Мобильные вирусы для Android — часть первая

В последние годы помыслы злоумышленников сосредоточены на смартфонах. Ведь именно с мобильниками мы не расстаемся целыми днями, храним на них личные документы и фотографии, используем их как средство общения, камеру, проездной, кошелек и многое другое. На них хранится вагон и маленькая тележка ценных данных, за которые можно получить приличное вознаграждение. Впрочем, и для других нехороших целей мобильные устройства подходят отлично. Поэтому и программ-вредителей для смартфонов немало.

В прошлом году мы отловили 42,7 млн зловредов, которые используют смартфоны и планшеты для своих нехороших дел. Чтобы удобнее было в них разбираться, мы делим их на несколько видов в зависимости от того, чего они хотят и как себя ведут. В этой части мы познакомимся с тремя довольно широко распространенными видами.

Adware: рекламные кликеры и навязчивые баннеры

Один из самых распространенных видов заразы для мобильных устройств — рекламные зловреды. Их задача — накручивать клики по баннерам в Интернете либо самостоятельно, либо вашими руками. Или же они просто показывают вам лишнюю рекламу.

В первом случае вы даже не видите объявления. При этом кликер расходует ваши ресурсы — заряд аккумулятора и мобильный трафик. Зараженный смартфон садится всего за несколько часов, а счета за связь неприятно удивляют.

Второй тип рекламных вредоносов подменяет баннеры на интернет-страницах своими и заваливает вас ненужными объявлениями, чтобы вы сами волей-неволей переходили по ссылкам. При этом нередко поток спама оказывается таким мощным, что устройством становится невозможно пользоваться: реклама заслоняет собой все остальное.

Некоторые экземпляры могут еще и без спроса собирать информацию о вашем поведении в сети. Потом эти данные попадают к рекламодателям, которые с их помощью корректируют настройки своих рекламных кампаний. Кроме того, баннеры могут вести на вредоносные сайты, откуда на ваше устройство скачается что похуже.

SMS- и веб-подписчики

Второй вид зловредов — подписчики, также известные как кликеры (Trojan-clicker). Они занимаются тем, что воруют деньги с вашего мобильного счета — оттуда это делать проще всего, поскольку для этого не требуется никаких конфиденциальных данных вроде номера карточки. Средства утекают через платные WAP- или SMS-подписки, а в некоторых случаях — еще и через звонки на платные номера за счет жертвы.

О том, что такое WAP и как им пользуются злоумышленники, мы уже подробно писали здесь. Чтобы оформить от вашего имени платную подписку, WAP-кликеру достаточно нажать кнопку на сайте. SMS-зловредам требуется разрешение на отправку сообщений, однако многие пользователи готовы выдать его любому приложению не глядя. Чуть сложнее задача программ, тратящих ваши средства на IP-телефонию: им приходится регистрировать аккаунт в соответствующем сервисе.

Один из ярких примеров подписчиков — троян Ubsod. Этот вредитель специализируется на WAP, а чтобы вы как можно дольше не замечали его деятельность, он удаляет все SMS, содержащие ubscri или «одпи» (фрагменты слов subscribe / subscription и «подписка» / «подписаться»). Кроме того, он умеет переключаться с Wi-Fi на мобильный Интернет — только через него можно работать с WAP.

По счастью, избавиться от ненужных подписок несложно: все подписки отображаются в личном кабинете на сайте оператора. Там же вы можете их отключить, и даже запретить оформлять новые на этот номер (впрочем, в некоторых случаях такой запрет можно наложить только временно). Главное — заметить утечку денег со счета достаточно быстро, чтобы у вас не украли слишком много.

SMS-флудеры и DDoS-еры

Эти две категории объединяют зловреды, которые не скачивают, а отправляют данные — много данных! И делают это, конечно же, тайком, не спрашивая вашего разрешения. На том, чтобы за ваш счет испортить кому-то жизнь, тоже можно неплохо подзаработать — этим и пользуются мошенники.

Так, SMS-флуд часто используют хулиганы, чтобы поиздеваться над своей жертвой или вывести ее аппарат из строя. Флудеры можно установить на свое устройство и с него заваливать тысячами СМС своих врагов. Но многие не ограничиваются этим и стремятся отправлять сообщения за чужой счет, незаметно подсовывая приложение посторонним.

DDoS-еры способны «уложить на лопатки» не только смартфон, но и более мощное устройство или даже крупный интернет-ресурс. Для этого злоумышленники объединяют зараженные гаджеты в сеть — ботнет — и засыпают жертву запросами с них. Кстати, в роли DDoS-ера могут выступать и кликеры, пытающиеся открыть одну и ту же веб-страницу бессчетное количество раз.

