安卓用戶正面臨一個新的威脅，威脅來自于一個模仿Adobe Flash Player的惡意APP，名為Android/TrojanDownloader.Agent.JI，可為多種危險的惡意軟件提供潛在的入口。這款APP在安卓的輔助功能菜單(Android accessibility menu )中騙取受害者的授權后，便可下載和運行更多的惡意軟件。

　　分析研究表明，這款木馬的攻擊目標是使用安卓系統的設備，包括最新的版本，通過受感染的網站和社會媒體傳播。以加強安全措施為借口，受感染的網站會引誘用戶下載一個假的Adobe Flash Player更新，如果受害者被看似正規合法的更新界面所迷惑，運行了安裝程序，那么你就中招了，更多的欺騙界面將隨之而來。

圖一 假的Flash Player更新界面

　　木馬的工作原理

　　安裝完成之后，下一個欺騙界面會顯示“電量過度消耗”，并提示用戶打開假的“省電”模式。就像大多數的惡意軟件一樣，如果用戶不啟用“省電”模式，提示消息便會一直出現。當用戶同意啟用之后，會出現安卓的輔助功能菜單，菜單里列出了有此功能的服務，惡意軟件在安裝過程中生成的“省電”服務便混在那些合法的服務當中?！笆‰姟狈照埱笤试S監控用戶的操作行為、檢索窗口內容、開啟觸摸瀏覽(Explore by Touch)，為之后的惡意操作打下基礎。這些功能開啟之后，攻擊者便能模擬用戶的點擊行為，選擇屏幕上顯示的任何內容。

圖二 安裝更新之后跳出的請求開啟“省電”模式界面

圖三 包含惡意服務的安卓輔助功能

圖四 包含惡意服務的安卓輔助功能

　　一旦服務被啟用，假的Flash Player 圖標便會隱藏。惡意軟件在后臺瘋狂的運行，將受感染設備的信息發送到自己的C&C server，服務器隨后會發送一個URL指向到網絡罪犯選擇的任意一個惡意APP，這個惡意APP可以是廣告軟件、間諜軟件、或者是勒索軟件，我們檢測到的是銀行惡意軟件。一旦獲取了惡意鏈接，受感染的設備會顯示一個無法關閉的假的鎖屏頁面，頁面之下惡意操作正在上演。

圖五 鎖屏掩蓋下，惡意操作正在上演

　　拿到模擬用戶點擊的授權之后，惡意軟件便可以自由的下載、安裝、運行、并激活設備的管理者權限，為更多的惡意軟件打開通道，它們不需要得到用戶的許可，這一切的發生都躲在假的鎖屏下。等這一套把戲結束了，假的鎖屏頁面消失了，用戶便可以繼續使用他們已經被惡意軟件感染的移動設備。

　　如何檢測是否被感染

　　如果你覺得之前可能安裝過這個假的Flash Player更新，可以檢查一下輔助功能菜單里有沒有“省電”這個服務，如果有，那么你的設備已經被感染了。拒絕服務只能讓你回到最初的彈出界面，并不能卸載掉Android/TrojanDownloader.Agent.JI. 想要徹底移除，可以嘗試在設置->應用管理-> Flash-Player中手動卸載(Settings-> Application Manager -> Flash-Player)。如果downloader獲取了設備的管理者權限，受害者需在設置->安全->Flash-Player中禁用downloader的權限(Settings -> Security -> Flash-Player)，然后再卸載。

　　即便卸載了，你的設備可能還是會被downloader安裝的眾多惡意軟件感染。為了確保你的設備不被感染，我們建議用戶使用信譽高的移動安全APP來幫助用戶檢測和消除威脅。

　　如何遠離惡意軟件

　　想要避免惡意軟件帶來的危害，預防是關鍵。除了訪問可信任的網站，下面的方法也能幫助你遠離惡意軟件。

　　當你在網頁中下載APP或者是下載更新的時候，一定要檢查URL地址，以確保安裝來源是預期中的正確來源。在這個案例中，唯一安全的Adobe Flash Player update來源是Adobe的官方網站。

　　當你在移動設備上運行安裝的軟件時，要留意軟件請求哪些許可和權限。如果一個APP請求了與它的功能不相關的權限，不要輕易同意啟用，要多檢查幾遍。

　　最后，即便之前的預防措施都失敗了，一款卓越的移動安全應用將會保護你的設備遠離主動威脅。

責任編輯：韓希宇