根据ESET研究所最新研究成果,发现了一种伪装成Adobe Flash Player升级程序的安卓恶意软件下载器。
尽管早在2011年Adobe就表示将停止为移动设备开发 Flash Player,2012年,Flash Player正式退出 Android 平台。但是仍然无法避免网络犯罪分子滥用它,来诱使不知情的用户下载并安装他们的恶意程序。通常情况下,攻击者主要通过一个精心设计、高度仿真的外观来诱使用户下载并安装该虚假的升级程序。
此次ESET发现的恶意程序名为“Android/*Downloader.Agent.JI,这一新型威胁主要使用“模仿用户点击” 这种技术来感染用户的设备,浏览社交媒体和成人网站信息。恶意程序安装后会呈现给受害者更具欺骗性的屏幕提示,诱骗他们在Android上可访问菜单中赋予其特殊权限,该权限可以允许其下载并执行额外的恶意软件程序。
在这种情况下,该木马程序会弹出一个提醒窗口通知受害者“消耗过多电量”,建议启动“省电模式”。像大多数恶意软件一样,该木马下载器不接受否定的答复,并将继续显示提示信息,直到用户同意支持服务为止。
此时,该恶意程序将受害者引导至“系统设置”->“辅助功能”菜单,该菜单选项中展示了具备辅助功能的服务列表,其中就包括了恶意软件在安装过程中创建的名为“省电”的新服务。当用户启用它之后,它就会请求获得监听操作、获取窗口内容和触屏导航等权限。
一旦服务已经启动,即使虚假的Flash Player图标被用户隐藏掉,恶意软件程序依然可以在后台运行。它可以连接指挥和控制(C&C)服务器来传输受感染设备中的信息以及接收一个恶意软件下载链接(可能是银行恶意软件、勒索软件、广告软件或是间谍软件等)。
ESET解释称,收到链接后,恶意软件会显示一个用户无法撤销的虚假锁屏页面,用来掩盖其正在进行的违法活动。因为它具备“模仿用户点击”的权限,所以木马可以进行“下载、安装、执行以及在用户不知情的状况下为其他恶意程序激活设备管理权限等”,而所有这些行为都是在受害者看不到的“假锁屏”页面下进行的。
想要移除恶意程序,用户可以遵循以下设置步骤:设置->应用程序管理器,并尝试手动卸载该程序。但是因为恶意程序应该具备设备管理权限,所以用户应该遵循如下步骤:设置->安全->Flash播放器,然后首先禁用这些权限和程序。
然而,卸载下载器可能只是解决方案的一部分,因为该程序获取和安装的恶意软件仍然存在于受感染的设备上。受害者应该安装一个移动安全应用程序来进行一次全面彻底地清理。
说到安全防护,用户应该避免从第三方服务商以及不受信任的网站下载、安装应用程序,只能使用合法的应用程序商店,例如Google Play等等。此外,用户还需要格外注意新安装应用程序的权限请求,因为那些看起来不合理的软件功能可能是一个“恶意的赠品”。