как запустить вирус в телефон

SMS-вирус под ОС Android или «Привет 🙂 Тебе фото…»

*Оригинальная картинка, наглым образом вытащеная из ресурсов apk
[прим. apk — расширение файла установки приложения на ОС андроид]

Вступление

привет [смайлик] тебе фото https:// m**o*an.ru/oujr/380688086*6*

1. Подготовка

Поверхностно поискав в интернете информацию, было установлено, что ссылка в смс сообщении является ничем иным, как адресом на загрузку apk файла. А apk файл — вирусом «Trojan.SMSSend», заражающий мобильные устройства под управлением ОС Android. Главные задачи данного «зловреда» — перехватывать управление устройством и использовать его в своих целях: блокировка исходящих вызовов, отправка сообщений «с приветом» и другие мелкие пакости.

Перейдя по ссылке из браузера я благополучно получил ответ «403 Forbidden».

Понятно, значит, стоит фильтр по браузеру. Что ж, буду проверять «на кошках», как говорится.

Недолго думая, решил «положить на алтарь науки» свой планшет Samsung Galaxy Tab 2. Сделав бэкап, со спокойной совестью нажал на кнопку «Общий сброс». На всякий случай убедился, что на sim-карте нет денег и приступил к установке.

2. Установка

Захожу в настройки, в пункте меню «Неизвестные устройства», убираю галочку «Разрешить установку приложений из других источников, кроме Play Маркет».
Перейдя по ссылке из смс-сообщения, получил предупреждение браузера, следующего характера:

Соглашаюсь и нажимаю кнопку «Продолжить». Скачалось приложение F0T0_ALB0M.apk:

Устанавливаю. Ужасаюсь количеством permission (разрешений). Операционная система любезно предупреждает:

Это приложение может нанести вред устройству

Но я же не ищу легких путей, поэтому, «скрепя сердце», ставлю галочку «Я понимаю, что это приложение может нанести вред».

Когда приложение запрашивает права администратора, понимаю, что это последний этап. Нажимаю «Отмена», но диалог появляется снова. Эх, была не была, буду идти до конца, и нажимаю «Включить».

3. Вирус-приложение

Само приложение состоит из одной активити-картинки с обреченным котенком. Наверное таким образом разработчик пытался пошутить.

В этом месте, я немного забегу вперед (см. п.6) и приведу, код AndroidManifest.xml для лучшего понимания статьи.

В диспетчере приложений наш «зловред» гордо именуется «Google Play».

4. Удаление?

Благополучно заразив устройство, перехожу к фазе лечения. Сначала пробую удалить приложение. Захожу в «Диспетчер приложений» и вижу, что все кнопки заблокированы.

Понятно, значит, у приложения имеются права администратора и так просто удалить его не получится. Не беда, сейчас я их уберу. Захожу в пункт меню «Безопасность»->«Администраторы устройства» и убираю галочку напротив приложения.

Но, нет, не тут то было. Устройство благополучно переходит в настройки управления WiFi и зависает. Пришлось «прибивать» окно настроек.

Дальше хотелось решить вопрос «на корню», так сказать, и воспользоваться общим сбросом системы. Ну да, легко мне выбирать такой вариант — мои личные данные в бэкапе хранятся.

А как же обычные пользователи? У которых «внезапно» любимый телефон заразился вирусом. Они ведь даже исходящего вызова знакомому «тыжпрограммисту» не сделают. В общем, читерство это, не буду так делать.

Итог: штатными средствами нейтрализовать угрозу не удалось. Подключаем «тяжелую артиллерию».

5. Dr Web против вируса

Памятуя про хорошую лечащую утилиту «Dr.Web CureIt!», решил бороться с зловредом с помощью аналога под Android. Захожу на официальный сайт и качаю бесплатную версию антивирусника «Dr.Web для Android Light 9».
Устанавливаю, по WiFi обновляю сигнатуры.
Запускаю быструю проверку ― ничего.
Запускаю полную проверку ― тоже ничего.

Я разочарован! Печально вздохнув, удаляю антивирусник.

UPD от 6.09.14. На данный момент антивирусник успешно опознает данный зловред под детектом Android.SmsBot.origin.165. Алгоритм удаления такой же, как и при использовании Avast (см. ниже).

5. Avast против вируса

Скачиваю и устанавливаю версию «Avast-Mobile-Security-v3-0-7700».
При старте запускается экспресс-сканирование, которое никаких вирусов в системе не находит.

Ну и ладно, мозг подсказал очередную идею: вот есть какой-то пункт меню «Управление приложениями», а что если…
Да, действительно загрузился список приложений в системе.

Пункта «Удалить» нет. Поэтому, пробую остановить приложение. Остановилось.
Жду 2-3 секунды, приложение снова в работе.

Ладно, попробую с другой стороны. Запускаю принудительную проверку системы. О_о, обнаружено вредоносное ПО. Нажимаю «Устранить все» [прим. как-то это звучит в духе Дарта Вейдера или Далеков]. Avast сообщает, что удалить приложение не может, а нужно сначала отобрать права администратора у приложения. Появляется системный диалог:

Удалить все данные с устройства и вернуть заводские настройки? Нажмите «Да» если согласны, или «Нет» для отмены

И сразу же, поверх этого диалогового окна открывается «злополучное» окно настроек wi-fi. Нажимаю «Возврат», снова открываются настройки. Хорошо, хоть окно настроек не зависает.

