安卓用户正面临一个新的威胁，威胁来自于一个模仿Adobe Flash Player的恶意APP，名为Android/TrojanDownloader.Agent.JI，可为多种危险的恶意软件提供潜在的入口。这款APP在安卓的辅助功能菜单(Android accessibility menu )中骗取受害者的授权后，便可下载和运行更多的恶意软件。

分析研究表明，这款木马的攻击目标是使用安卓系统的设备，包括最新的版本，通过受感染的网站和社会媒体传播。以加强安全措施为借口，受感染的网站会引诱用户下载一个假的Adobe Flash Player更新，如果受害者被看似正规合法的更新界面所迷惑，运行了安装程序，那么你就中招了，更多的欺骗界面将随之而来。

木马的工作原理

安装完成之后，下一个欺骗界面会显示“电量过度消耗”，并提示用户打开假的“省电”模式。就像大多数的恶意软件一样，如果用户不启用“省电”模式，提示消息便会一直出现。当用户同意启用之后，会出现安卓的辅助功能菜单，菜单里列出了有此功能的服务，恶意软件在安装过程中生成的“省电”服务便混在那些合法的服务当中。“省电”服务请求允许监控用户的操作行为、检索窗口内容、开启触摸浏览(Explore by Touch)，为之后的恶意操作打下基础。这些功能开启之后，攻击者便能模拟用户的点击行为，选择屏幕上显示的任何内容。

一旦服务被启用，假的Flash Player 图标便会隐藏。恶意软件在后台疯狂的运行，将受感染设备的信息发送到自己的C&C server，服务器随后会发送一个URL指向到网络罪犯选择的任意一个恶意APP，这个恶意APP可以是广告软件、间谍软件、或者是勒索软件，我们检测到的是银行恶意软件。一旦获取了恶意链接，受感染的设备会显示一个无法关闭的假的锁屏页面，页面之下恶意操作正在上演。

拿到模拟用户点击的授权之后，恶意软件便可以自由的下载、安装、运行、并激活设备的管理者权限，为更多的恶意软件打开通道，它们不需要得到用户的许可，这一切的发生都躲在假的锁屏下。等这一套把戏结束了，假的锁屏页面消失了，用户便可以继续使用他们已经被恶意软件感染的移动设备。