И флудеры, и DDoS-еры пытаются с помощью вашего смартфона навредить кому-то еще. И все же для вас их деятельность тоже не пройдет бесследно, ведь это нагрузка и на производительность гаджета, и на его аккумулятор, и, естественно, на ваш счет. Обычно эти программы распространяются не очень широко, однако в июле 2013 года SMS-флудер Didat попал в топ-20 вредоносных программ, рассылаемых по почте.

Чем дальше в лес…

Сегодняшние герои нашей энциклопедии мобильной нечисти не слишком опасны. В худшем случае они утянут деньги со счета вашего телефона и попортят вам нервы. При этом многих из них легко обнаружить и удалить с помощью антивируса.

В следующих главах мы расскажем о злодеях повыше рангом. Следите за обновлениями и помните о правилах мобильной безопасности:

• Не устанавливайте приложения из сторонних источников, а лучше вообще запретите это в настройках операционной системы!
• Своевременно обновляйте мобильную ОС и все установленные приложения.
• Защищайте мобильным антивирусом все свои устройства на Android.
• Регулярно проверяйте список платных услуг в личном кабинете мобильного оператора и отключайте все, на что не подписывались сами. Обнаружив незнакомую подписку, не поленитесь проверить ваше устройство антивирусом.
• Всегда читайте списки разрешений, которые у вас просит приложение, и не позволяйте лишнего.

Вирусы для Android. Способы заражения.

• Открытым кодом. Всегда можно посмотреть, как работает та или иная системная утилита.
• Распространенностью. Обновления безопасности поступают на разные модели устройств в разное время, многие вообще остаются без обновлений, что позволяет беспрепятственно использовать весьма несвежие уязвимости.
• Несовершенством антивирусных программ. Сколько бы процессоров ни было в устройстве, антивирусы все равно значительно замедляют работу ОС, поэтому пользователи неохотно их ставят.
• Слабой системой проверки приложений в маркете. Несмотря на все уверения специалистов Google о «многоступенчатой проверке», в маркет легко проникают клоны удаленных инфицированных программ, а к разработчикам таких программ не применяются никакие меры.
• Отсутствием централизованного контроля за прошивками. Разработчик прошивки может беспрепятственно вставлять любой шпионский софт по своему усмотрению.

ОБХОД АНТИВИРУСНЫХ СКАНЕРОВ

Времена свободного доступа любого приложения в Play Market подходят к концу. Ребята из Google сообразили, что надо принимать хоть какие-то меры, чтобы остановить нашествие огромного количества вирусов, и ввели систему проверки приложений. Создатели вирусов мгновенно отреагировали и начали вставлять механизмы обхода проверки.

[ad name=»Responbl»]

Один из интересных методов — отложенный старт вредоносной активности. Например, приложение месяц ведет себя как обычная игрушка или справочник, тысячи пользователей скачивают его и оставляют восторженные отзывы, привлекая все большую аудиторию. А через некоторое время в приложении вдруг просыпается зло, и оно начинает показывать фейковые диалоги, скачивать и устанавливать нежелательный софт.

Другие вирусы, такие как семейство Leech, определяют свой IP-адрес в сети и, если он попадает в IP-диапазон, используемый Google, или же имя хоста айпишника содержит слова google, android, 1e100, сразу же прекращают работу, чтобы не вызывать подозрений у системы автоматической проверки. Причем делают они это по-хитрому, ведь если использовать стандартные средства Android, то придется запрашивать у пользователя дополнительные разрешения. Поэтому злоумышленники обращают свой взор на такие ресурсы, как ipinfo.io. Не составит труда загрузить страничку в строку и найти там нужную информацию:

Развиваются и методы обхода статического анализа кода. Один из способов — использовать динамическую загрузку библиотек с вредоносной нагрузкой. В результате само приложение выглядит вполне невинно. Для загрузки внешнего кода используется класс DexClassLoader, который умеет загружать классы из JARили APK-файлов в формате DEX.

После загрузки класса можно спокойно дергать его методы с помощью рефлексии. Внешнюю библиотеку можно как разместить в самом APK, так и скачать из Сети после установки. Чтобы еще больше усложнить обнаружение вредоносного кода, злоумышленники шифруют такие программные модули и дают им трудноугадываемые имена.

Некоторые вирусописатели идут дальше и выкладывают в маркет приложения, которые после установки скачивают и устанавливают вирусные аппликухи самостоятельно, маскируя их под системные утилиты. Так что, даже если пользователь удалит изначальное приложение, вирус будет преспокойно обитать на устройстве и дальше. Такой подход реализован, например, в приложении BrainTest.

