rssyoutubefg

משתמשי אנדרואיד שוב על הכוונת

ESET ישראל
15.02.17

משתמשי אנדרואיד נחשפו לאפליקציה זדונית המתחזה ל Adobe Flash Player ומאפשרת החדרה של תוכנות זדוניות.

האפליקציה התגלתה ע"י חוקרי ESET ומזוהה בשם Android/TrojanDownloader.Agent.JI. אותו סוס טרויאני מוליך את הקורבנות לאפשר הרשאות מסוימות במכשיר ובכך מותיר אותו פגיע להתקנת נוזקות נוספות על ידי התוקפים.

על פי חוקרי ESET הטרויאני שם לו למטרה מכשירים בעלי מערכת הפעלה של אנדרואיד כולל אלו עם הגרסאות המעודכנות ביותר. הטרויאני מופץ באמצעות אתרים פרוצים, אתרים למבוגרים ורשתות חברתיות. תחת היומרה של אמצעי בטיחות, האתרים מפתים משתמשים להוריד עדכון Adobe Flash Player מזויף. הקורבן מגיע למסך עדכון שנראה לגיטימי ומפעיל את ההתקנה.

Fake Flash Player update screen

העדכון המזויף של Flash Player

איך זה עובד?
לאחר הורדת "עדכון" ה-Adobe Flash Player, מופיע מסך המתריע על "צריכת סוללה מוגברת" ודוחק במשתמש לעבור למצב מזויף של "חיסכון סוללה". כמו רוב הפופ אפים הזדוניים, ההודעה לא תפסיק לקפוץ עד שהמשתמש יסכים לקבלת השירות. פעולה זו פותחת את תפריט הנגישות במכשיר האנדרואיד, ומציגה רשימה של שירותים עם פונקציות הנגישות. בין האפשרויות המובנות, מופיעה אופציה חדשה "חיסכון סוללה" (שנוצרה על ידי הנוזקה בעת ההתקנה). לאחר מכן נפתח מסך המסביר שעל מנת לעבור למצב "חיסכון סוללה" יש לאפשר מספר הרשאות שבהמשך יאפשרו לתוקפים לשלוט מרחוק בפעולות הנעשות במכשיר ללא ידיעתו של המשתמש.

Pop up screen requesting Saving Battery after install

לאחר ההתקנה יופיע מסך הדורש להפעיל מצב "חיסכון סוללה"

Android Accessibility menu with the malicious service
תפריט הנגישות מציע את השירות הזדוני

Permissions requested by the malicious service
בקשת מתן הרשאות על ידי הנוזקה

ברגע שהמשתמש אישר את ההרשאות הללו מוסתר האייקון של Adobe Flash Playerולא ניתן לראות אותו ברשימת האפליקציות המותקנות. בשלב זה מוצג מסך נעילה על גבי המסך, שכביכול טוען את הפעולה של החיסכון בסוללה. ברקע יוצרת הנוזקה קשר עם שרת השליטה והבקרה של התוקפים, ושולחת אליו מידע על המכשיר שהודבק. השרת שולח בחזרה לינק שמוביל לאפליקציה זדונית נוספת, במקרה זה נוזקה לגניבת פרטי חשבונות בנק (למרות שניתן להגדיר אותה להתקנה של כל נוזקה אחרת, כמו רוגלות או נוזקות כופר).

lock screen

מסך הנעילה המסווה את הפעולות הזדוניות 


כל הפעולות הללו מתבצעות בחשאיות ומוסתרות מאחורי מסך הנעילה. לאחר שהעבריינים סיימו לשתול את הנוזקות, מסך הנעילה נעלם והמשתמש יכול להמשיך להשתמש במכשיר מבלי להיות מודע ליישומים שהותקנו במכשירו.

האם המכשיר שלי נדבק בנוזקה? כיצד ניתן לנקות אותו?
אם אתם חוששים שהתקנתם עדכון מזויף של Flash Player בעבר, ניתן לאמת זאת בקלות על ידי בדיקת "חיסכון בסוללה" תחת "שירותים" בתפריט נגישות. אם תחת "שירותים" מופיע מצב החיסכון, ישנו סיכוי טוב שהמכשיר נגוע בנוזקה.
כדי להסיר את הנוזקה, נסו להסיר את היישום באופן ידני מתוך הגדרות (Settings) -> מנהל יישומים (Application Manager) -> Flash Player.
במקרים מסוימים, הטרויאני מבקש מהמשתמש להפעיל זכויות מנהל התקנים. אם זה המקרה ואין באפשרותכם להסיר את האפליקציה, יש לבטל את הרשאות מנהל על ידי הגדרות (Settings)-> Security (אבטחה) -> Flash-Player ולאחר מכן להמשיך עם הסרת ההתקנה.
גם לאחר הסרת ההתקנה, המכשיר עדיין עשוי להיות נגוע וייתכן שנוזקות רבות כבר הותקנו על ידי הטרויאני. על מנת לוודא שהמכשיר שלכם נקי, אנו ממליצים להשתמש באפליקציית אבטחה למובייל כגון ESET Mobile Security & Antivirus כדרך בטוחה ופשוטה להסיר את האיומים מהמכשיר.

כיצד להישאר בטוחים?
מומחי האבטחה של ESET הכינו עבורכם מספר המלצות בסיסיות על מנת למנוע הדבקה בנוזקות במובייל:
- הורידו אפליקציות או עדכונים רק ממקור מהימן - במקרה של עדכון Adobe Flash Player, המקום הבטוח היחיד לקבל את זה הוא האתר הרשמי של Adobe. בדקו תמיד את כתובת ה- URL בדפדפן שלך.
- הכירו את ההרשאות שהאפליקציות במכשיר שלכם מאפשרות, והיו עירניים להרשאות נוספות שאפליקציות מבקשות.
- השתמשו בפתרון אבטחה למכשיר הנייד.

  • הדפס
  • דוא"ל

השאר תגובה

להשארת תגובה מלאו את השדות הבאים

eset logo footer© כל הזכויות שמורות לקומסקיור בע"מ 2004-2017, נציגת ESET בישראל. סימנים מסחריים אשר בשימוש באתר זה הינם סימנים מסחריים או
מותגים רשומים של ESET spol. s r.o. או ESET, LLC. כל השמות והמתוגים האחרים הם סימנים מסחריים רשומים של החברות הרשומות

עוצב ונבנה על-ידי פרומו - אסטרטגיה שיווקית ופרסום