Tuesday, 21 February 2017

New Android Trojan mimics user clicks to download dangerous malware

Dubai, UAE; 21 February 2017: Android users have been exposed to a new malicious app imitating Adobe Flash Player that serves as a potential entrance for many types of dangerous malware. The application, detected by ESET security software as Android/TrojanDownloader.Agent.JI, tricks its victims into granting it special permissions in the Android accessibility menu and uses these to download and execute additional malware of the attackers’ choice.

According to ESET’s analysis, the trojan targets devices running Android, including the latest versions. It is distributed via compromised websites, including social media sites. Under the pretense of safety measures, the websites lure users into downloading a fake Adobe Flash Player update. If the victim falls for the legitimate-looking update screen and runs the installation, they have more deceptive screens to look forward to.

Figure 1: Fake Flash Player update screen
How does it work?
The next phony screen pops up following successful installation, claiming “too much consumption of energy” and urging the user to turn on a fake “Saving Battery” mode. Like most malicious pop ups, the message won’t stop appearing until the victim gives in and agrees to enable the service. This opens the Android Accessibility menu, showing a list of services with accessibility functions. Among the legitimate ones, a new service (created by the malware during installation) named “Saving battery” appears. The service then requests permissions to monitor users actions, Retrieve window content and Turn on Explore by Touch – all crucial for future malicious activity, enabling the attacker to mimic the user’s clicks and select anything displayed on users screen.
Figure 2: Pop-up screen requesting “Saving Battery” after install
Figure 3: Android Accessibility menu with the malicious service
Figure 4: Permissions requested by the malicious service

Once the service is enabled, the fake Flash Player icon hides from the user. However, in the background, the malware is busy contacting its C&C server and providing it with information about the attacked device. The server responds with a URL leading to a malicious app of the cybercriminals’ choice – in the detected case, a banking malware (though it could be any malware ranging from adware through spyware, and on to ransomware). After acquiring the malicious link, the compromised device displays a bogus lock screen with no option to close it, covering the ongoing malicious activity beneath it.
Figure 5: Lock screen covering malicious activity
This is when the permission to mimic the user’s clicks comes in handy – the malware is now free to download, install, execute and activate device administrator rights for additional malware without the user’s consent, all while remaining unseen under the fake lock screen. After the app’s secret shenanigans are done, the overlay screen disappears and the user is able to resume using their mobile device – now compromised by the downloaded malware.
Has my device been infected? How do I clean it?
If users think that they might have installed this fake Flash Player update in the past, they can easily verify by checking for ‘Saving Battery’ under Services in the Accessibility menu. If listed under the services, their device may very well be infected.
Denying the service its permissions will only bring users back to the first pop up screen and will not get rid of Android/TrojanDownloader.Agent.JI.
To remove the downloader, try manually uninstalling the app from Settings -> Application Manager -> Flash-Player.
In some instances, the downloader also requests the user to activate Device administrator rights. If that turns out to be the case and user can’t uninstall the app, deactivate the administrator rights by going to Settings -> Security -> Flash-Player and then proceed with uninstalling.
Even after doing so, the device might still be infected by countless malicious apps installed by the downloader. To make sure the device is clean, ESET recommends using a reputable mobile security app, such as ESET Mobile Security & Antivirus, as a hassle-free way to detect and remove threats.
How to stay safe
To avoid dealing with the consequences of nasty mobile malware, prevention is always the key. Apart from sticking to trustworthy websites, there are a couple more things users can do to stay safe.
If downloading apps or updates on browser, always check the URL address to make sure it’s installing from the intended source. In this particular case, the only safe place to get Adobe Flash Player update is from the official Adobe website.  
After running anything installed on a mobile device, pay attention to what permissions and rights it requests. If an app asks for permissions that don’t seem adequate to its function, don’t enable these without double checking.
Last but not least, even if all else fails, a reputable mobile security solution will protect your device from active threats.

To find out more about Android-based malware, look into ESET’s latest research on the topic.  

حصان طروادة جديد على أنظمة تشغيل أندرويد يقلّد نقرات المستخدم لتحميل برمجيات خبيثة وخطيرة
دبي، دولة الإمارات العربية المتحدة؛ 21 فبراير 2017: تعرّض مستخدمو نظام تشغيل ’أندرويد‘ لمخاطر أحد التطبيقات الخبيثة الجديدة التي تقلّد مشغّل الفلاش من ’أدوبي‘، ويعمل كنافذة وصول محتمل للعديد من الأنواع الخطيرة للبرمجيات الخبيثة. وتم اكتشاف التطبيق الخبيث عبر برنامج الأمان من ’إسيت‘ تحت اسم (Android/TrojanDownloader.Agent.JI)، ويخدع ضحاياه لمنحه الأذونات الخاصة في قائمة الوصول ضمن ’أندرويد‘ لاستخدامها في تحميل وتطبيق برمجيات خبيثة إضافية من اختيار المهاجمين.

