התגלה טרויאני חדש התוקף מכשירי אנדרואיד
מאת:
מערכת Telecom News, 15.2.17, 13:14
טרויאני חדש מאפשר לדמות פעולות של משתמשי אנדרואיד, כולל הגרסאות המעודכנות ביותר, ולהוריד למכשיר תוכנות זדוניות. איך זה עובד? מה עושים? – הדרכה שלב אחר שלב.
משתמשי אנדרואיד נחשפו לאפליקציה זדונית המתחזה ל-
Adobe Flash Player ומאפשרת החדרה של תוכנות זדוניות. האפליקציה התגלתה ע"י חוקרי
ESET ומזוהה בשם
Android/TrojanDownloader.Agent.JI. אותו סוס טרויאני מוליך את הקורבנות לאפשר הרשאות מסוימות במכשיר ובכך מותיר אותו פגיע להתקנת נוזקות נוספות ע"י התוקפים.
עפ"י חוקרי
ESET, הטרויאני שם לו למטרה מכשירים בעלי מערכת הפעלה של אנדרואיד כולל אלה עם הגרסאות המעודכנות ביותר. הטרויאני מופץ באמצעות אתרים פרוצים, אתרים למבוגרים ורשתות חברתיות. תחת היומרה של אמצעי בטיחות, האתרים מפתים משתמשים להוריד
עדכון Adobe Flash Player מזויף. הקורבן מגיע למסך עדכון, שנראה לגיטימי, ומפעיל את ההתקנה.
Figure 1: Fake Flash Player update screen
איך זה עובד?
לאחר הורדת "עדכון" ה-
Adobe Flash Player, מופיע מסך המתריע על "צריכת סוללה מוגברת" ודוחק במשתמש לעבור למצב מזויף של "חיסכון סוללה". כמו רוב הפופ אפים הזדוניים, ההודעה לא תפסיק לקפוץ עד שהמשתמש יסכים לקבלת השירות. פעולה זו פותחת את תפריט הנגישות במכשיר האנדרואיד, ומציגה רשימה של שירותים עם פונקציות הנגישות. בין האפשרויות המובנות, מופיעה אופציה חדשה "חיסכון סוללה" (שנוצרה ע"י הנוזקה בעת ההתקנה). לאחר מכן נפתח מסך המסביר שכדי לעבור למצב "חיסכון סוללה" יש לאפשר מספר הרשאות, שבהמשך תאפשרנה לתוקפים לשלוט מרחוק בפעולות הנעשות במכשיר ללא ידיעתו של המשתמש.
Figure 2: Pop-up screen requesting “Saving Battery” after install
Figure 3: Android Accessibility menu with the malicious service
Figure 4: Permissions requested by the malicious service
ברגע שהמשתמש אישר את ההרשאות הללו מוסתר האייקון של
Adobe Flash Player ולא ניתן לראות אותו ברשימת האפליקציות המותקנות. בשלב זה מוצג מסך נעילה על גבי המסך, שכביכול טוען את הפעולה של החיסכון בסוללה. ברקע יוצרת הנוזקה קשר עם שרת השליטה והבקרה של התוקפים, ושולחת אליו מידע על המכשיר שהודבק. השרת שולח בחזרה לינק, שמוביל לאפליקציה זדונית נוספת, במקרה זה נוזקה לגניבת פרטי חשבונות בנק (למרות שניתן להגדיר אותה להתקנה של כל נוזקה אחרת, כמו רוגלות או נוזקות כופר).
Figure 5: Lock screen covering malicious activity
כל הפעולות הללו מתבצעות בחשאיות ומוסתרות מאחורי מסך הנעילה. לאחר שהעבריינים סיימו לשתול את הנוזקות, מסך הנעילה נעלם והמשתמש יכול להמשיך להשתמש במכשיר מבלי להיות מודע ליישומים שהותקנו במכשירו.
אמיר כרמי, מנהל הטכנולוגיות של
ESET ישראל: "מה שמיוחד בנוזקה הזו הוא, שמדובר בפעם הראשונה, שתוקפים לוקחים שיטה, שנהוגה בנוזקות למחשב האישי, שבה ישנו שלב ראשון בהתקפה, שמדביק את המכשיר ומאפשר לתוקפים בשלב השני לבחור איזו נוזקה לשלוח לקורבן בהתאם למידע שמתקבל עליו. עבודה בשיטה הזו מאפשרת יעילות גבוהה יותר בהתקפות על מכשירי אנדרואיד, וכנראה שתהפוך ליותר ויותר נפוצה בחודשים הקרובים".
האם המכשיר שלי נדבק בנוזקה? כיצד ניתן לנקות אותו?
אם אתם חוששים, שהתקנתם עדכון מזויף של
Flash Player בעבר, ניתן לאמת זאת בקלות ע"י בדיקת "חיסכון בסוללה" תחת "שירותים" בתפריט נגישות. אם תחת "שירותים" מופיע מצב החיסכון, ישנו סיכוי טוב, שהמכשיר נגוע בנוזקה.
כדי להסיר את הנוזקה, נסו להסיר את היישום באופן ידני מתוך הגדרות (
Settings) -> מנהל יישומים (
Application Manager) ->
Flash Player.
במקרים מסוימים, הטרויאני מבקש מהמשתמש להפעיל זכויות מנהל התקנים. אם זה המקרה ואין באפשרותכם להסיר את האפליקציה, יש לבטל את הרשאות מנהל ע"י הגדרות (
Settings)->
Security (אבטחה) ->
Flash Player ולאחר מכן להמשיך עם הסרת ההתקנה.
גם לאחר הסרת ההתקנה, המכשיר עדיין עלול להיות נגוע וייתכן, שנוזקות רבות כבר הותקנו ע"י הטרויאני. כדי לוודא, שהמכשיר שלכם נקי, מומלץ להשתמש באפליקציית אבטחה למובייל כדרך בטוחה ופשוטה להסיר את האיומים מהמכשיר.
כיצד להישאר בטוחים?
להלן מספר המלצות בסיסיות כדי למנוע הדבקה בנוזקות במובייל:
הורידו אפליקציות או עדכונים רק ממקור מהימן - במקרה של עדכון
Adobe Flash Player, המקום הבטוח היחיד לקבל את זה הוא האתר הרשמי של
Adobe. בדקו תמיד את כתובת ה-
URL בדפדפן שלך.
הכירו את ההרשאות, שהאפליקציות במכשיר שלכם מאפשרות, והיו ערניים להרשאות נוספות, שאפליקציות מבקשות.
השתמשו בפתרון אבטחה למכשיר הנייד.