第一章Accessibility簡介

近期，360烽火實(shí)驗(yàn)室發(fā)現(xiàn)一款濫用Accessibility的木馬，該木馬具有瀏覽器地址欄劫持、搜索劫持、桌面點(diǎn)擊劫持以及防卸載等系列惡意行為，本報(bào)告將結(jié)合我們對該木馬的分析，從Accessbility的設(shè)計(jì)初衷、技術(shù)發(fā)展、濫用情況等角度研究Accessibility的安全性。

一、 設(shè)計(jì)意義

依據(jù)Android官方文檔，考慮到一些用戶不能很好地使用Android設(shè)備，比如由于視力、身體、年齡方面的限制，造成閱讀內(nèi)容、觸控操作、聲音信息等方面的獲取困難，因此Android提供了Accessibility特性和服務(wù)幫助用戶更好地使用Android設(shè)備。正由于這個(gè)介紹，在國內(nèi)更普遍地被稱為無障礙或殘疾人模式。Accessibility的官方簡介內(nèi)容如下圖，有興趣詳細(xì)了解該部分內(nèi)容請參考官網(wǎng)詳解[1]。

　　圖1.1Accessibility官方簡介

二、 運(yùn)行原理

Accessibility[2]相關(guān)服務(wù)以及接口在Android 1.6時(shí)期就已經(jīng)被加入，其中以AccessibilityService組件作為入口，結(jié)合AccessibilityEvent，AccessibilityNodeInfo等關(guān)鍵類完成輔助功能（其中AccessibilityNodeInfo于Android 4.0加入）。

AccessibilityService是繼承了Service的抽象類，生命周期不由應(yīng)用本身管理，而是由系統(tǒng)和用戶的顯式操作所控制，運(yùn)行后當(dāng)有AccessibilityEvent被發(fā)出時(shí)該服務(wù)會收到系統(tǒng)的回調(diào)。由于是由系統(tǒng)所啟動的組件，所以與一般Service有所區(qū)別，特別的地方在于滿足下面三點(diǎn)：

1)該Service需要權(quán)限android.permission.BIND_ACCESSIBILITY_SERVICE，該權(quán)限保證了只有系統(tǒng)能綁定調(diào)用該服務(wù)；

2)第二點(diǎn)，該Service需要action：android.accessibilityservice.AccessibilityService；

3)第三點(diǎn)，提供名為android.accessibilityservice的meta-data，且提供xml作為AccessibilityService的配置文件，配置文件聲明有該服務(wù)接收事件類型、反饋類型等內(nèi)容。

三、 使用情況

依據(jù)Android官方的詳細(xì)介紹，開發(fā)者應(yīng)該從自身應(yīng)用出發(fā)，在增加視圖屬性如contentDescription等內(nèi)容后，可以在不修改原有代碼邏輯的情況下使用戶體驗(yàn)得到優(yōu)化，如預(yù)裝在Android 設(shè)備上的屏幕閱讀器TalkBack[3]，在沒有修改系統(tǒng)源碼的情況下，滿足了視力不足的用戶使用Android設(shè)備的需求。根據(jù)Android官方的說明，TalkBack會使用語音反饋描述用戶所執(zhí)行的操作，以及告知用戶收到的提醒和通知，可以幫助視力水平較低的用戶順利進(jìn)行手機(jī)的觸控、閱讀內(nèi)容的進(jìn)行。

在國內(nèi)，Accessibility被更多地用于免ROOT自動安裝以及自動搶紅包功能的實(shí)現(xiàn)，免ROOT自動安裝可以優(yōu)化用戶體驗(yàn)，但自動搶紅包功能既沒有幫助有缺陷用戶更好的使用手機(jī)，也沒有提升用戶體驗(yàn)，與Android官方的設(shè)計(jì)初衷已經(jīng)背離，進(jìn)入了灰色地帶的范疇，同時(shí)利用Accessibility進(jìn)行的惡意行為也越來越多，需要引起足夠重視。

第二章Accessibility發(fā)展趨勢

2016年我們發(fā)現(xiàn)帶有Accessibility功能的樣本數(shù)量呈現(xiàn)爆發(fā)性增長，但很遺憾，Accessibility功能的使用卻與Android官方的初衷漸行漸遠(yuǎn)。