Для установки новых приложений без ведома пользователя злоумышленники используют утилиту pm:

Чтобы использовать эту утилиту, приложение должно либо запрашивать разрешение android.permission.INSTALL_PACKAGES в манифесте, либо обладать правами рута. Проверить, установлено ли приложение, можно, воспользовавшись методом getPackageInfo класса PackageManager:

СПОСОБЫ ОБОГАЩЕНИЯ НА ВИРУСАХ ДЛЯ АНДРОИД

Самый простой способ нажиться на бедных пользователях — заставить их просматривать рекламу. Например, приложение Who Viewed Me on Instagram обещает показать пользователю его тайных поклонников в инстаграме, а вместо этого ворует учетные данные и размещает кучу рекламы в профиле пользователя. Приложение использует возможность вызова методов Android-приложения из JavaScript-кода. Чтобы украсть учетную запись пользователя, вредонос просит пользователя залогиниться в своем окне с WebView, а после загрузки логин-страницы инстаграма добавляет кусочек своего кода к кнопке входа.

Объявляем метод, который будет принимать учетную запись из JavaScript:

Следует отметить, что после удаления одной версии программы автор сразу же разместил аналогичную, лишь слегка изменив название. И она спокойно прошла контроль со стороны Play маркета! Похоже, что Большой Брат не так уж пристально следит за разработчиками.

Между прочим, количество загрузок у подобных «полезных приложений» иногда переваливает за 100 тысяч! Так что, если приложение просит тебя залогиниться в соцсеть в своем окне, самое время насторожиться и вспомнить, что конкретно тебе известно об этом приложении.

[ad name=»Responbl»]

Другой набирающий популярность способ обогащения — вирусы-вымогатели. Попав на устройство, они получают права рута, часто шифруют пользовательские данные и показывают окно с требованием выкупа, предотвращая попытки пользователя запустить другие приложения. Так ведут себя, к примеру, вирусы семейства Fusob.

Первоочередная задача программы-вымогателя — получить рут на устройстве жертвы. К сожалению простых пользователей, в Сети гуляет бесчисленное множество эксплоитов, позволяющих незаметно повысить права приложения до суперпользовательских. Например, Towelroot постоянно обновляется и совершенствуется своим создателем. Неплохую базу эксплоитов собрала группа Offensive Security, ну и конечно, все самые свежие уязвимости можно посмотреть на CVE.

Получив рут, зловред с помощью класса ActivityManager начинает контролировать работу других приложений, убивая нежелательные:

Нередко для управления вирусом-вымогателем используется GCM — ребята из Google разработали идеальную систему для отправки команд приложению и получения от него ответов. Достаточно зарегистрироваться на сервере, предварительно получив токен для работы.

Теперь можно принимать любые команды, в том числе на обновление вируса, что дает злоумышленнику практически неограниченную власть.

Есть и более безобидные способы обогащения. Например, популярное приложение «Фонарик» втихаря собирало данные о месторасположении пользователей, которые разработчик потом продавал рекламщикам для таргетирования рекламы.

ВЫВОДЫ

В этой статье мы разобрали все ключевые моменты кода, которые позволяют современной малвари реализовывать зловредные идеи своих плохих авторов. Обладающему этими знаниями программисту бояться нечего :), а что же делать простому пользователю? Если не хочется устанавливать кучу антивирусного софта на девайс, всегда можно скачать APK перед установкой и проверить его на наличие вирусов онлайн-утилитами, например тем же Вирустоталом. Ими же могут воспользоваться разработчики, чтобы удостовериться, что их новое приложение не будет принято за вирус.

Есть ли вирусы на андроид — памятка по безопасности владельцу смартфона

Автор android На чтение 4 мин.

Современный смартфон – это маленький компьютер со всеми сильными и слабыми сторонами. Где компьютеры, там и вирусы – уже аксиома. Попробуем разобраться, есть ли вирусы на Андроид, каковы настоящие угрозы и почему так популярны антивирусные приложения.

Открытая и безопасная система

Вирусы для смартфонов – одна из самых актуальных и громких тем. Ведь в телефоне и планшете хранится столько личных данных! Телефонная книга, переписка, заметки, геолокационные данные, а самое вкусное – доступ к счёту и часто данные банковских карт! Казалось бы, вот раздолье для хакеров!

Тем не менее настоящие вирусы для Android – большая редкость. Каждый из них становится событием, о котором пишут и в специализированных, и в массовых изданиях. Ещё бы: ведь на сегодня в мире проданы миллиарды Android-устройств, и их безопасность касается сотен миллионов людей!

[su_note]Поэтому о классических вирусах, которые пробираются на ваш компьютер без вашего ведома, можно не переживать. Однако полной безопасности это не означает.[/su_note]

Существует множество подводных камней, на которые может нарваться пользователь Android. И хорошо, если всё ограничится потерей некоторой суммы с телефонного счёта.

