安卓用户正面临一个新的威胁，威胁来自于一个模仿Adobe Flash Player的恶意APP，名为Android/TrojanDownloader.Agent.JI，可为多种危险的恶意软件提供潜在的入口。这款APP在安卓的辅助功能菜单(Android accessibility menu )中骗取受害者的授权后，便可下载和运行更多的恶意软件。

　　分析研究表明，这款木马的攻击目标是使用安卓系统的设备，包括最新的版本，通过受感染的网站和社会媒体传播。以加强安全措施为借口，受感染的网站会引诱用户下载一个假的Adobe Flash Player更新，如果受害者被看似正规合法的更新界面所迷惑，运行了安装程序，那么你就中招了，更多的欺骗界面将随之而来。
 

　　图一 假的Flash Player更新界面

　　木马的工作原理

　　安装完成之后，下一个欺骗界面会显示“电量过度消耗”，并提示用户打开假的“省电”模式。就像大多数的恶意软件一样，如果用户不启用“省电”模式，提示消息便会一直出现。当用户同意启用之后，会出现安卓的辅助功能菜单，菜单里列出了有此功能的服务，恶意软件在安装过程中生成的“省电”服务便混在那些合法的服务当中。“省电”服务请求允许监控用户的操作行为、检索窗口内容、开启触摸浏览(Explore by Touch)，为之后的恶意操作打下基础。这些功能开启之后，攻击者便能模拟用户的点击行为，选择屏幕上显示的任何内容。
 

　　图二 安装更新之后跳出的请求开启“省电”模式界面


 

　　图三 包含恶意服务的安卓辅助功能


 

　　图四 包含恶意服务的安卓辅助功能

　　一旦服务被启用，假的Flash Player 图标便会隐藏。恶意软件在后台疯狂的运行，将受感染设备的信息发送到自己的C&C server，服务器随后会发送一个URL指向到网络罪犯选择的任意一个恶意APP，这个恶意APP可以是广告软件、间谍软件、或者是勒索软件，我们检测到的是银行恶意软件。一旦获取了恶意链接，受感染的设备会显示一个无法关闭的假的锁屏页面，页面之下恶意操作正在上演。
 

　　图五 锁屏掩盖下，恶意操作正在上演

　　拿到模拟用户点击的授权之后，恶意软件便可以自由的下载、安装、运行、并激活设备的管理者权限，为更多的恶意软件打开通道，它们不需要得到用户的许可，这一切的发生都躲在假的锁屏下。等这一套把戏结束了，假的锁屏页面消失了，用户便可以继续使用他们已经被恶意软件感染的移动设备。

　　如何检测是否被感染

　　如果觉得之前可能安装过这个假的Flash Player更新，可以检查一下辅助功能菜单里有没有“省电”这个服务，如果有，那么设备已经被感染了。拒绝服务只能回到最初的弹出界面，并不能卸载掉Android/TrojanDownloader.Agent.JI. 想要彻底移除，可以尝试在设置->应用管理-> Flash-Player中手动卸载(Settings-> Application Manager -> Flash-Player)。如果downloader获取了设备的管理者权限，受害者需在设置->安全->Flash-Player中禁用downloader的权限(Settings -> Security -> Flash-Player)，然后再卸载。

　　如何远离恶意软件

　　想要避免恶意软件带来的危害，预防是关键。除了访问可信任的网站，下面的方法也能帮助你远离恶意软件。

　　当你在网页中下载APP或者是下载更新的时候，一定要检查URL地址，以确保安装来源是预期中的正确来源。在这个案例中，唯一安全的Adobe Flash Player update来源是Adobe的官方网站。

　　当你在移动设备上运行安装的软件时，要留意软件请求哪些许可和权限。如果一个APP请求了与它的功能不相关的权限，不要轻易同意启用，要多检查几遍。

　　最后，即便之前的预防措施都失败了，一款卓越的移动安全应用将会保护你的设备远离主动威胁。