2009年Android 1.6發(fā)布，早在7年前Accessibility就已經(jīng)面世。然而，在數(shù)據(jù)分析當(dāng)中卻發(fā)現(xiàn)，直至2012年才收錄有使用該技術(shù)的樣本，而且占樣本總數(shù)的比例極低，僅有0.015%，隨后兩三年的時(shí)間里Accessibility的使用比例仍然偏低，甚至于到2015年時(shí)占比仍不足0.5%，但是在2016年上半年里占比已經(jīng)超過了2.6%，同時(shí)僅僅2016年上半年的樣本數(shù)量已經(jīng)是2015年一整年樣本數(shù)量的3倍，相關(guān)的樣本數(shù)量及相關(guān)比例發(fā)展趨勢見圖2.1。

　　圖2.1 Accessibility樣本數(shù)量及占比趨勢

從數(shù)據(jù)角度進(jìn)行分析，雖然在2015年里使用Accessibility的樣本數(shù)量已經(jīng)突破了20萬，但是這個(gè)數(shù)字在樣本總數(shù)所占的比例仍不足0.5%，相當(dāng)于每200個(gè)樣本當(dāng)中才能勉強(qiáng)找出1個(gè)帶有Accessibility功能的樣本。因此，在一定程度上說，在Accessibility誕生的前六年里，該項(xiàng)服務(wù)的使用比例是符合谷歌預(yù)期的，正如谷歌官方的介紹，Accessibility是為了讓身體不便的用戶更好地使用手機(jī)，目標(biāo)用戶群體比例較小，因而理想狀態(tài)樣本比例也應(yīng)該相對較少。

對樣本增長狀況的研究，發(fā)現(xiàn)Accessibility樣本大致可以劃分為從一開始的合理利用時(shí)期，發(fā)展到用于提升用戶體驗(yàn)，繼而轉(zhuǎn)向到灰色地帶，逐步背離了安卓谷歌的設(shè)計(jì)初衷。

一、 合理利用

上文提及了安卓官方對Accessibility的說明，那么如何才是對Accessibility的合理利用呢？這里不得不再次所提起屏幕閱讀器TalkBack，其可以作為無障礙應(yīng)用的一個(gè)優(yōu)秀范例，具體體現(xiàn)為下面三個(gè)方面：

1)目標(biāo)用戶恰當(dāng)。如設(shè)計(jì)意義中所介紹，Accessibility主要是面向于身體等方面存在殘疾或不足的用戶，而TalkBack則是直接面向視力存在障礙或不足的用戶；

2)更好地使用設(shè)備。安卓官方希望通過Accessibility提供多種方式的轉(zhuǎn)換，達(dá)到讓特殊用戶更好的使用手機(jī)的目的，在這一點(diǎn)上TackBack具體表現(xiàn)為給用戶提供了多方面的語言反饋，如觸摸、文字、輸入等多方面的語音提示，讓視力存在障礙或不足的用戶在操作手機(jī)當(dāng)中得到可靠的幫助，使得用戶能無障礙地使用手機(jī)。

3)在不影響原有代碼情況下實(shí)現(xiàn)了功能擴(kuò)展。這是Accessibility一個(gè)很優(yōu)秀的特質(zhì)，谷歌不需要在系統(tǒng)源碼當(dāng)中修改或增加任何內(nèi)容，只對外提供了Accessibility功能，就滿足了視力不足用戶對于使用手機(jī)的日常需求，達(dá)到不修改原有程序邏輯的情況下還優(yōu)化了用戶體驗(yàn)的目的。

可見，在上述三個(gè)方面的引導(dǎo)下，Accessibility應(yīng)該是一個(gè)面向特殊人群的，對開發(fā)者友好的一個(gè)服務(wù)。

二、 提升體驗(yàn)

需求是帶動開發(fā)者去了解學(xué)習(xí)新技術(shù)的一大動力，在2015年里，各大應(yīng)用市場均提供了“免ROOT自動安裝”的功能選項(xiàng)，同時(shí)由于這個(gè)功能的推出，使得越來越多的開發(fā)者去探究了解Accessibility這項(xiàng)技術(shù)。

免ROOT自動安裝，又有“智能安裝”的說法。應(yīng)用市場在沒ROOT權(quán)限的條件下，安裝或更新軟件時(shí)會彈出應(yīng)用安裝界面，而用戶想要安裝或更新多個(gè)應(yīng)用時(shí)，需要用戶多次主動去點(diǎn)擊安裝按鈕，造成用戶使用上的不便，免ROOT自動安裝正為了解決用戶希望免去反復(fù)的點(diǎn)擊操作這個(gè)需求而產(chǎn)生。雖然此功能沒有面向特殊人群而是面向了普遍用戶，但是免去了用戶更新軟件時(shí)反復(fù)操作，提升了用戶體驗(yàn)。