Реальные опасности Android

Если для Android практически нет вирусов, может, можно расслабиться и забыть про безопасность? Ни в коем случае! Существуют другие, не менее грозные опасности:

[su_list icon=»icon: android» icon_color=»#006905″]

• [su_highlight]Фишинг.[/su_highlight] Сайты, похожие на реальные банковские страницы, требуют у вас ввести данные ваших карт. Имитаторы почтовых сервисов «уводят» пароли и имена ящиков. Фальшивые социальные сети хотят получить доступ к вашему аккаунту. Однако всё это не беда Android: фишинговые ресурсы опасны вне зависимости от платформы.
• [su_highlight]Malware.[/su_highlight] Зловредное программное обеспечение устанавливается на ваш смартфон или планшет и уводит данные. Но, в отличие от вирусов, «зловреды» для смартфонов не могут прокрасться в систему просто так. Им непременно нужно согласие пользователя.
• [su_highlight]Кража смартфона.[/su_highlight] Если злоумышленники так уж хотят именно ваши данные, проще всего для них будет завладеть смартфоном и получить доступ к системе. Поскольку телефоны лёгкие, небольшие и постоянно при владельце, проще уж, простите за подробности, подстеречь вас в подъезде и забрать устройство.[/su_list]

Антивирусы и их задача

В свете вышесказанного понятно, что программы, обеспечивающие безопасность, мы называем «антивирусами» больше по инерции. На самом деле задача пакетов безопасности для устройств на Android OS несколько в другом:

[su_list icon=»icon: android» icon_color=»#006905″]

• Реестр вредных страниц. Стоит вам попасть на страницу, отмеченную в реестре как фишинговую, вы получите предупреждение об этом.
• Анализ приложений на наличие «зловредных» функций. Если в приложении есть сомнительные модули, требующие сомнительных прав доступа, оно будет направлено в лабораторию на изучение.
• «Чёрный список». В пакетах безопасности обычно есть встроенные средства фильтрации нежелательных звонков и SMS. Занесите туда номера, звонки с которых вы больше не желаете слышать.
• «Противоугонные» функции. Если смартфон или планшет пропадёт, вы сможете удалённо очистить данные на нём, заблокировать, отобразить сообщение для нашедшего (или похитителя), часто – и отследить, где географически устройство находится.[/su_list]

Безусловно, всё это очень важно. Но собственно вирусы в списке угроз для Android занимают одно из последних мест. Куда больше опасности таит неумелое пользование и неосторожность. Ведь именно по собственному незнанию пользователи дают доступ сомнительным приложениям и отправляют свои данные на фальшивые сайты.

[su_note]Поэтому антивирусные программы — это хорошо. Но здоровое недоверие и изучение основ безопасности – лучше.[/su_note]

SMS-вирус под ОС Android или «Привет 🙂 Тебе фото…» / Хабр

*Оригинальная картинка, наглым образом вытащеная из ресурсов apk

[прим. apk — расширение файла установки приложения на ОС андроид]

Вступление

Нежданно-негаданно, посреди рабочего дня на мой старенький Sony Ericsson K320i приходит смс следующего содержания:

привет [смайлик] тебе фото https:// m**o*an.ru/oujr/380688086*6*

В качестве отправителя значился человек, с которым я уже некоторое время не общаюсь. Посмотрев тест сообщения и отмахнувшись от телефона со словами «Очередной спам», я дальше погрузился в работу.
Все бы ничего, но через пару минут пришло аналогичное сообщение на второй телефон (Samsung Galaxy Gio). Номер отправителя совпадал.
Через 2 часа позвонил друг и попросил дать ему совет. Ему пришло похожее смс от его начальника. Успокоив его фразой: «По ссылке не переходи и будет тебе счастье», я решил, что нужно разобраться в ситуации.

Договоренности1) Технически правильно называть данный «зловред» не вирусом, а трояном. Автор умышленно пошел на данное ухищрение для упрощения. Заранее прошу прощения за это.
2) Автор в данной статье постарался поставить себя на место обычного пользователя, испытать и пережить все то, что испытавает он. Поэтому специализированные технические средства не применяются, а методы борьбы выбраны примитивные.

1. Подготовка

Поверхностно поискав в интернете информацию, было установлено, что ссылка в смс сообщении является ничем иным, как адресом на загрузку apk файла. А apk файл — вирусом «Trojan.SMSSend», заражающий мобильные устройства под управлением ОС Android. Главные задачи данного «зловреда» — перехватывать управление устройством и использовать его в своих целях: блокировка исходящих вызовов, отправка сообщений «с приветом» и другие мелкие пакости.

Перейдя по ссылке из браузера я благополучно получил ответ «403 Forbidden».

Понятно, значит, стоит фильтр по браузеру. Что ж, буду проверять «на кошках», как говорится.

Недолго думая, решил «положить на алтарь науки» свой планшет Samsung Galaxy Tab 2. Сделав бэкап, со спокойной совестью нажал на кнопку «Общий сброс». На всякий случай убедился, что на sim-карте нет денег и приступил к установке.