ووفقاً لتحليلات ’إسيت‘، يستهدف حصان طروادة الجديد الأجهزة التي تعمل على نظام ’أندرويد‘، وحتى الإصدارات الحديثة منه؛ ويتم نشره عبر المواقع الإلكترونية المخترَقة بما في ذلك مواقع التواصل الاجتماعي. وتحت ذريعة تدابير السلامة، تغري المواقع الإلكترونية المستخدمين لتحميل إحدى التحديثات الجديدة الوهمية لمشغّل الفلاش من ’أدوبي‘. وإذا وقع الضحية في فخّ نافذة التحديث ذات الشكل الظاهري السليم، وقام بتشغيل عملية التثبيت، تظهر المزيد من النوافذ الوهمية.C:\Users\klara.kobakova\AppData\Local\Microsoft\Windows\INetCache\Content.Word\Screenshot_2017-02-02-08-55-11.png
الشكل 1: نافذة الترقية الخبيثة لمشغّل الفلاش

آلية عمل حصان طروادة الجديد
بعد استكمال عملية التثبيت بنجاح تُظهر النافذة المزيّفة التالية رسالة ’استهلاك قدر كبير من الطاقة‘، وتحثّ المستخدم على تشغيل نمط ’توفير طاقة البطارية‘ مزيف. وعلى غرار معظم النوافذ المنبثقة للبرمجيات الخبيثة، لا تتوقف الرسالة عن الظهور حتى تنصاع الضحية للأمر وتمنح الموافقة على تمكين الخدمة؛ ويتم الانتقال إلى قائمة إمكانية الوصول في ’أندرويد‘ التي تظهر مجموعة من الخدمات مع وظائف الوصول. ومن بين الخدمات المشروعة، تظهر خدمة جديدة (يشكلها البرنامج الخبيث خلال عملية التثبيت) تحت اسم ’توفير طاقة البطارية‘. ومن ثم تطلب الخدمة الإذن بمراقبة إجراءات المستخدم، واسترداد محتوى النافذة وتفعيل الاستكشاف عبر اللمس – وهي إجراءات مهمة جداً للأنشطة الخبيثة في المستقبل، والتي تتيح للمهاجم تقليد النقرات التي ينفذها المستخدم لاختيار أي شيء تظهره شاشة المستخدمين.C:\Users\klara.kobakova\AppData\Local\Microsoft\Windows\INetCache\Content.Word\Screenshot_2017-02-02-08-15-10.pngC:\Users\klara.kobakova\AppData\Local\Microsoft\Windows\INetCache\Content.Word\Screenshot_2017-02-02-08-13-30.pngC:\Users\klara.kobakova\AppData\Local\Microsoft\Windows\INetCache\Content.Word\Screenshot_2017-02-02-08-15-03.png

الشكل 2: نافذة منبثقة تطالب بتشغيل نمط ’توفير طاقة البطارية‘ بعد التثبيت
الشكل 3: قائمة إمكانية الوصول في ’أندرويد‘ مع الخدمة الخبيثة
الشكل 4: الأذونات التي تطلبها الخدمة الخبيثة

وبمجرد تمكين الخدمة، تختفي أيقونة مشغّل الفلاش الوهمية بالنسبة للمستخدم، إلا أن البرمجية الخبيثة تكون مشغولة في الخلفية بالتواصل مع مخدمها الخاص للقيادة والتحكم (C&C) وتزويده بالمعلومات اللازمة حول الجهاز الضحية. ويستجيب المخدّم مع عنوان URL يؤدي إلى تطبيق خبيث من اختيار مجرمي الإنترنت – والذي يتمثل في برمجية مصرفية خبيثة حسب الحالة المكتشفة (على الرغم من أن أي برمجية خبيثة يمكن أن تتدرج من الإعلانات المتسللة إلى برمجيات التجسس، وبرمجيات الفدية الخبيثة ’رانسوم وير‘). وبعد الحصول على الرابط الخبيث، يظهر الجهاز المخترَق شاشة قفل وهمية دون أي خيار لإغلاقها، لتغطي الأنشطة المستمرة التي يقوم بها البرنامج الخبيث.