以360手機(jī)助手作為一個(gè)范例，用戶手機(jī)即使沒有ROOT，開啟了360手機(jī)助手的輔助功能以后，也可以方便地進(jìn)行應(yīng)用的批量安裝、更新或卸載，不再需要用戶繁瑣地點(diǎn)擊安裝或卸載按鈕。

免ROOT自動安裝邏輯流程圖見圖2.2。

　　圖2.2 免ROOT自動安裝流程

三、 灰色地帶

免ROOT自動安裝是個(gè)提升用戶體驗(yàn)的功能，但是自動搶紅包需求則是使得Accessibility的使用進(jìn)入了灰色地帶。

不可否認(rèn)，自動搶紅包是比免ROOT自動安裝更強(qiáng)烈的一個(gè)用戶需求，無論是企業(yè)還是個(gè)人開發(fā)者，都紛紛通過Accessibility去實(shí)現(xiàn)搶紅包的相關(guān)功能，這是Accessibility樣本數(shù)量的大幅度增長的一個(gè)重要原因。

回到Accessibility本身，將Accessibility服務(wù)用于自動搶紅包，既沒有面向特殊人群，也沒有提升用戶體驗(yàn)，已經(jīng)背離了安卓官方的設(shè)計(jì)意義，而且自動搶紅包軟件具有外掛屬性，會造成一定程度上的不公平現(xiàn)象，正如外掛軟件一樣難以判斷其好壞性質(zhì)一樣，用于自動搶紅包功能的實(shí)現(xiàn)代表著Accessibility的使用已經(jīng)進(jìn)入灰色地帶。

自動搶紅包的邏輯流程圖見圖2.3。

　　圖2.3 自動搶紅包

通過流程圖的簡單對比，發(fā)現(xiàn)自動搶紅包的邏輯比免ROOT自動安裝更為復(fù)雜一些，結(jié)合時(shí)間前后的因素分析，免ROOT自動安裝功能的出現(xiàn)使得Accessibility已經(jīng)有了一定的技術(shù)探索積累，為后面自動搶紅包技術(shù)發(fā)展提供了條件，同時(shí)因?yàn)樽詣訐尲t包的需求遠(yuǎn)遠(yuǎn)強(qiáng)于免ROOT自動安裝功能的需求，所以即使自動搶紅包有著更為復(fù)雜的邏輯，也沒有阻擋更多的開發(fā)者去研究和開發(fā)自動搶紅包應(yīng)用。

四、 肆意濫用

由于Accessibility的設(shè)計(jì)初衷只是面向于少數(shù)群體，長時(shí)間里屬于一個(gè)較冷門的功能，但是近兩年免ROOT自動安裝和自動搶紅包的出現(xiàn)，使得Accessibility進(jìn)入了更多開發(fā)者的視野，不再被人們忽略，Accessibility樣本也從最開始的合理利用發(fā)展到用于提升用戶體驗(yàn)，再到踩入了自動搶紅包這種灰色地帶。經(jīng)過一定的發(fā)展以后，開發(fā)者容易發(fā)現(xiàn)Accessibility能做的事情不止這些，也給一些不懷好意的開發(fā)者或者木馬制作者提供了制作惡意軟件的切入點(diǎn)。

正如硬幣有正反兩面那樣，在Accessibility使用趨勢明顯上升的勢頭發(fā)生之時(shí)，是否也有木馬或者惡意軟件趁機(jī)混跡于其中呢？圖2.4是帶有Accessibility功能的惡意樣本數(shù)量統(tǒng)計(jì)。

　　圖2.4Accessibility惡意樣本數(shù)量統(tǒng)計(jì)

不難發(fā)現(xiàn)，隨著Accessibility使用的普及，Accessibility惡意樣本的數(shù)量也在增加，注意上圖中最后一列僅僅是2016年上半年的數(shù)量，換個(gè)維度，其實(shí)這個(gè)數(shù)量是2015年上半年的245.3%，接近于2015年同期的2.5倍！目前尚且樂觀的是，Accessibility惡意樣本的上升趨勢大大低于Accessibility總體樣本的增長，但是隨著Accessibility的普及，存在著出現(xiàn)新的肆意濫用的可能性，這次360烽火實(shí)驗(yàn)室發(fā)現(xiàn)的瀏覽器劫持木馬便是一個(gè)例證。