2. Установка

Захожу в настройки, в пункте меню «Неизвестные устройства», убираю галочку «Разрешить установку приложений из других источников, кроме Play Маркет».
Перейдя по ссылке из смс-сообщения, получил предупреждение браузера, следующего характера:

Соглашаюсь и нажимаю кнопку «Продолжить». Скачалось приложение F0T0_ALB0M.apk:

Устанавливаю. Ужасаюсь количеством permission (разрешений). Операционная система любезно предупреждает:

Это приложение может нанести вред устройству

Но я же не ищу легких путей, поэтому, «скрепя сердце», ставлю галочку «Я понимаю, что это приложение может нанести вред».Процесс установки
Когда приложение запрашивает права администратора, понимаю, что это последний этап. Нажимаю «Отмена», но диалог появляется снова. Эх, была не была, буду идти до конца, и нажимаю «Включить».

3. Вирус-приложение

Само приложение состоит из одной активити-картинки с обреченным котенком. Наверное таким образом разработчик пытался пошутить.

В этом месте, я немного забегу вперед (см. п.6) и приведу, код AndroidManifest.xml для лучшего понимания статьи.

AndroidManifest.xml

<?xml version="1.0" encoding="utf-8"?>
<manifest android:versionCode="4" android:versionName="4.0" android:installLocation="internalOnly" package="com.android.systgec"
  xmlns:android="http://schemas.android.com/apk/res/android">
    <uses-permission android:name="android.permission.ACCESS_NETWORK_STATE" />
    <uses-permission android:name="android.permission.CALL_PHONE" />
    <uses-permission android:name="android.permission.CALL_PRIVILEGED" />
    <uses-permission android:name="android.permission.CHANGE_COMPONENT_ENABLED_STATE" />
    <uses-permission android:name="android.permission.INTERNET" />
    <uses-permission android:name="android.permission.READ_CONTACTS" />
    <uses-permission android:name="android.permission.WRITE_CONTACTS" />
    <uses-permission android:name="android.permission.READ_PHONE_STATE" />
    <uses-permission android:name="android.permission.PROCESS_OUTGOING_CALLS" />
    <uses-permission android:name="android.permission.MODIFY_PHONE_STATE" />
    <uses-permission android:name="android.permission.RECEIVE_BOOT_COMPLETED" />
    <uses-permission android:name="android.permission.RECEIVE_SMS" />
    <uses-permission android:name="android.permission.SEND_SMS" />
    <uses-permission android:name="android.permission.WAKE_LOCK" />
    <uses-permission android:name="android.permission.WRITE_EXTERNAL_STORAGE" />
    <uses-permission android:name="android.permission.SYSTEM_ALERT_WINDOW" />
    <uses-permission android:name="android.permission.GET_TASKS" />
    <application android:label="@string/app_name" android:icon="@drawable/icon" android:manageSpaceActivity=".ClearActivity" android:allowClearUserData="false" android:allowBackup="true">
        <activity android:label="@string/app_name" android:name=".AppActivity">
            <intent-filter>
                <action android:name="android.intent.action.MAIN" />
                <category android:name="android.intent.category.LAUNCHER" />
            </intent-filter>
        </activity>
        <activity android:name=".ClearActivity" />
        <receiver android:name=".SmsReceiver">
            <intent-filter android:priority="1000">
                <action android:name="android.provider.Telephony.SMS_RECEIVED" />
            </intent-filter>
        </receiver>
        <receiver android:name=".OnBootReceiver">
            <intent-filter>
                <action android:name="android.intent.action.BOOT_COMPLETED" />
                <action android:name="android.intent.action.QUICKBOOT_POWERON" />
                <action android:name="android.intent.action.USER_PRESENT" />
            </intent-filter>
        </receiver>
        <receiver android:name=".IncomingCallReceiver">
            <intent-filter android:priority="1000">
                <action android:name="android.intent.action.PHONE_STATE" />
            </intent-filter>
        </receiver>
        <receiver android:name=".OutCallReceiver">
            <intent-filter android:priority="1000">
                <action android:name="android.intent.action.NEW_OUTGOING_CALL" />
            </intent-filter>
        </receiver>
        <receiver android:name=".NetworkReceiver">
            <intent-filter>
                <action android:name="android.net.conn.CONNECTIVITY_CHANGE" />
                <action android:name="android.net.wifi.WIFI_STATE_CHANGED" />
            </intent-filter>
        </receiver>
        <receiver android:name=".AdminReceiver" android:permission="android.permission.BIND_DEVICE_ADMIN">
            <meta-data android:name="android.app.device_admin" android:resource="@xml/policies" />
            <intent-filter>
                <action android:name="android.app.action.ACTION_DEVICE_ADMIN_DISABLED" />
                <action android:name="android.app.action.ACTION_DEVICE_ADMIN_DISABLE_REQUESTED" />
                <action android:name="android.app.action.DEVICE_ADMIN_ENABLED" />
            </intent-filter>
        </receiver>
        <receiver android:name=".ServiceController" />
        <service android:name=".SystemService" android:enabled="true" />
        <service android:name=".DelService" android:enabled="true" />
    </application>
</manifest>

В диспетчере приложений наш «зловред» гордо именуется «Google Play».

