Пользователи устройств на базе Android были подвержены атакам через новое вредоносное приложение, имитирующее Adobe Flash Player, которое использовалось в качестве возможной точки входа для многих видов опасных вредоносных программ. Приложение, обнаруженное с помощью программного обеспечения системы безопасности ESET, а именно Android/TrojanDownloader.Agent.JI, подталкивает жертв предоставить ему специальные права доступа в настройках доступности Android-устройства и использует их для загрузки и выполнения других вредоносных программ, по усмотрению злоумышленников.

Как показывают результаты нашего исследования, троян атакует устройств на базе Android, в том числе последние версии. Он распространяется через взломанные веб-сайты, в частности порносайты, а также через социальные сети. Веб-сайты побуждают пользователей загрузить поддельные обновления Adobe Flash Player под видом мер безопасности. Если жертвы попадают на якобы подлинный экран обновлений и начинают установку, за ним следует еще больше ложных экранов.

Принцип действия

После успешной установки всплывает следующий фальшивый экран с сообщением о «слишком большом расходе электроэнергии», стимулирующем пользователя перейти в поддельный режим «экономии заряда батареи». Как и большинство вредоносных всплывающих окон, сообщение не перестанет появляться до тех пор, пока жертва не поддастся и не активирует нужную службу. После этого открывается меню настроек доступности устройства на базе Android, где отображается список служб с функциями доступности. В числе подлинных служб появляется новая служба (созданная вредоносной программой во время установки) под названием «Экономия заряда батареи». Затем служба запрашивает права доступа, чтобы Отследить ваши действия, Получить содержимое окна и Включить Обзор касанием, каждое из которых имеет решающее значение для будущей вредоносной активности, позволяя злоумышленнику имитировать щелчки пользователя и выбирать любой элемент на экране.

После активизации службы поддельный значок Flash Player скрывается от пользователя. При этом в фоновом режиме вредоносная программа устанавливает связь со своим командным сервером и пересылает ему сведения о зараженном устройстве. В ответ сервер посылает URL-ссылку на вредоносное приложение, выбранное злоумышленником, – в обнаруженном случае на банковское вредоносное ПО (но это может быть любая вредоносная программа, начиная от рекламного ПО до шпионского и вымогательского ПО). После получения вредоносной ссылки зараженное устройство отображает поддельный экран блокировки, за которым срывается текущая вредоносная активность, при этом пользователь не имеет возможности его закрыть.

В этот момент используется разрешение на имитацию щелчков пользователя, после чего вредоносная программа может загружать, устанавливать, выполнять и активировать права администратора устройства для инсталляции дополнительного вредоносного ПО без согласия пользователя – и эта активность остается невидимой из-за поддельного экрана блокировки. После выполнения таких тайных махинаций перекрывающий экран исчезает, и пользователь может снова использовать свое мобильное устройство, которое теперь заражено загруженным вредоносным ПО.

Заражено ли мое устройство? Как его очистить?

Если вы опасаетесь, что когда-либо могли установить такое фальшивое обновление Flash Player, вы можете это легко определить, проверив наличие «Экономии заряда батареи» в пункте «Службы» в меню настроек доступности. Если в службах активирован данный режим, ваше устройство, скорее всего, заражено.

В случае отзыва прав доступа для службы вы лишь вернетесь к первому всплывающему окну, но не избавитесь от Android/TrojanDownloader.Agent.JI.

Чтобы удалить загрузчик, попробуйте вручную удалить приложение из меню Настройки -> Диспетчер приложений -> Flash-Player.

Загрузчик может запросить пользователя активировать права администратора устройства. Если в данном случае вы не можете деинсталлировать приложение, отключите права администратора через Настройки -> Безопасность -> Flash-Player, а затем выполните деинсталляцию.

Даже после указанных действий устройство может быть по-прежнему заражено многочисленными вредоносными приложениями, установленными загрузчиком. Чтобы убедиться в том, что ваше устройство очищено, рекомендуем использовать надежное мобильное приложение системы безопасности в качестве удобного способа обнаружения и устранения угроз.

Как себя защитить

Во избежание последствий неприятного заражения мобильными вредоносными программами рекомендуется принимать меры предосторожности. Помимо использования надежных сайтов, ознакомьтесь с некоторыми другими рекомендациями для обеспечения безопасности.

При загрузке приложений или обновлений в своем браузере всегда проверяйте URL-адрес, чтобы установка производилась из нужного источника. В данном конкретном случае обновление Adobe Flash Player можно безопасно загрузить только с официального сайта Adobe.

После запуска установленного компонента на своем мобильном устройстве, обратите внимание на то, какие разрешения и права он запрашивает. Если приложение запрашивает права доступа, которые не соответствуют его назначению, не предоставляйте такие права без перепроверки.

И последнее, но не менее важное, даже если меры предосторожности не помогли, от активных угроз вас защитит надежное решение по обеспечению безопасности мобильного устройства.

Чтобы узнать больше о вредоносных программах для устройств на базе Android, ознакомьтесь с нашим последним исследованием на данную тему. Также приглашаем вас к стенду компании ESET на выставке Mobile World Congress, которая состоится в этом году.

Видеоизображение зараженного устройства (с корректировкой времени)

Проанализированные показатели компрометации (IoCs) образца