第三章Accessibility濫用案例分析

一、 行為概述

（一） 誘導(dǎo)用戶開啟

360烽火實(shí)驗(yàn)室最新發(fā)現(xiàn)的木馬“System Monitor”，該木馬表面?zhèn)窝b成手機(jī)安全軟件，啟動后以安全軟件的界面誘導(dǎo)用戶啟動輔助功能以“完成安裝”，此處的頁面描述“Malware Protection”字樣由木馬設(shè)定，意在進(jìn)一步誘導(dǎo)用戶相信其為一款安全軟件。再次進(jìn)入輔助功能，點(diǎn)擊System Monitor后無法再進(jìn)入上述開關(guān)頁面，而是自動回彈至設(shè)置頁面。

　　圖3.1 啟動木馬輔助功能截圖

（二） 防止被卸載

正常情況下，在系統(tǒng)設(shè)置 中的 應(yīng)用 選項(xiàng)中可以查看應(yīng)用信息，進(jìn)而對程序進(jìn)行卸載。

　　圖3.2 手機(jī)中的應(yīng)用列表

　　圖3.3 點(diǎn)擊正常應(yīng)用后跳轉(zhuǎn)頁面

　　圖3.4 點(diǎn)擊木馬System Monitor后跳轉(zhuǎn)頁面

可見，點(diǎn)擊正常軟件可以進(jìn)入到“應(yīng)用信息”頁面，可以對應(yīng)用進(jìn)行卸載和強(qiáng)行停止等操作，但如果點(diǎn)擊選中的木馬程序，則會跳轉(zhuǎn)到設(shè)置頁面而無法進(jìn)入到該頁面，造成用戶無法正常卸載。

（三） 瀏覽器地址欄劫持

正常打開瀏覽器后的頁面如下圖

　　圖3.5 正常情況下打開瀏覽器截圖

安裝該惡意軟件后打開瀏覽器的頁面，會打開特定的網(wǎng)址，如下圖

　　圖3.6 中木馬后啟動瀏覽器截圖

點(diǎn)擊瀏覽器中的可點(diǎn)擊視圖，則一有定幾率觸發(fā)打開一個(gè)新的網(wǎng)址，如下圖

　　圖3.7 中木馬后點(diǎn)擊瀏覽器視圖后截圖

二、 運(yùn)行邏輯

樣本在獲得Accessibility激活后，會接收到Accessibility事件，通過對事件當(dāng)中的包名、文本信息、事件類型的綜合處理，實(shí)現(xiàn)了上述的惡意行為，樣本的大致運(yùn)行邏輯如下圖。

　　圖3.8 木馬邏輯流程圖

三、 詳細(xì)分析

（一） 隱藏圖標(biāo)

開啟該Service后，觸發(fā)隱藏圖標(biāo)代碼

　　圖3.9 隱藏圖標(biāo)代碼片段

（二） 自我保護(hù)

通過系統(tǒng)設(shè)置的包名以及事件中帶有的文本信息，判斷出用戶是否意圖在輔助功能當(dāng)中關(guān)閉服務(wù)或試圖通過系統(tǒng)設(shè)置的應(yīng)用進(jìn)行卸載，然后通過啟動系統(tǒng)設(shè)置activity來跳轉(zhuǎn)，達(dá)到程序自我保護(hù)的目的。

　　圖3.10 自我保護(hù)代碼片段

通過“Force stop”關(guān)鍵字來判斷當(dāng)前窗口是否存在被強(qiáng)制停止的可能，如果有，則跳轉(zhuǎn)到桌面。

　　圖3.11 跳轉(zhuǎn)桌面代碼片段

（三） 劫持搜索

通過區(qū)分不同的事件類型，根據(jù)包名對輸入法、瀏覽器、系統(tǒng)桌面進(jìn)行搜索內(nèi)容劫持跳轉(zhuǎn)。

1)三星輸入法

　　圖3.12 檢測三星輸入法代碼片段

2)瀏覽器

　　圖3.10 檢測瀏覽器代碼片段

3)系統(tǒng)桌面

　　圖3.10 檢測系統(tǒng)桌面代碼片段

其中系統(tǒng)桌面方面，無論用戶在二級菜單還是三級菜單，打開任意app是均會啟動瀏覽器并以打開app的名稱作為關(guān)鍵字進(jìn)行搜索，日志例子如下