4. Удаление?

Благополучно заразив устройство, перехожу к фазе лечения. Сначала пробую удалить приложение. Захожу в «Диспетчер приложений» и вижу, что все кнопки заблокированы.

Понятно, значит, у приложения имеются права администратора и так просто удалить его не получится. Не беда, сейчас я их уберу. Захожу в пункт меню «Безопасность»->«Администраторы устройства» и убираю галочку напротив приложения.

Но, нет, не тут то было. Устройство благополучно переходит в настройки управления WiFi и зависает. Пришлось «прибивать» окно настроек.

Дальше хотелось решить вопрос «на корню», так сказать, и воспользоваться общим сбросом системы. Ну да, легко мне выбирать такой вариант — мои личные данные в бэкапе хранятся.

А как же обычные пользователи? У которых «внезапно» любимый телефон заразился вирусом. Они ведь даже исходящего вызова знакомому «тыжпрограммисту» не сделают. В общем, читерство это, не буду так делать.

Итог: штатными средствами нейтрализовать угрозу не удалось. Подключаем «тяжелую артиллерию».

Примечание для компаний

В дальнейших разделах используется описание действий связанных с использованием бесплатных версий продуктов некоторых компаний. Целью повествования не являются жалобы на компании или предоставляемые ими услуги.

5. Dr Web против вируса

Памятуя про хорошую лечащую утилиту «Dr.Web CureIt!», решил бороться с зловредом с помощью аналога под Android. Захожу на официальный сайт и качаю бесплатную версию антивирусника «Dr.Web для Android Light 9».
Устанавливаю, по WiFi обновляю сигнатуры.
Запускаю быструю проверку ― ничего.
Запускаю полную проверку ― тоже ничего.
Я разочарован! Печально вздохнув, удаляю антивирусник.

UPD от 6.09.14. На данный момент антивирусник успешно опознает данный зловред под детектом Android.SmsBot.origin.165. Алгоритм удаления такой же, как и при использовании Avast (см. ниже).

5. Avast против вируса

Мнение автораНикогда особо не любил антивирусник данной фирмы. Особенно после истории об удалении файла отвечающего за протокол tcp/ip в Windows XP. Но, чем «черт не шутит», установим.

Скачиваю и устанавливаю версию «Avast-Mobile-Security-v3-0-7700».
При старте запускается экспресс-сканирование, которое никаких вирусов в системе не находит.

Ну и ладно, мозг подсказал очередную идею: вот есть какой-то пункт меню «Управление приложениями», а что если…

Да, действительно загрузился список приложений в системе.

Пункта «Удалить» нет. Поэтому, пробую остановить приложение. Остановилось.

Жду 2-3 секунды, приложение снова в работе.

Ладно, попробую с другой стороны. Запускаю принудительную проверку системы. О_о, обнаружено вредоносное ПО. Нажимаю «Устранить все» [прим. как-то это звучит в духе Дарта Вейдера или Далеков]. Avast сообщает, что удалить приложение не может, а нужно сначала отобрать права администратора у приложения. Появляется системный диалог:

Удалить все данные с устройства и вернуть заводские настройки? Нажмите «Да» если согласны, или «Нет» для отмены

И сразу же, поверх этого диалогового окна открывается «злополучное» окно настроек wi-fi. Нажимаю «Возврат», снова открываются настройки. Хорошо, хоть окно настроек не зависает.

Опять на тропу читерства меня толкают. Будем искать другое решение…

6. Реверс-инжиниринг

Посмотрим в исходный код приложения, благо на Android это не такая большая проблема. Много всего интересного…
Например, в классе SystemService указан url сайта lamour.byethost5.com (дизайн-студия).
Но больше всего мне понравился класс AdminReceiver, который является наследником системного класса DeviceAdminReceiver.
В этом классе есть переопределенный метод onDisableRequested, который срабатывает при отключении админполномочий для данного приложения. Полностью заблокировать кнопки в системном диалоге нельзя, поэтому разработчик вируса пошел на хитрость, он изменил текст сообщения на «Удалить все данные с устройства и вернуть заводские настройки? Нажмите «Да» если согласны, или «Нет» для отмены» и обильно прикрыл сверху назойливым окном настроек.

Бинго. Значит теперь я смело смогу нажать в данном диалоговом окне «Удалить» и планшет будет «здоров».

Послесловие

Таким образом, выполнив повторно пункт 5 данной публикации (не останавливаясь на последнем шаге), вирус версии 4.0 (согласно манифест-файлу) был побежден.

Почему не удалось напрямую из настроек убрать галочку админправ для приложения, а только используя Avast? Скорее всего, стоит очередная ловушка с переопределенным методом.

