠了
※手把手教你構建8個GPU的破密碼機
TAG:FreeBuf |
※蘋果用戶小心了!新型惡意病毒肆虐,不要亂輸密碼!
※安卓用戶下載應用當心!該版本以下的安卓手機都會被惡意軟體攻擊
※用戶隱私or服務質量?蘋果面臨的新難題
※安卓用戶注意這三點!新型詐騙很可能讓你的錢不翼而飛!
※Mac用戶「注意」透過帶惡意軟體,山寨版更新要搶你網路流量
※共享寶馬的火爆,真的傷害了品牌與用戶?
※餓了么最大弊病顯現,活躍用戶碾壓同行,卻難以轉化為有效流量
※廚房裝修注意這些問題,打理的確可以事半功倍,而且整體效果和用戶體驗絕對是極好的!
※尊重用戶隱私:蘋果新專利可改變屏幕可視角度
※蘋果安全?熱更新功能關閉防止上架軟體給用戶造成更新安全
※物極必反!高色域電視並不能為用戶帶來實際意義
※蘋果用戶,很難轉為安卓用戶
※Android用戶注意了,新型惡意軟體可控制手機,還能勒索
※勒索病毒黑客下一步新目標 將對準用戶手機
※「想哭」勒索軟體威脅或將持續 用戶仍然面臨風險
※植物硒產品用戶見證:腰椎間盤突出,飛蚊症,腦中風
※努比亞手機的短板 改變現狀才能擁有用戶
※小米疑侵犯用戶隱私?智能手機正在泄漏你的秘密
※產品的過度炒作很危險,只有能留住用戶的產品才算成功