　　圖3.11 搜索關(guān)鍵字代碼片段

通過當(dāng)前事件的包名和事件文本信息，隱藏自身程序的系統(tǒng)安裝界面。樣本還具有更新迭代版本的代碼，結(jié)合以下代碼理想下可以做到讓用戶感知不到版本更新

　　圖3.12 版本更新安裝代碼片段

獲得篩選用戶搜索內(nèi)容并用自身網(wǎng)址進(jìn)行搜索

　　圖3.13 google搜索示例

如果用戶使用谷歌搜索，則會將谷歌生成的網(wǎng)址信息進(jìn)行篩選再進(jìn)行自身的搜索進(jìn)行搜索

　　圖3.14 再次進(jìn)行搜索代碼片段

其中標(biāo)紅的URL在瀏覽器地址跳轉(zhuǎn)里面會被使用

　　圖3.15 跳轉(zhuǎn)的網(wǎng)址鏈接代碼片段

第四章Accessibility安全預(yù)警

一、 濫用案例盤點(diǎn)

根據(jù)國內(nèi)外相關(guān)安全報(bào)告，已被發(fā)現(xiàn)的Accessibility濫用情況主要?dú)w類為三類情況：惡意安裝、廣告干擾和竊取信息。

（一） 惡意安裝

應(yīng)用市場的“自動安裝功能”通過Accessibility實(shí)現(xiàn)了模擬用戶點(diǎn)擊的功能，同樣的技術(shù)也被黑產(chǎn)業(yè)有所利用，利用Accessibility的檢測視圖以及模擬點(diǎn)擊功能，進(jìn)行惡意安裝，用戶即使發(fā)現(xiàn)也無可奈何[4]。同時(shí)，結(jié)合此次發(fā)現(xiàn)木馬的實(shí)現(xiàn)方式，可預(yù)見到會有自動安裝同時(shí)隱藏安裝界面行為的出現(xiàn)。

（二） 廣告干擾

Accessibility的功能，使得廣告的方式彈出方式更難以察覺、更具隱蔽性。如Doctor Web的報(bào)告Android adware “sets up” other programs[5]提及的Adware.AnonyPlayer.1.origin，會利用Accessibility獲取系統(tǒng)事件，等待用戶啟動白名單中的不含廣告的應(yīng)用后進(jìn)行廣告展示，達(dá)到迷惑用戶廣告出處的目的。

（三） 竊取信息

由于使用Accessibility時(shí)可以獲得用戶通知欄以及操作視圖里的內(nèi)容，此功能可被用于竊取用戶數(shù)據(jù)。如Lookout的報(bào)告 Japanese malware abuses servicehelping the disabled use smartphones; spies on victims and steals LINE data[6]中，指出了有惡意軟件利用Accessibility進(jìn)行LINE數(shù)據(jù)的竊取。

二、 安全預(yù)警

在Android 5.0以前，接口getRunningTasks常被惡意利用來制作各種欺詐或者劫持類軟件，但是由于Android5.0對該接口進(jìn)行了安全性的改進(jìn)，使得木馬作者在5.0以后的版本尋求另外的實(shí)現(xiàn)方式去達(dá)到原來的功能，其中通過Accessibility來實(shí)現(xiàn)便是其中一種方法，getRunningTasks和Accessibility的對比如下圖

　　圖4.1getRunningTasks和Accessibility比較

通過上述對比，結(jié)合此次發(fā)現(xiàn)的木馬，Accessibility在將來有可能成為替代getRunningTasks接口被用作劫持詐騙類木馬的常用手段。與此同時(shí)，通過對Accessibility相關(guān)功能的深入研究，發(fā)現(xiàn)利用該服務(wù)可以獲取到更多的細(xì)節(jié)信息，在將來可能會帶來更大的安全隱患。

在上述對比中，Accessibility需要用戶主動開啟服務(wù)，在國外已經(jīng)發(fā)現(xiàn)通過懸浮窗來進(jìn)行引導(dǎo)用戶開啟授權(quán)的樣本，在對Most Android Devices Prone to Accessibility Clickjacking Attacks[7]中所提及的樣本的分析研究發(fā)現(xiàn)，該樣本主要通過懸浮窗覆蓋和游戲引導(dǎo)的形式，在用戶不知情的情況引導(dǎo)用戶開啟服務(wù)。懸浮窗欺騙，加上前面木馬當(dāng)中有偽裝欺騙，惡意開發(fā)者有可能正通過多種方法和手段完成惡意功能。