Выводы

Разработчики вирусов находят все новые лазейки.
Но, так или иначе, браузер и операционная система стали лучше защищать пользователей.
Мне необходимо было нажать 2 подтверждения и поставить галочку в настройках «Неизвестные устройства».

Будьте здоровы, вы и ваши девайсы!

Текущий список вирусов Android 2020 и как защитить Android от вирусов — Dr.Fone

Список лучших вирусов для Android 2020:

FakeInst

Согласно Trend Micro, FakeInst находится в верхней части списка. Им инфицировано около 22% от общего числа зараженных. FakeInst в основном распространился в Восточной Европе, Азии и России. FakeInst был обнаружен в десятках приложений для Android, доступных для загрузки в сторонних магазинах приложений, которые он использовал для отправки SMS-сообщений с повышенным тарифом.

OpFake

Согласно исследованию Trend Micro, общий уровень заражения вирусом OpFake составляет около 14%. OpFake — это семейство вирусов, которые действуют как загрузчик в браузере Opera, альтернативе браузеру Google Chrome для Android. Автор вируса незаметно отслеживает отправку сообщений с повышенным тарифом. Вирус был обнаружен в прошлом году и начал атаковать мобильные устройства Android, а затем разработчик OpFake закодировал его для Symbian и iPhone. Атаки распространялись с использованием различных методов, таких как поддельный маркетинг Android и всплывающие сообщения на каком-то веб-сайте, после чего жертвы считали, что их браузер устарел.

SNDApps

Недавнее исследование Trend Micro показывает, что SNDApps занимает 3-е место, вирусное семейство SNDApps заразило до 12% от общего числа мобильных вирусов. В 2011 году SNDApps были найдены в десятках приложений в официальном магазине Google Play. SNDApps действует как шпионское ПО, которое загружает личную информацию и другие данные на удаленный сервер без разрешения пользователя. После этого Google принял меры и заблокировал приложение в официальном репозитории, но оно все еще доступно в сторонних магазинах приложений.

Боксер

Boxer — еще один SMS-троян, разработанный для того, чтобы отправлять сообщения по более высокой цене. Самец из семейства боксеров выступил в качестве альтернативы Flash для мобильного Android. Он также распространялся через сторонние магазины приложений и заразил в основном Европу и Азию, Бразилию и другие страны Латинской Америки, что составило 6% от общего числа.

GinMaster

GinMaster также известен как GingerMaster, который был первым вирусом, обнаруженным исследователями в 2011 году в Университете Северной Каролины.На его долю приходится 6% от общего числа зараженных вредоносным ПО, и он занимает 5-е место в списке Trend Micro. GinMaster был прикреплен к законным приложениям, в том числе показывающим неприемлемые изображения женщин. GinMaster устанавливает свою корневую оболочку в системный раздел, чтобы использовать последний. Разнообразные вирусы предназначены для бесшумной работы и кражи мобильного идентификатора, номера мобильного телефона и других важных данных жертвы.

VDLoader

Загрузчик VD — это тип вредоносного ПО, которое в основном обнаруживается в Азиатском регионе и представляет собой тип SMS-трояна.VDLoader нелегко обнаружить, потому что он скрывается на заднем плане мобильных приложений. Это одно из первых вредоносных программ, которое содержит функцию автоматического обновления и сервер удаления контактов. После подключения он начинает наводнять телефон жертв текстовыми сообщениями. Также сообщается, что VDLoader также собирает данные приложений с устройств.

Фальшивый дельфин

FakeDolphin — это вредоносная программа, которая предоставляет вам браузер дельфинов в качестве альтернативы браузеру Google Chrome по умолчанию, и в этом браузере есть троянец, который подписывает пользователей на услуги без их ведома или согласия.Злоумышленники пытаются перенаправить жертв на веб-сайты, откуда они могут загрузить FakeDolphin.

Кунг Фу

KungFu — очень эффективная вредоносная программа, которая пытается получить root-доступ к вашему устройству. Обычно она встроена в приложения и имеет бэкдор, который позволяет злоумышленнику установить пакет вредоносных приложений, перемещаться по веб-сайтам и запускать несколько программ. Он также крадет ваши данные и информацию, хранящуюся в памяти устройства.

Basebridge

Вредоносная программа Basebridge наиболее известна тем, что крадет конфиденциальные данные с устройства и отправляет их злоумышленнику удаленно. Это вредоносное ПО также было обнаружено в азиатском регионе и, как правило, встраивается в копии популярных мобильных приложений. Basebridge был в основном разработан для перехвата сообщений жертвы и отправки их на другой номер с повышенным тарифом. Он также может блокировать мониторинг потребления данных.

