Downloader mascat într-o actualizare pentru Flash Player, folosit la compromiterea dispozitivelor cu sistem Android

Simpla accesare a unui website deja compromis poate expune utilizatorii de Android la atacuri cu malware. Detectat de software-ul de securitate ESET drept Android/TrojanDownloader.Agent.JI, troianul disimulat într-o actualizare pentru Flash Player poate descărca şi executa secvenţe de cod fără acordul utilizatorilor, compromiţând securitatea dispozitivului folosit.

După instalare, malware-ul creează un program fals de tipul “Saving Battery” în sistemul Android şi îndeamnă victima să acorde permisiuni cruciale la funcţiile Android Accessibility. Dacă sunt acordate, aceste permisiuni – Monitorizarea acţiunilor, Extragerea conţinutului din fereastră şi Pornirea Explorării Touch – vor oferi posibilitatea atacatorului de a mima acţiunile utilizatorului şi de a afişa orice doreşte pe ecranul dispozitivului .

“În cazurile investigate, acest troian a fost construit pentru a descărca un alt troian configurat pentru a subtiliza fonduri din conturile bancare. Totuşi, cu modificări aduse la nivelul codului malware, utilizatorii s-ar putea confrunta cu atacuri spyware sau ransomware,” avertizează Lukáš Štefanko, Cercetătorul Malware ESET care a condus analiza.

Indicatorul cheie pentru a putea vedea dacă un dispozitiv a fost infectat cu acest malware îl constituie prezenţa opţiunii “Saving Battery” printre serviciile din meniul Accessibility. În acest caz, utilizatorul ar trebui fie să instaleze o aplicaţie de securitate pentru mobile, cum ar fi ESET Mobile Security & Antivirus, pentru a elimina ameninţarea, fie să dezinstaleze manual aplicaţia mergând în Settings -> Application Manager -> Flash-Player.

În unele cazuri, utilizatorul a fost păcălit şi a oferit aplicaţiei drepturile de administrator ale dispozitivului. În asemenea situaţii, este necesar mai întâi să dezactivaţi drepturile de administrator, prin accesarea Settings -> Security -> Flash-Player.

Recomandări de bază pentru a preveni infectările cu malware, destinat dispozitivelor mobile:

• Descărcaţi aplicaţiile sau actualizările doar dintr-o sursă de încredere – dacă este cazul unei actualizări pentru Adobe Flash Player, singurul loc sigur de unde o puteţi descărca este de pe site-ul oficial Adobe. Verificaţi întotdeauna adresa URL în browser.
• Fiţi atenţi la permisiunile şi drepturile pe care aplicaţiile le solicită.
• Utilizaţi o soluţie de securitate de încredere pentru dispozitivele mobile. 

“Din păcate, dezinstalarea downloader-ului nu elimină aplicaţiile maliţioase pe care codul malware le-ar fi putut instala. În privinţa downloader-ului, cea mai bună modalitate de eliminare a acestuia de pe dispozitiv este utilizarea unei soluţii de securitate mobile,” recomandă Lukáš Štefanko.