三、 濫用原因

通過對Accessibility相關(guān)技術(shù)和樣本的分析，發(fā)現(xiàn)Accessibility可以獲取用戶操作界面的信息、獲取用戶輸入信息甚至可以獲取到用戶操作手機(jī)的狀態(tài)，那么，Accessibility是如何從一個(gè)面向于特殊群體的服務(wù)逐漸變得被濫用的呢？應(yīng)該有以下因素：

1)使用人群與權(quán)限控制的矛盾

Accessibility理想使用人群是殘障人士，殘障人士對手機(jī)操作具有特殊要求，使得Accessibility需要提供高度的自動化和十分簡易的操作接口，這一方面導(dǎo)致Accessibility服務(wù)的運(yùn)行過程對于手機(jī)用戶來說幾乎是透明的；另一方面，使用人群的特殊又使得系統(tǒng)不能對Accessibility設(shè)置過于復(fù)雜的權(quán)限控制，使其容易被濫用。

2)用戶對Accessibility的認(rèn)識不足

如果說起ROOT，相信能引起用戶的謹(jǐn)慎注意，但是設(shè)計(jì)到Accessibility，包括無障礙服務(wù)、輔助功能等詞語時(shí)，大多用戶沒有足夠的安全防護(hù)意識，甚至由于服務(wù)置于后臺，對用戶沒有交互，用戶難以察覺其存在，而導(dǎo)致用戶意識上的松懈。

由于Accessibility自身的設(shè)計(jì)意義使得系統(tǒng)權(quán)限管理難以做得復(fù)雜，同時(shí)用戶對其又沒有足夠的安全認(rèn)識，形成了如今Accessibility被濫用的情況。

四、 總結(jié)

Android提供Accessibility的初衷是幫助用戶更好地使用手機(jī)，而今卻被用在各種不相關(guān)的功能上，甚至于利用該功能來進(jìn)行惡意推廣等對用戶不友好的行為，這次發(fā)現(xiàn)的木馬更是對用戶手機(jī)的日常使用造成極大的不便。對比安卓官方提供該服務(wù)的初衷，Accessibility其實(shí)更像是個(gè)受委屈的孩子，為了更美好的事情而誕生，卻被“教”成了個(gè)壞孩子。

結(jié)合此次發(fā)現(xiàn)的木馬和上述報(bào)告，可以發(fā)現(xiàn)Accessibility被惡意利用的情況越來越多，進(jìn)行的惡意行為也層出不窮。此次發(fā)現(xiàn)的木馬劫持了用戶瀏覽器，同樣的技術(shù)也可實(shí)現(xiàn)對任意Activity實(shí)行劫持，國內(nèi)尚未出現(xiàn)類似木馬但需對此引起重視與預(yù)防。

在此提醒廣大用戶，不要輕易給未知來源的應(yīng)用開啟輔助功能，以免遭受到手機(jī)的使用不正?；蚱渌麚p失。

引用

[1]Android官方對于Accessibility的說明：

https://developer.android.com/guide/topics/ui/accessibility/index.html

[2]Android官方對于AccessibilityService的開發(fā)者文檔:

https://developer.android.com/reference/android/accessibilityservice/AccessibilityService.html

[3]Android官方對于TalkBack的幫助說明文檔:

https://support.google.com/accessibility/android/answer/6283677hl=zh-Hans&ref_topic=3529932

[4] 濫用Accessibilityservice自動安裝應(yīng)用：

http://www.2cto.com/Article/201512/454365.html

[5]Android adware “sets up” other programs :

http://news.drweb.com/show/i=9716&c=9&lng=en&p=0

[6]Japanese malware abuses service helping the disabled use smartphones; spies onvictims and steals LINE data:

https://blog.lookout.com/blog/2015/07/01/androratintern/

[7]Most Android Devices Prone to Accessibility Clickjacking Attacks:

http://www.securityweek.com/most-android-devices-prone-accessibility-clickjacking-attacks

*企業(yè)賬號：360手機(jī)衛(wèi)士，轉(zhuǎn)載請注明來自FreeBuf黑客與極客（FreeBuf.COM）