安卓现新的木马病毒,可模仿用户点击下载危险的恶意软件

安卓用户正面临一个新的威胁,威胁来自于一个模仿Adobe Flash Player的恶意APP,名为Android/TrojanDownloader.Agent.JI,可为多种危险的恶意软件提供潜在的入口。

这款APP在安卓的辅助功能菜单(Android accessibility menu )中骗取受害者的授权后,便可下载和运行更多的恶意软件。

分析研究表明,这款木马的攻击目标是使用安卓系统的设备,包括最新的版本,通过受感染的网站和社会媒体传播。

以加强安全措施为借口,受感染的网站会引诱用户下载一个假的Adobe Flash Player更新,如果受害者被看似正规合法的更新界面所迷惑,运行了安装程序,那么你就中招了,更多的欺骗界面将随之而来。

图一 假的Flash Player更新界面

木马的工作原理

安装完成之后,下一个欺骗界面会显示“电量过度消耗”,并提示用户打开假的“省电”模式。就像大多数的恶意软件一样,如果用户不启用“省电”模式,提示消息便会一直出现。

当用户同意启用之后,会出现安卓的辅助功能菜单,菜单里列出了有此功能的服务,恶意软件在安装过程中生成的“省电”服务便混在那些合法的服务当中。

“省电”服务请求允许监控用户的操作行为、检索窗口内容、开启触摸浏览(Explore by Touch),为之后的恶意操作打下基础。

这些功能开启之后,攻击者便能模拟用户的点击行为,选择屏幕上显示的任何内容。

图二 安装更新之后跳出的请求开启“省电”模式界面

图三 包含恶意服务的安卓辅助功能

图四 包含恶意服务的安卓辅助功能

一旦服务被启用,假的Flash Player 图标便会隐藏。

恶意软件在后台疯狂的运行,将受感染设备的信息发送到自己的C&C server,服务器随后会发送一个URL指向到网络罪犯选择的任意一个恶意APP,这个恶意APP可以是广告软件、间谍软件、或者是勒索软件,我们检测到的是银行恶意软件。

一旦获取了恶意链接,受感染的设备会显示一个无法关闭的假的锁屏页面,页面之下恶意操作正在上演。

图五 锁屏掩盖下,恶意操作正在上演

拿到模拟用户点击的授权之后,恶意软件便可以自由的下载、安装、运行、并激活设备的管理者权限,为更多的恶意软件打开通道,它们不需要得到用户的许可,这一切的发生都躲在假的锁屏下。等这一套把戏结束了,假的锁屏页面消失了,用户便可以继续使用他们已经被恶意软件感染的移动设备。

如何检测是否被感染

如果你觉得之前可能安装过这个假的Flash Player更新,可以检查一下辅助功能菜单里有没有“省电”这个服务,如果有,那么你的设备已经被感染了。

拒绝服务只能让你回到最初的弹出界面,并不能卸载掉Android/TrojanDownloader.Agent.JI. 想要彻底移除,可以尝试在设置->应用管理-> Flash-Player中手动卸载(Settings-> Application Manager -> Flash-Player)。

如果downloader获取了设备的管理者权限,受害者需在设置->安全->Flash-Player中禁用downloader的权限(Settings -> Security -> Flash-Player),然后再卸载。

即便卸载了,你的设备可能还是会被downloader安装的众多恶意软件感染。为了确保你的设备不被感染,我们建议用户使用信誉高的移动安全APP来帮助用户检测和消除威胁。

如何远离恶意软件

想要避免恶意软件带来的危害,预防是关键。除了访问可信任的网站,下面的方法也能帮助你远离恶意软件。

当你在网页中下载APP或者是下载更新的时候,一定要检查URL地址,以确保安装来源是预期中的正确来源。在这个案例中,唯一安全的Adobe Flash Player update来源是Adobe的官方网站。

当你在移动设备上运行安装的软件时,要留意软件请求哪些许可和权限。如果一个APP请求了与它的功能不相关的权限,不要轻易同意启用,要多检查几遍。

最后,即便之前的预防措施都失败了,一款卓越的移动安全应用将会保护你的设备远离主动威胁。

视频片段(截取自被感染的设备)

http://www.welivesecurity.com/2017/02/14/new-android-trojan-mimics-user-clicks-download-dangerous-malware/

分析示例

Package Name

Hash

Detection name

loader.com.loader

4F086B56C98257D6AFD27F04C5C52A48C03E9D62

Android/TrojanDownloader.Agent.JI

cosmetiq.fl

C6A72B78A28CE14E992189322BE74139AEF2B463

Android/Spy.Banker.HD

本文分享自微信公众号 - FreeBuf(freebuf)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2017-02-27

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

地下暗流系列 |“免费雇佣”数十万用户,TigerEyeing病毒云控推广上千应用

一、概要 近期,腾讯反诈骗实验室和移动安全实验室通过自研AI引擎—TRP,从海量样本中监测到一个后门病毒家族TigerEyeing,据腾讯反诈骗实验室和移动安全...

236100
来自专栏ytkah

认证的政府与媒体类订阅号可取得网页授权接口了

  继四月底已认证的政府与媒体类订阅号可申请微信支付后,今天微信公众平台向认证的政府与媒体类订阅号开放网页授权接口,授权后可以调用相应的接口,比如获取自动回复和...

1.3K50
来自专栏NewTech视野

从黑客那里保护公司网站的12个技巧

通常您的网站开放运行如同无需锁门但依然安全开放的办公室一样:因为大多数人不会仅仅步入并访问您的办公室就洞察到您所有的数据信息。偶尔您会发现有不怀好意的人进入并偷...

11000
来自专栏鹅厂网事

谁动了我的域名

昨天小编邀请了我们负责域名解析的好伙伴---廖伟健为我们分享了域名相关的内容,惊闻昨晚两家知名企业域名解析突发故障,今天我们再次请到廖伟健给我们分析一下! 一...

45350
来自专栏企鹅号快讯

假日出行必备:专家解析如何在公共Wi-Fi网络下保护个人隐私

“用指尖改变世界” ? 对于外出的我们来说,公共Wi-Fi网络在很多方面都是很棒的。因为它是免费的,能够节省我们很多的移动数据流量,并且提供更快的下载速度。 然...

22450
来自专栏镁客网

苹果macOS又出漏洞,App Store设置可用任意密码解锁 | 热点

15430
来自专栏Seebug漏洞平台

创建简单、免费的恶意软件分析环境

原文地址:Creating a Simple Free Malware Analysis Environment

42960
来自专栏FreeBuf

20多万台MikroTik路由器被黑,用户被迫扛起锄头挖矿

研究人员发现20 多万台MikroTik路由器被黑客接管,让用户不知不觉中为他们挖矿。

13130
来自专栏云鼎实验室的专栏

WannaCry 勒索病毒数据恢复指引

受 WannaCry 勒索病毒影响,许多遭受攻击的电脑中的大部分文件被加密而被勒索要求支付比特币以进行解密文件。我们在13号媒体采访时提到,可使用数据恢复软件通...

5.3K10
来自专栏FreeBuf

FIT 2016集锦 | 解锁iOS手势密码的正确姿势

刚刚过去的FreeBuf互联网安全创新大会(FIT)中,平安科技银河实验室安全研究员姜若芾带来的“解锁iOS手势密码”的议题尤为吸睛。 什么是手势密码? 手势密...

27780

扫码关注云+社区

领取腾讯云代金券