JIFake

JIFake также является вредоносной программой Basebridge, действующей как поддельное мобильное приложение для JIMM, который представляет собой клиентскую службу сообщений с открытым исходным кодом для сети ICQ.Поддельное приложение встраивает троян для отправки сообщений на номера телефонов с повышенным тарифом. Это вредоносное ПО Basebridge обычно обнаруживается в восточноевропейском регионе, а также собирает информацию с пользовательских устройств, включая SMS-мониторинг и данные о местоположении.

.

Стоит ли беспокоиться о заражении вирусом сотового телефона

Вы можете спросить себя, а что, если у меня есть вирус мобильного телефона, и что это вообще такое? Вы знаете, что храните много ценных, ценных данных на своем телефоне, и когда вы слышите в новостях о росте числа мобильных угроз, легко упускать из виду контекст, стоящий за цифрами, и беспокоиться о том, что вы получили ужасную угрозу. вирус мобильного телефона, который украдет вашу личную информацию и съест ваших детей. Надеюсь, мы сможем прояснить ситуацию, ответив на некоторые из наиболее часто встречающихся вопросов о так называемых «Android-вирусах».”

Неужели Android-вирус существует?

Исторически унаследованный из мира старых ПК «вирус» — это программа, которая копирует себя, прикрепляясь к другой программе. Хакеры часто использовали этот метод для распространения своей гнусной работы, и вирус стал популярным термином для обозначения всех типов вредоносного программного обеспечения (вредоносных программ) на компьютерах. Что касается смартфонов, то на сегодняшний день мы не видели вредоносных программ, которые копируют себя, как компьютерные вирусы, и конкретно на Android этого не существует, поэтому технически вирусов Android нет.Однако существует множество других вредоносных программ для Android. Большинство людей считают любое вредоносное ПО вирусом, даже если оно технически неточно.

Так что же такое вредоносное ПО для Android?

Вредоносное ПО, сокращенно от вредоносного программного обеспечения, — это программное обеспечение, предназначенное для тайного управления устройством, кражи личной информации или денег у владельца устройства. Вредоносное ПО использовалось для кражи паролей и номеров учетных записей с мобильных телефонов, ложных обвинений в учетных записях пользователей и даже отслеживания местоположения и активности пользователей без их ведома.Узнайте о некоторых из наиболее известных вредоносных программ, заблокированных Lookout, в разделе «Основные угрозы».

Как я могу заразить свой телефон вредоносным ПО?

В ходе исследования, проведенного Lookout для State of Mobile Security 2012, мы обнаружили, что поведение пользователей и географическое положение в значительной степени влияют на риск обнаружения вредоносных программ. Самая безопасная ставка — придерживаться загрузки известных приложений из известных приложений с уважаемых рынков, таких как Google Play, в дополнение к приложению безопасности. Мошенники пытаются замаскировать вредоносное ПО под невинно выглядящие мобильные приложения в магазинах приложений и на веб-сайтах.Так что, если вы думаете, что загрузить только что опубликованную, предположительно бесплатную версию Angry Birds, которую вы нашли в случайном китайском магазине приложений, — это хорошая идея, скорее всего, это не так. После установки эти приложения могут работать так, как описано, но они могут быть заняты дополнительными секретными задачами. Некоторые приложения запускаются чистыми, но после кажущегося рутинным обновлением программного обеспечения они получают вредоносные возможности.

И добросовестная загрузка приложений не всегда минимизирует ваш риск. Скрытные сайты с постепенной загрузкой могут загружать потенциально вредоносный файл приложения без какого-либо вмешательства пользователя.Безопасный просмотр в Lookout Premium для Android будет блокировать подобные веб-угрозы, но даже в этом случае вам также не следует устанавливать случайные загрузки из диспетчера загрузок, которые вы не ожидали там найти.

Как я могу защитить себя и свое мобильное устройство?

Свести к минимуму риск обнаружения вредоносных программ довольно просто, и у нас есть 5 простых советов по обеспечению безопасности мобильных устройств. Два лучших способа защитить себя — это загрузить мобильное приложение для обеспечения безопасности, такое как Lookout, чтобы поймать эти надоедливые «телефонные вирусы» и внимательно следить за тем, какие приложения вы загружали и откуда они были загружены.Lookout будет проверять ваш телефон или планшет на наличие существующих вредоносных программ, а также проверять каждое новое загружаемое приложение, чтобы убедиться в его безопасности. Но даже до того, как вы позволите Lookout сканировать только что загруженное приложение, вам следует загружать приложения только с сайтов, которым вы доверяете, проверять рейтинги и читать отзывы, чтобы убедиться, что они широко используются и пользуются уважением.

Итак, стоит ли беспокоиться о заражении телефонным вирусом? Нет, потому что технически их не существует. (Если они когда-нибудь возникнут, Lookout их отсеет.) И стоит ли вам беспокоиться о более точных вредоносных программах? Что ж, имея немного осведомленности и Lookout на вашем телефоне и рядом с вами, вы можете сдерживать вредоносные программы и другие мобильные угрозы.

.