الشكل 5: شاشة القفل التي تغطي أنشطة البرمجية الخبيثة C:\Users\klara.kobakova\AppData\Local\Microsoft\Windows\INetCache\Content.Word\Screenshot_2017-02-02-09-30-27.png

وهنا، يصبح الإذن بتقليد نقرات المستخدم أمراً سهل التنفيذ – وتمتلك البرمجية الخبيثة الآن حرية تحميل وتركيب وتنفيذ وتنشيط حقوق مسؤول الجهاز للمزيد من البرمجيات الخبيثة الإضافية دون الحاجة لموافقة المستخدم، وبشكل غير مرئي تحت شاشة القفل الوهمية. وبعد استكمال العمليات السريّة للتطبيق الخبيث، تختفي الطبقة المتراكبة للشاشة ليعود المستخدم إلى متابعة استخدام جهازه المحمول – بعد أن أصبح مخترَقاً من البرمجية الخبيثة التي تم تحميلها.

هل تعرّض جهازي للإصابة؟ وكيف أستطيع تنظيفه؟
إذا اعتقد المستخدمون بأنهم قاموا بتثبيت هذا التحديث الوهمي لمشغّل الفلاش في وقت سابق، يمكنهم التأكد من ذلك بسهولة عبر التحقق من خدمة ’توفير طاقة البطارية‘ ضمن قسم ’الخدمات‘ في قائمة إمكانية الوصول. ويعتبر الجهاز مخترقاً في حال وجود مثل هذه الخدمة. ويؤدي رفض منح الإذن للخدمة إلى عودة المستخدمين مجدداً إلى النافذة المنبثقة الأولى، دون التخلص من البرمجية الخبيثة Android/TrojanDownloader.Agent.JI.

ولإزالة برنامج التحميل، حاول إلغاء تنصيب البرنامج يدوياً عبر الانتقال إلى [إعدادات > مدير التطبيقات > Flash-Player] باللغة العربية أو [Settings -> Application Manager -> Flash-Player] باللغة الإنجليزية.

وفي بعض الحالات، يطالب برنامج التحميل المستخدم بتفعيل حقوق المسؤول عن الجهاز. وفي هذه الحالة، لا يستطيع المستخدم إلغاء تنصيب التطبيق، ويمكن إلغاء تفعيل حقوق المسؤول عبر الانتقال إلى [إعدادات > أمان > Flash-Player] باللغة العربية أو [Settings -> Security -> Flash-Player] باللغة الإنجليزية ومن ثم متابعة عملية إلغاء التنصيب.

وحتى بعد القيام بذلك، يمكن أن يبقى الجهاز مخترقاً من عدد كبير من التطبيقات الخبيثة التي ثبّتها برنامج التحميل. وللتأكد من نظافة الجهاز، توصي ’إسيت‘ باستخدام أحد التطبيقات الأمنية حسنة السمعة للأجهزة المتنقلة مثل ’إسيت موبايل سكيوريتي آند أنتي فايروس‘، باعتبارها وسيلة خالية من المتاعب لكشف وإزالة التهديدات.

كيفية الحفاظ على الجهاز آمناً
لتجنب التعامل مع عواقب البرمجيات الخبيثة على الأجهزة المتنقلة، تعتبر الوقاية خطوة أساسية. وبعيداً عن الالتزام بالمواقع الإلكترونية الجديرة بالثقة، توجد بضعة خطوات يمكن للمستخدمين إجراؤها للبقاء بأمان.

وعند تحميل التطبيقات أو الترقيات عبر المتصفّح، تحقق دائماً من عنوان URL للتأكد من تثبيته من المصدر السليم المقصود. وفي هذه الحالة بالذات، فإن المكان الوحيد الآمن للحصول على ترقيات مشغّل الفلاش من ’أدوبي‘ هو الموقع الإلكتروني الرسمي لشركة ’أدوبي‘.

وبعد تشغيل أي شيء تم تثبيته على أي جهاز متنقل، يرجى الانتباه إلى الأذونات والحقوق التي يطلب الحصول عليها، وتجنب منح أي أذونات لا تبدو ملائمة لوظائف التطبيق قبل التحقق والتأكد من ذلك.

وفي النهاية، وحتى إن فشلت كل الوسائل الأخرى، يلعب الحل الأمني ذي السمعة المرموقة للأجهزة المتنقلة دوراً مهماً في حماية جهازك من أي تهديدات نشطة.

للتعرّف على مزيد من المعلومات حول البرنامج الخبيث الذي يعمل على ’أندرويد‘، يرجى الاطلاع على أحدث دراسات ’إسيت‘ التي تتطرق لهذا الموضوع.