Пользователи устройств на базе Android были подвержены атакам через новое вредоносное приложение, имитирующее Adobe Flash Player, которое использовалось в качестве возможной точки входа для многих видов опасных вредоносных программ. Приложение, обнаруженное с помощью программного обеспечения системы безопасности ESET, а именно Android/TrojanDownloader.Agent.JI, подталкивает жертв предоставить ему специальные права доступа в настройках доступности Android-устройства и использует их для загрузки и выполнения других вредоносных программ, по усмотрению злоумышленников.

Как показывают результаты нашего исследования, троян атакует устройств на базе Android, в том числе последние версии. Он распространяется через взломанные веб-сайты, в частности порносайты, а также через социальные сети. Веб-сайты побуждают пользователей загрузить поддельные обновления Adobe Flash Player под видом мер безопасности. Если жертвы попадают на якобы подлинный экран обновлений и начинают установку, за ним следует еще больше ложных экранов.

Рисунок 1. Поддельный экран обновления Flash Player

 

Принцип действия

 

После успешной установки всплывает следующий фальшивый экран с сообщением о «слишком большом расходе электроэнергии», стимулирующем пользователя перейти в поддельный режим «экономии заряда батареи». Как и большинство вредоносных всплывающих окон, сообщение не перестанет появляться до тех пор, пока жертва не поддастся и не активирует нужную службу. После этого открывается меню настроек доступности устройства на базе Android, где отображается список служб с функциями доступности. В числе подлинных служб появляется новая служба (созданная вредоносной программой во время установки) под названием «Экономия заряда батареи». Затем служба запрашивает права доступа, чтобы Отследить ваши действия, Получить содержимое окна и Включить Обзор касанием, каждое из которых имеет решающее значение для будущей вредоносной активности, позволяя злоумышленнику имитировать щелчки пользователя и выбирать любой элемент на экране.

Рисунок 2. Всплывающий экран, запрашивающий режим «Экономии заряда батареи» после установки

 

Рисунок 3. Меню настроек доступности устройства на базе Android с вредоносной службой

 

Рисунок 3. Меню настроек доступности устройства на базе Android с вредоносной службой

 

После активизации службы поддельный значок Flash Player скрывается от пользователя. При этом в фоновом режиме вредоносная программа устанавливает связь со своим командным сервером и пересылает ему сведения о зараженном устройстве. В ответ сервер посылает URL-ссылку на вредоносное приложение, выбранное злоумышленником, – в обнаруженном случае на банковское вредоносное ПО (но это может быть любая вредоносная программа, начиная от рекламного ПО до шпионского и вымогательского ПО). После получения вредоносной ссылки зараженное устройство отображает поддельный экран блокировки, за которым срывается текущая вредоносная активность, при этом пользователь не имеет возможности его закрыть.

 

Рисунок 5. Экран блокировки, скрывающий вредоносную активность

 

В этот момент используется разрешение на имитацию щелчков пользователя, после чего вредоносная программа может загружать, устанавливать, выполнять и активировать права администратора устройства для инсталляции дополнительного вредоносного ПО без согласия пользователя – и эта активность остается невидимой из-за поддельного экрана блокировки. После выполнения таких тайных махинаций перекрывающий экран исчезает, и пользователь может снова использовать свое мобильное устройство, которое теперь заражено загруженным вредоносным ПО.

 

Заражено ли мое устройство? Как его очистить?

 

Если вы опасаетесь, что когда-либо могли установить такое фальшивое обновление Flash Player, вы можете это легко определить, проверив наличие «Экономии заряда батареи» в пункте «Службы» в меню настроек доступности. Если в службах активирован данный режим, ваше устройство, скорее всего, заражено.

В случае отзыва прав доступа для службы вы лишь вернетесь к первому всплывающему окну, но не избавитесь от Android/TrojanDownloader.Agent.JI.

Чтобы удалить загрузчик, попробуйте вручную удалить приложение из меню Настройки -> Диспетчер приложений -> Flash-Player.

Загрузчик может запросить пользователя активировать права администратора устройства. Если в данном случае вы не можете деинсталлировать приложение, отключите права администратора через Настройки -> Безопасность -> Flash-Player, а затем выполните деинсталляцию.

Даже после указанных действий устройство может быть по-прежнему заражено многочисленными вредоносными приложениями, установленными загрузчиком. Чтобы убедиться в том, что ваше устройство очищено, рекомендуем использовать надежное мобильное приложение системы безопасности в качестве удобного способа обнаружения и устранения угроз.

 

Как себя защитить

 

Во избежание последствий неприятного заражения мобильными вредоносными программами рекомендуется принимать меры предосторожности. Помимо использования надежных сайтов, ознакомьтесь с некоторыми другими рекомендациями для обеспечения безопасности.

При загрузке приложений или обновлений в своем браузере всегда проверяйте URL-адрес, чтобы установка производилась из нужного источника. В данном конкретном случае обновление Adobe Flash Player можно безопасно загрузить только с официального сайта Adobe.

После запуска установленного компонента на своем мобильном устройстве, обратите внимание на то, какие разрешения и права он запрашивает. Если приложение запрашивает права доступа, которые не соответствуют его назначению, не предоставляйте такие права без перепроверки.

И последнее, но не менее важное, даже если меры предосторожности не помогли, от активных угроз вас защитит надежное решение по обеспечению безопасности мобильного устройства.

Чтобы узнать больше о вредоносных программах для устройств на базе Android, ознакомьтесь с нашим последним исследованием на данную тему. Также приглашаем вас к стенду компании ESET на выставке Mobile World Congress, которая состоится в этом году.

 

Видеоизображение зараженного устройства (с корректировкой времени)


 

Проанализированные показатели компрометации (IoCs) образца

 

Название пакета Хэш Название вируса
loader.com.loader 4F086B56C98257D6AFD27F04C5C52A48C03E9D62 Android/TrojanDownloader.Agent.JI
cosmetiq.fl C6A72B78A28CE14E992189322BE74139AEF2B463 Android/Spy.Banker.HD

 

Источник: WeLiveSecurity