新的Android木马模仿用户点击下载危险的恶意软件

Android用户已经接触到一种模仿Adobe Flash Player的新型恶意应用程序，该应用程序可以作为许多类型的危险恶意软件的潜在入口。由ESET安全软件检测到的应用程序Android / TrojanDownloader.Agent.JI诱使其受害者在Android可访问性菜单中授予其特殊权限，并使用这些权限下载并执行攻击者选择的其他恶意软件。

根据我们的分析，该木马针对运行Android的设备，包括最新版本。它通过受影响的网站分发 - 成人视频网站，也通过社交媒体。在安全措施的幌子下，网站引诱用户下载伪造的Adobe Flash Player更新。如果遇难者为了看起来更合理的更新屏幕而运行安装，他们会有更多的欺骗性屏幕期待。

它是如何工作的？

安装成功后弹出下一个虚假屏幕，声称“能量消耗太多”，并敦促用户打开假“节电模式”。像大多数恶意弹出窗口一样，信息不会停止出现，直到受害者提供并同意启用该服务。这将打开Android Accessibility菜单，显示具有辅助功能的服务列表。其中合法的，出现了一个名为“节省电池”的新服务（在安装过程中由恶意软件创建）。然后，该服务会请求监视您的操作，检索窗口内容以及打开触摸浏览 - 这对于将来的恶意活动至关重要，从而使攻击者能够模仿用户的点击并选择屏幕上显示的任何内容。

一旦启用该服务，用户将隐藏假Flash Player图标。但是，在后台，恶意软件正在忙于联系C＆C服务器并提供有关受感染设备的信息。服务器回应一个导致网络犯罪分子选择的恶意应用程序的URL - 在检测到的情况下，银行恶意软件（尽管它可以是从广告软件到间谍软件到勒索软件的任何恶意软件）。获取恶意链接后，受感染的设备将显示一个无法关闭的选项，其中包含正在进行的恶意活动。

这是模仿用户点击的权限派上用场 - 恶意软件现在可以免费下载，安装，执行和激活其他恶意软件的设备管理员权限，而无需用户的同意，所有这一切都在虚假的锁定屏幕下仍然看不到。应用程序的秘密完成之后，覆盖屏幕消失，用户可以恢复使用移动设备 - 现在已被下载的恶意软件破坏。

我的设备是否已被感染？我如何清洁它？

如果您认为过去可能安装了这个假Flash Player更新，则可以通过检查“辅助功能”菜单中的“服务”下的“保存电池”来轻松进行验证。如果在服务中列出，您的设备可能会被感染。

拒绝服务的权限将只会回到第一个弹出窗口，并不会摆脱Android / TrojanDownloader.Agent.JI。

要删除下载程序，请尝试从设置 - >应用程序管理器 - > Flash-Player手动卸载应用程序。

在某些情况下，下载者还请求用户激活设备管理员权限。如果事实证明是这样的，你不能卸载应用程序，通过转到设置 - >安全 - > Flash播放器取消激活管理员权限，然后继续卸载。

即使这样做后，您的设备仍可能受到下载程序安装的无数恶意应用程序的感染。为了确保您的设备清洁，我们建议您使用信誉良好的移动安全应用程序作为无忧的方式来检测和消除威胁。

如何保持Android安全

为了避免处理恶意手机恶意软件的后果，预防始终是关键。除了坚持可靠的网站，还有更多的事情可以做，以保持安全。

如果您在浏览器中下载应用程序或更新，请务必检查URL地址以确保您正在从预期来源进行安装。在这种特殊情况下，获取Adobe Flash Player更新的唯一安全地点是Adobe官方网站。

在移动设备上安装任何东西之后，请注意它请求的权限和权限。如果某个应用程序要求的权限似乎不适合其功能，请不要在没有进行双重检查的情况下启用这些权限。

最后但并非最不重要的一点，即使其他方面都失败了，一个有信誉的移动安全解决方案将保护您的设备免受主动威胁。