Novo trojan para Android imita cliques do usuário para baixar um perigoso malware | WeLiveSecurity

Novo trojan para Android imita cliques do usuário para baixar um perigoso malware

Os usuários do Android estão expostos a um novo aplicativo malicioso que simula ser o Adobe Flash Player.

Os usuários do Android estão expostos a um novo aplicativo malicioso que simula ser o Adobe Flash Player.

Os usuários do Android estão expostos a um novo aplicativo malicioso que simula ser o Adobe Flash Player, sendo usado como uma porta de entrada para perigosos tipos de malware. O aplicativo, detectado pelo software de segurança da ESET como Android/TrojanDownloader.Agent.JI, engana as vítimas para que lhe conceda permissões especiais no menu de acessibilidade do Android, e as utiliza para baixar e executar malware adicional (segundo as preferências do atacante).

De acordo com a nossa análise, o trojan é destinado para dispositivos que usam o Android, incluindo as versões mais recentes. É distribuído através de sites comprometidos, como páginas de conteúdo para adultos e por meio das mídias sociais. Com a promessa de fornecer algumas medidas de segurança, os sites atraem os usuários para que façam o download de uma falsa atualização do Adobe Flash Player. Caso a vítima acesse a tela de atualização (que se parece com a legítima) e execute a instalação, continuará vendo mais telas falsas, o que aumenta ainda mais a sensação de legitimidade do ataque.

Screen-Shot-2017-02-13-at-08.49.52

Imagem 1: Falsa tela de atualização do Flash Player.

Como funciona?

A próxima tela falsa aparece após a instalação, alegando que houve “consumo excessivo de energia” e pede que o usuário ative um falso modo de “Economia da Bateria”. Como a maioria dos pop-ups maliciosos, a mensagem não vai parar de aparecer até que a vítima ceda e concorde em habilitar o serviço. Após a confirmação, o menu de Acessibilidade do Android é aberto, mostrando uma lista de serviços. Entre os legítimos, aparece um novo serviço (criado pelo malware durante a instalação) que se chama “Saving battery”. Sua função é solicitar permissões para monitorar suas ações, enviar o conteúdo de janelas e ativar o recurso “Explore by Touch”, todas ações cruciais para a futura atividade maliciosa, pois permitem ao atacante imitar os cliques do usuário e selecionar qualquer coisa que apareça na tela.

Screen-Shot-2017-02-13-at-10.17.05

Imagem 2: Pop-up solicitando a habilitação do “Saving Battery” por trás da instalação.

 

Screen-Shot-2017-02-13-at-10.17.12

Imagem 3: Menu de Acessibilidade do Android com o serviço malicioso.

Screen-Shot-2017-02-13-at-10.17.26

Imagem 4: Menu de Acessibilidade do Android com o serviço malicioso.

Após a habilitação do serviço, o falso ícone do Flash Player se esconde do usuário. No entanto, em segundo plano, o malware tenta contatar-se ao servidor do C&C, fornecendo informações sobre o dispositivo comprometido. O servidor responde com uma URL que direciona para um aplicativo malicioso escolhido pelo atacante; nesse caso detectado, um malware bancário, embora possa ser qualquer um, desde adware até spyware e, inclusive, ransomware. Por trás da aquisição de um link malicioso, o dispositivo comprometido mostra um falso bloqueio de tela sem uma opção para fechá-lo, o que esconde a atividade maliciosa que está ocorrendo.

Screen-Shot-2017-02-13-at-08.50.18-1

Imagem 5: Bloqueio de tela mascarando a atividade maliciosa.

Aqui é onde a permissão de imitar os cliques do usuário é especialmente útil: o malware agora é livre para baixar, instalar, executar e ativar direitos de administrador do dispositivo para outros malware sem o consentimento do usuário. A ameaça faz tudo isso enquanto permanece invisível com o falso bloqueio de tela. Após a realização desse truque, a cobertura desaparece e o usuário pode continuar usando o equipamento, que agora está comprometido pelo malware baixado.

Como posso saber se o meu dispositivo está infectado?

Se você acha que existem chances de que tenham instalado essa falsa atualização do Flash Player, é possível verificá-la facilmente procurando pelo “Saving Battery”, entre os serviços do menu de Acessibilidade. Caso esse serviço apareça na lista, pode ser que o seu dispositivo esteja infectado.

Denegarle los permisos a la app solo te llevará de vuelta al primer pop up y no te dejará deshacerte de Android/TrojanDownloader.Agent.JI. Para eliminar el downloader, intenta desinstalar manualmente la app desde Ajustes → Administrador de Aplicaciones → Flash Player.

Negar as permissões para o aplicativo apenas te levará de volta ao primeiro pop-up, e não servirá de nada tentar excluir o Android/TrojanDownloader.Agent.JI. Para eliminar o downloader, você deve tentar desinstalar o aplicativo manualmente por meio do menu Configurações → Aplicativos → Gerenciador de Aplicações → Flash Player.

Em alguns casos, o downloader também solicita ao usuário que ative os direitos de administrador do dispositivo. Caso isso ocorra e você não possa desinstalar o aplicativo, desative os direitos de administrador em Configurações → Segurança → Flash Player e, em seguida, continue a desinstalação.

Mesmo depois de fazer tudo isso, pode ser que o seu dispositivo continue infectado pelos incontáveis aplicativos maliciosos instalados pelo downloader. Para garantir que o aparelho esteja realmente limpo, sugerimos que você use uma solução de segurança móvel confiável para detectar e eliminar ameaças sem muitas complicações.

Como posso me proteger?

Para evitar as consequências do malware móvel, a prevenção é sempre a melhor escolha. Além de sempre baixar aplicativos por meio de lojas virtuais de confiança, existem algumas coisas a mais que você pode fazer para continuar protegido.

Caso esteja baixando aplicativos ou atualizações em seu navegador, sempre verifique a URL para ter certeza de que esteja fazendo o download por meio de uma fonte segura. No caso particular deste post, o único lugar seguro para conseguir a atualização do Adobe Flash Player é o site oficial do aplicativo.

Por trás de qualquer coisa que deseje baixar, preste muita atenção às permissões que são solicitadas. Caso algumas não sejam adequadas para a sua função, não as habilite sem examinar um pouco mais a situação. Busque comentários de outros usuários e informe-se para saber por que essas permissões foram solicitadas. Por último, mas não menos importante, inclusive quando todo o resto falha, uma solução de segurança móvel de boa reputação protegerá seus dispositivos contra ameaças ativas.

Captura do vídeo de um dispositivo infectado (editado)

Amostras analisadas

16-2-2017 12-33-02 p- m-

Discussão