Androidi kasutajaid ohustab uus pahatahtlik äpp, mis imiteerib Adobe Flash Playerit ja mis toimib potentsiaalse sissepääsuna erinevat tüüpi muule ohtlikule pahavarale. See ESETi turbetarkvara poolt Android/TrojanDownloader.Agent.JI nimega tuvastatud äpp meelitab ohvrid pettusega andma endale erilubasid Androidi pääsumenüüs ning kasutab neid, et laadida alla ja täita ründajate valitud täiendavat pahavara.
Meie analüüs näitab, et see troojalane ründab Androidiga seadmeid, kaasa arvatud selle värskeimaid versioone. Seda levitatakse kompromiteeritud veebisaitide – täiskasvanutele mõeldud videosaitide, aga ka sotsiaalmeedia kaudu. Need veebisaidid meelitavad turbemeetmete rakendamise ettekäändel kasutaja Adobe Flash Playeri võltsvärskendust alla laadima. Kui ohver laseb end seaduslikuna näivast värskenduskuvast ära petta ja käivitab installeerimise, siis ootavad teda ees veel nii mitmedki petukuvad.
Joonis 1: Adobe Flash Playeri võltsitud värskenduskuva
Kuidas see toimib?
Eduka installeerimise järel avaneb järgmine petukuva, mis väidab, et seadme “Energiatarve on liiga suur” ja soovitab kasutajal tungivalt lülitada sisse “Akulaengu säästmise” võltsrežiimi. Sarnaselt enamikule pahatahtlikele hüpikkuvadele ei lakka ka see sõnum ilmumast enne, kui ohver annab alla ja nõustub teenuse deblokeerima. Sellega avaneb Androidi pääsumenüü, milles on teenuste loend koos pääsufunktsioonidega. Seaduspäraste sekka ilmub uus teenus (pahavara poolt installeerimise ajal loodud) nimega “Akulaengu säästmine”. Seejärel palub teenus luba seirata sinu tegevusi, otsida välja akna sisu ja lülitada uurimist puudutusega sisse. Kõik need load on üliolulised edasise pahatahtliku tegevuse seisukohast, kuna need võimaldavad ründajal aimata järele kasutaja klõpse ja valida kõike ekraanil kuvatavat.
Joonis 2: Hüpikkuva, mis nõuab pärast installeerimist akulaengu säästmise režiimi deblokeerimist
Joonis 3: Androidi pääsumenüü koos pahatahtliku teenusega
Joonis 4: Androidi pääsumenüü koos pahatahtliku teenusega
Kui kord teenus saab deblokeeritud, siis peitub võltsitud Adobe Flash Playeri ikoon kasutaja eest. Ent taustal võtab pahavara ühendust oma käsu- ja kontrolliserveriga ning annab sellele infot kompromiteeritud seadme kohta. Server vastab URLiga, mis viib küberkurjategija valitud pahatahtlikule rakendusele, milleks oli meie poolt tuvastatud juhtumi puhul panganduspahavara (kuigi selleks oleks võinud olla mis tahes pahavara alates reklaamvarast kuni nuhkvarani ja sellest edasi kuni lunavarani). Pärast pahatahtliku lingi saamist kuvab kompromiteeritud seade võltsitud lukustuskuva, mida ei saa sulgeda, varjamaks selle all asetleidvat pahatahtlikku tegevust.
Joonis 5: Pahatahtlikku tegevust varjav lukustuskuva
Ja just nüüd läheb vaja luba aimata järele kasutaja klõpse – pahavara on nüüd ilma kasutaja nõusolekuta vaba laadima alla, installeerima ja täitma täiendavat pahavara ning aktiveerima seadme administraatori õigusi selle tarvis, püsides ise seda tehes nähtamatuna võltsitud lukustuskuva all. Kui äpp saab oma kelmused tehtud, siis kattekuva kaob ja kasutaja saab jätkata mobiilse seadme kasutamist, mis on nüüd kompromiteeritud allalaaditud pahavara poolt.
Kas minu seade on nakatunud? Kuidas see puhastada?
Kui arvate, et võite olla millalgi installeerinud selle võltsitud Adobe Flash Playeri värskenduse, siis annab seda lihtsalt kontrollida. Kontrollige, kas teie pääsumenüüs on teenuste all akulaengu säästmise teenus “Saving Battery”. Kui see sisaldub teenuste nimekirjas, siis võib teie seade olla nakatunud.
Teenusele lubade keelamine viib vaid tagasi esimesele hüpikkuvale, ent ei vabasta teid ikka Android/TrojanDownloader.Agent.JI pahavarast.
Proovige selle allalaadija eemaldamiseks äpp käsitsi desinstalleerida järgmist teed pidi: Seadistused -> Äpihaldur -> Flash-Player.
Mõnel juhul palub allalaadija kasutajal aktiveerida ka seadme administraatori õigused. Kui see on nii ja te ei saa äppi desinstalleerida, siis deaktiveerige esmalt administraatori õigused järgmist teed pidi – Seadistused -> Turve -> Flash-Player – ja püüdke äpp seejärel desinstalleerida.
Isegi pärast selle allalaadija desinstalleerimist võib teie seade olla ikka nakatunud lugematute pahatahtlike äppidega, mille allalaadija on juba jõudnud installeerida. Et olla kindel, et seade on puhas, on soovitav kasutada mainekat mobiilse turbe äppi ohtude kindlaks ja mugavaks tuvastamiseks ja eemaldamiseks.
Kuidas turvalisust säilitada?
Ennetus on see, mis hoiab ära vastiku mobiilse pahavara tagajärgedega tegelemise vajaduse. Te saate lisaks üksnes usaldusväärsete veebisaitide külastamisele teha veel paari asja turvalisuse säilitamiseks.
Kontrollige brauseriga äppe või värskendusi alla laadides alati internetiaadressi, et olla kindel, et te installeerite selle ikka soovitud allikast. Antud konkreetsel juhul oleks ainus turvaline Adobe Flash Playeri värskenduse hankimise koht Adobe ametlik veebisait.
Kui olete millegi äsja oma mobiilsele seadmele installeerinud, siis pöörake seda käivitades tähelepanu sellele, milliseid lubasid ja õigusi see palub. Kui äpp palub selliseid lubasid, mis ei näi olevat asjakohased selle funktsiooni arvestades, siis ärge neid deblokeerige enne, kui olete kaks korda üle kontrollinud.
Ja pidage viimase abinõuna meeles, et mainekas mobiilse turbe lahendus suudab kaitsta teie seadet aktiivsete ohtude eest.
Kui soovite saada rohkem infot Androidi-põhise pahavara kohta, siis tutvuge meie selleteemalise värskeima uuringuga. Olete teretulnud külastama ka ESETi väljapanekut käesoleva aasta mobiilse maailma kongressil.
Videohõive nakatunud seadmelt (ajakulu ei vasta tegelikkusele)
Analüüsitud näidise kompromiteerimise indikaatorid
| Paketi nimi | Osund | Tuvastusnimi |
| loader.com.loader | 4F086B56C98257D6AFD27F04C5C52A48C03E9D62 | Android/TrojanDownloader.Agent.JI |
| cosmetiq.fl | C6A72B78A28CE14E992189322BE74139AEF2B463 | Android/Spy.Banker.HD |
Allikas: WeLiveSecurity
