משתמשי אנדרואיד נחשפו לאפליקציה זדונית המתחזה ל Adobe Flash Player ומאפשרת החדרה של תוכנות זדוניות.
האפליקציה התגלתה ע"י חוקרי ESET ומזוהה בשם Android/TrojanDownloader.Agent.JI. אותו סוס טרויאני מוליך את הקורבנות לאפשר הרשאות מסוימות במכשיר ובכך מותיר אותו פגיע להתקנת נוזקות נוספות על ידי התוקפים.
על פי חוקרי ESET הטרויאני שם לו למטרה מכשירים בעלי מערכת הפעלה של אנדרואיד כולל אלו עם הגרסאות המעודכנות ביותר. הטרויאני מופץ באמצעות אתרים פרוצים, אתרים למבוגרים ורשתות חברתיות. תחת היומרה של אמצעי בטיחות, האתרים מפתים משתמשים להוריד עדכון Adobe Flash Player מזויף. הקורבן מגיע למסך עדכון שנראה לגיטימי ומפעיל את ההתקנה.
העדכון המזויף של Flash Player
איך זה עובד?
לאחר הורדת "עדכון" ה-Adobe Flash Player, מופיע מסך המתריע על "צריכת סוללה מוגברת" ודוחק במשתמש לעבור למצב מזויף של "חיסכון סוללה". כמו רוב הפופ אפים הזדוניים, ההודעה לא תפסיק לקפוץ עד שהמשתמש יסכים לקבלת השירות. פעולה זו פותחת את תפריט הנגישות במכשיר האנדרואיד, ומציגה רשימה של שירותים עם פונקציות הנגישות. בין האפשרויות המובנות, מופיעה אופציה חדשה "חיסכון סוללה" (שנוצרה על ידי הנוזקה בעת ההתקנה). לאחר מכן נפתח מסך המסביר שעל מנת לעבור למצב "חיסכון סוללה" יש לאפשר מספר הרשאות שבהמשך יאפשרו לתוקפים לשלוט מרחוק בפעולות הנעשות במכשיר ללא ידיעתו של המשתמש.
לאחר ההתקנה יופיע מסך הדורש להפעיל מצב "חיסכון סוללה"
תפריט הנגישות מציע את השירות הזדוני
בקשת מתן הרשאות על ידי הנוזקה
ברגע שהמשתמש אישר את ההרשאות הללו מוסתר האייקון של Adobe Flash Playerולא ניתן לראות אותו ברשימת האפליקציות המותקנות. בשלב זה מוצג מסך נעילה על גבי המסך, שכביכול טוען את הפעולה של החיסכון בסוללה. ברקע יוצרת הנוזקה קשר עם שרת השליטה והבקרה של התוקפים, ושולחת אליו מידע על המכשיר שהודבק. השרת שולח בחזרה לינק שמוביל לאפליקציה זדונית נוספת, במקרה זה נוזקה לגניבת פרטי חשבונות בנק (למרות שניתן להגדיר אותה להתקנה של כל נוזקה אחרת, כמו רוגלות או נוזקות כופר).
מסך הנעילה המסווה את הפעולות הזדוניות
כל הפעולות הללו מתבצעות בחשאיות ומוסתרות מאחורי מסך הנעילה. לאחר שהעבריינים סיימו לשתול את הנוזקות, מסך הנעילה נעלם והמשתמש יכול להמשיך להשתמש במכשיר מבלי להיות מודע ליישומים שהותקנו במכשירו.
האם המכשיר שלי נדבק בנוזקה? כיצד ניתן לנקות אותו?
אם אתם חוששים שהתקנתם עדכון מזויף של Flash Player בעבר, ניתן לאמת זאת בקלות על ידי בדיקת "חיסכון בסוללה" תחת "שירותים" בתפריט נגישות. אם תחת "שירותים" מופיע מצב החיסכון, ישנו סיכוי טוב שהמכשיר נגוע בנוזקה.
כדי להסיר את הנוזקה, נסו להסיר את היישום באופן ידני מתוך הגדרות (Settings) -> מנהל יישומים (Application Manager) -> Flash Player.
במקרים מסוימים, הטרויאני מבקש מהמשתמש להפעיל זכויות מנהל התקנים. אם זה המקרה ואין באפשרותכם להסיר את האפליקציה, יש לבטל את הרשאות מנהל על ידי הגדרות (Settings)-> Security (אבטחה) -> Flash-Player ולאחר מכן להמשיך עם הסרת ההתקנה.
גם לאחר הסרת ההתקנה, המכשיר עדיין עשוי להיות נגוע וייתכן שנוזקות רבות כבר הותקנו על ידי הטרויאני. על מנת לוודא שהמכשיר שלכם נקי, אנו ממליצים להשתמש באפליקציית אבטחה למובייל כגון ESET Mobile Security & Antivirus כדרך בטוחה ופשוטה להסיר את האיומים מהמכשיר.
כיצד להישאר בטוחים?
מומחי האבטחה של ESET הכינו עבורכם מספר המלצות בסיסיות על מנת למנוע הדבקה בנוזקות במובייל:
- הורידו אפליקציות או עדכונים רק ממקור מהימן - במקרה של עדכון Adobe Flash Player, המקום הבטוח היחיד לקבל את זה הוא האתר הרשמי של Adobe. בדקו תמיד את כתובת ה- URL בדפדפן שלך.
- הכירו את ההרשאות שהאפליקציות במכשיר שלכם מאפשרות, והיו עירניים להרשאות נוספות שאפליקציות מבקשות.
- השתמשו בפתרון אבטחה למכשיר הנייד.