كشفت شركة إسيت لحلول الأمن الإلكتروني عن تعرّض مستخدمي نظام تشغيل أندرويد لمخاطر أحد التطبيقات الخبيثة الجديدة التي تقلّد مشغّل الفلاش من أدوبي، ويعمل كنافذة وصول محتمل للعديد من الأنواع الخطيرة للبرمجيات الخبيثة. واُكتُشِف التطبيق الخبيث عبر برنامج الأمان من إسيت تحت اسمAndroid/TrojanDownloader.Agent.JI، ويخدع ضحاياه لمنحه الأذونات الخاصة في قائمة الوصول ضمن أندرويد لاستخدامها في تنزيل وتطبيق برمجيات خبيثة إضافية من اختيار المهاجمين. ووفقًا لتحليلات إسيت، يستهدف حصان طروادة الجديد الأجهزة التي تعمل على نظام أندرويد، وحتى الإصدارات الحديثة منه؛ ويُنشر عبر المواقع الإلكترونية المخترَقة بما في ذلك مواقع التواصل الاجتماعي. وأوضحت إسيت أن تحت ذريعة تدابير السلامة تغري المواقع الإلكترونية المستخدمين لتنزيل إحدى التحديثات الجديدة الوهمية لمشغّل الفلاش من أدوبي. وإذا وقع الضحية في فخّ نافذة التحديث ذات الشكل الظاهري السليم، وقام بتشغيل عملية التثبيت، تظهر المزيد من النوافذ الوهمية بحسب البوابة العربية للأخبار التقنية. آلية عمل حصان طروادة الجديد وبعد استكمال عملية التثبيت بنجاح، أوضحت إسيت أن النافذة المزيّفة التالية تُظهر رسالة استهلاك قدر كبير من الطاقة، وتحثّ المستخدم على تشغيل نمط توفير طاقة البطارية مزيف. وعلى غرار معظم النوافذ المنبثقة للبرمجيات الخبيثة، لا تتوقف الرسالة عن الظهور حتى تنصاع الضحية للأمر وتمنح الموافقة على تمكين الخدمة؛ ويتم الانتقال إلى قائمة إمكانية الوصول في أندرويد التي تظهر مجموعة من الخدمات مع وظائف الوصول. ومن بين الخدمات المشروعة، تظهر خدمة جديدة (يشكلها البرنامج الخبيث خلال عملية التثبيت) تحت اسم توفير طاقة البطارية. ومن ثم تطلب الخدمة الإذن بمراقبة إجراءات المستخدم، واسترداد محتوى النافذة وتفعيل الاستكشاف عبر اللمس – وهي إجراءات مهمة جدًا للأنشطة الخبيثة في المستقبل، والتي تتيح للمهاجم تقليد النقرات التي ينفذها المستخدم لاختيار أي شيء تظهره شاشة المستخدمين. وبمجرد تمكين الخدمة، تختفي أيقونة مشغّل الفلاش الوهمية بالنسبة للمستخدم، إلا أن البرمجية الخبيثة تكون مشغولة في الخلفية بالتواصل مع مخدمها الخاص للقيادة والتحكم (C&C) وتزويده بالمعلومات اللازمة عن الجهاز الضحية.
