<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><h1 class="title" style="line-height: 1.4em; -webkit-hyphens: manual; margin-bottom: 1em; max-width: 100%;"><span style="font-size: 28px; background-color: rgba(255, 255, 255, 0);">Malware Uses Social Engineering to Enable Automatic App Installation</span></h1><p style="max-width: 100%;"><span style="max-width: 100%; background-color: rgba(255, 255, 255, 0);"></span></p><p style="max-width: 100%;"><span style="background-color: rgba(255, 255, 255, 0);">Security researchers have spotted a type of malware that uses <a href="http://www.tripwire.com/state-of-security/security-awareness/5-social-engineering-attacks-to-watch-out-for/" target="_blank" style="text-decoration: none; max-width: 100%;">social engineering</a> to trick users into enabling it to automatically install apps on their Android devices.</span></p><p style="max-width: 100%;"><span style="background-color: rgba(255, 255, 255, 0);">Michael Bentley, the head of research and response at mobile cybersecurity firm <a href="https://www.lookout.com/" target="_blank" style="text-decoration: none; max-width: 100%;">Lookout</a>, has published a <a href="https://blog.lookout.com/blog/2015/11/19/shedun-trojanized-adware/" target="_blank" style="text-decoration: none; max-width: 100%;">blog post</a>in which he explains how a so-called “trojanized adware” known as Shedun attempts to assume control of the <a href="http://developer.android.com/reference/android/accessibilityservice/AccessibilityService.html" target="_blank" style="text-decoration: none; max-width: 100%;">Android Accessibility Service</a>, a service which is designed to provide users with alternate ways of interacting with their mobile devices.</span></p><blockquote style="margin-left: 2px; margin-right: 6px; padding-left: 16px; border-left-width: 3px; border-left-style: solid; border-left-color: rgba(0, 0, 0, 0.0980392); max-width: 100%;"><p style="max-width: 100%;"><span style="background-color: rgba(255, 255, 255, 0);">“Shedun does not exploit a vulnerability in the service,” Bentley explains. “Instead it takes advantage of the service’s legitimate features. By gaining the permission to use the accessibility service, Shedun is able to read the text that appears on screen, determine if an application installation prompt is shown, scroll through the permission list, and finally, press the install button without any physical interaction from the user.”</span></p></blockquote><figure class="auxiliary float right" style="margin: 0px 0px 0.25em 20px; max-width: 100%; clear: both; line-height: 1.4em; float: right; width: 150px;"><font color="#000000"><span style="background-color: rgba(255, 255, 255, 0);"><a href="http://www.tripwire.com/state-of-security/wp-content/uploads/security145.png" style="text-decoration: none; max-width: 100%; -webkit-margin-start: 0px; margin: 0px;"><img src="http://www.tripwire.com/state-of-security/wp-content/uploads/security145.png" data-lazy-type="image" data-lazy-src="http://www.tripwire.com/state-of-security/wp-content/uploads/security145.png" alt="shedun trojanized adware accessibility service" width="150" height="267" style="max-width: 100%; margin: 0px; display: block; height: auto;"></a><br style="max-width: 100%; -webkit-margin-start: 0px; margin-top: 0.5em; margin-bottom: 0.5em;"></span></font><figcaption style="max-width: 100%; line-height: 1.5em; margin-top: 1em; width: 150px; -webkit-margin-start: 0px; margin-bottom: 0.5em;"><span style="background-color: rgba(255, 255, 255, 0);">Source: <a href="https://blog.lookout.com/blog/2015/11/19/shedun-trojanized-adware/" target="_blank" style="text-decoration: none; max-width: 100%; margin-top: 0.5em; margin-bottom: 0.5em;">Lookout</a></span></figcaption></figure><p style="max-width: 100%;"><span style="background-color: rgba(255, 255, 255, 0);">The malware tries to trick users with the message that by turning on “accessibilit features”, it will be able to stop inactive apps that the victim is not using.</span></p><p style="max-width: 100%;"><span style="background-color: rgba(255, 255, 255, 0);">Once Shedun has assumed control of the Accessibility Service (video available <a href="https://www.youtube.com/watch?v=VDWmEUm6mQM&feature=youtu.be" target="_blank" style="text-decoration: none; max-width: 100%;">here</a>), it can then install whichever apps it wants with little-to-no user interaction and engage in “aggressive advertising”.</span></p><p style="max-width: 100%;"><span style="background-color: rgba(255, 255, 255, 0);">The malware is one of three app families–Shedun, Shuanet, and ShiftyBug–that masquerades as legitimate apps, such as Facebook and Candy Crush, on third-party Android app stores. If a user installs one of these apps, Shedun or one of the other malware will root the device and install itself as a system application, thereby making it very difficult for victims to uninstall.</span></p><blockquote style="margin-left: 2px; margin-right: 6px; padding-left: 16px; border-left-width: 3px; border-left-style: solid; border-left-color: rgba(0, 0, 0, 0.0980392); max-width: 100%;"><p style="max-width: 100%;"><span style="background-color: rgba(255, 255, 255, 0);">“For individuals, getting infected with Shedun, Shuanet, and ShiftyBug might mean a trip to the store to buy a new phone,” Bentley wrote in a <a href="https://blog.lookout.com/blog/2015/11/04/trojanized-adware/" target="_blank" style="text-decoration: none; max-width: 100%;">blog post published earlier this month</a>. “Because these pieces of adware root the device and install themselves as system applications, they become nearly impossible to remove, usually forcing victims to replace their device in order to regain normalcy.”</span></p></blockquote><p style="max-width: 100%;"><font color="#000000"><span style="background-color: rgba(255, 255, 255, 0);"><a href="http://arstechnica.com/security/2015/11/android-adware-can-install-itself-even-when-users-explicitly-reject-it/" target="_blank" style="text-decoration: none; max-width: 100%;">As <em style="max-width: 100%;">Ars Technica </em>warns</a>, users should be cautious when installing apps from third-party stores and should be suspicious of any apps that attempt to gain control of the Accessibility Service.</span></font></p><p style="max-width: 100%;"><a href="http://www.tripwire.com/state-of-security/latest-security-news/android-malware-uses-social-engineering-to-enable-automatic-app-installation/">http://www.tripwire.com/state-of-security/latest-security-news/android-malware-uses-social-engineering-to-enable-automatic-app-installation/</a></p><div></div></body></html>