Опять на тропу читерства меня толкают. Будем искать другое решение…

6. Реверс-инжиниринг

Посмотрим в исходный код приложения, благо на Android это не такая большая проблема. Много всего интересного…
Например, в классе SystemService указан url сайта lamour.byethost5.com (дизайн-студия).
Но больше всего мне понравился класс AdminReceiver, который является наследником системного класса DeviceAdminReceiver.
В этом классе есть переопределенный метод onDisableRequested, который срабатывает при отключении админполномочий для данного приложения. Полностью заблокировать кнопки в системном диалоге нельзя, поэтому разработчик вируса пошел на хитрость, он изменил текст сообщения на «Удалить все данные с устройства и вернуть заводские настройки? Нажмите «Да» если согласны, или «Нет» для отмены» и обильно прикрыл сверху назойливым окном настроек.

Бинго. Значит теперь я смело смогу нажать в данном диалоговом окне «Удалить» и планшет будет «здоров».

Послесловие

Таким образом, выполнив повторно пункт 5 данной публикации (не останавливаясь на последнем шаге), вирус версии 4.0 (согласно манифест-файлу) был побежден.

Почему не удалось напрямую из настроек убрать галочку админправ для приложения, а только используя Avast? Скорее всего, стоит очередная ловушка с переопределенным методом.

Выводы

Разработчики вирусов находят все новые лазейки.
Но, так или иначе, браузер и операционная система стали лучше защищать пользователей.
Мне необходимо было нажать 2 подтверждения и поставить галочку в настройках «Неизвестные устройства».

Источник

Самый частый вирус для Android. Что о нем надо знать

В медицине есть такое понятие, как реликтовые вирусы. Они находятся в коде ДНК живых организмов и по сути никак ему не мешают — просто когда-то давно стали частью популяции. Есть что-то подобное и на Android. Например, вирус ”Джокер”, который существует с 2017 года и с ним все уже как бы смирились. Борьба с ним идет, но он на первый взгляд не так опасен, чтобы сильно из-за него переживать. Время от времени он проявляется заново, но потом снова пропадает. За последние несколько месяцев это происходило уже два раза. Предлагаю познакомиться с ним поближе, чтобы понимать, о чем идет речь и стоит ли его бояться.

Сколько не делай антивирусы вирусы все равно пробьются.

Что такое вирус ”Джокер”

Давайте начнем с самого начала и разберемся, что такое вирус/троян ”Джокер”. Надеюсь, это поможет вам избежать дальнейших проблем. Не зря же говорят, что вооружен тот, кто предупрежден.

Вирус ”Джокер” или вредоносное ПО, как его часто называют, представляет собой вредоносный код, который скрывается в приложениях Android. Эти приложения обычно размещаются в магазине Google Play. Сначала вредоносное ПО остается незамеченным и это самая опасная стадия. Именно в этот момент вирус может причинить больше всего вреда.

”Джокер” классифицируется как троян-шпион. Он относится к семейству вредоносных программ, целью которых является сбор данных и выполнение операций без ведома или согласия пользователя. Они не блокируют телефон с целью выкупа и часто вообще никак себя на первый взгляд не проявляют, но все равно очень опасны. В первую очередь риски связаны с тем, что в наших телефонах хранится слишком много информации, включая финансовую.

Как работает вирус ”Джокер”

Вирус может украсть ваши SMS-сообщения, список контактов и информацию об устройстве. Исходя из этого, он может взаимодействовать с рекламными веб-сайтами и подписывать вас на премиальные услуги без вашего ведома. Таким образом это напрямую наносит вам финансовый ущерб. Сначала он полагался на мошенничество с помощью SMS, но этого оказалось недостаточно, и теперь он выполняет онлайн-платежи в фоновом режиме.

Не хочется столкнуться с вирусом, но если не принимать меры, то это произойдет.

Как вирус попадает в телефон

Еще в сентябре 2020 года были зафиксированы первые пугающие цифры. ”Джокер” был обнаружен в 24 приложениях для Android. Вместе эти приложения скачали более 500 000 раз. Только после этого угроза была обнаружена, а приложения удалили из магазина. На данный момент вредоносная программа затронула людей более чем в 30 странах по всему миру.

В июне 2021 года вирус был обнаружен в 8 новых приложениях. На данный момент они все удалены из Google Play, но многие пользователи успели их скачать. Среди них были в основном приложения для сканирования, установки обоев и сообщений.

Вскоре после предыдущего инцидента в августе 2021 года ”Джокер” опять проявил себя. На этот раз вредонос был обнаружен в 16 приложениях, доступных в Google Play. При этом субъектами распространения опять оказались приложения для сканирования PDF, приложения для SMS и приложения для обмена сообщениями в целом. Правда, в этот раз у нас нет статистики, сколько пользователей успели пострадать от этого.

Сколько телефонов заражены вирусом

Еще в январе 2020 года Google сообщила, что удалила более 1700 приложений, содержащих это вредоносное ПО. Таким образом компания сделала большую часть тяжелой работы в деле борьбы с вирусом. Получается, что она удалила большинство этих приложений еще до того, как это заметили компании, занимающиеся кибербезопасностью. Поэтому, можно сказать, что число зараженных даже больше, чем было указано выше, так как это официальные данные.

Как защитить телефон от вируса

Избегайте загрузки новых приложений, которые кажутся подозрительными. Как уже упоминалось, эта вредоносная программа обычно скрывается в приложениях, которые выдают себя за клиенты для работы с SMS, сканеры и тому подобное. Так же вирус встречается в приложениях для редактирования изображений и некоторых других.

Перед загрузкой приложения обязательно проверьте отзывы и старайтесь на загружать приложения, на которые вы перешли в Google Play через баннеры на сайтах и в социальных сетях. Так же стоит избегать присланных с незнакомых номеров или в рассылках ссылок.

К сожалению, это может повлиять на разработчиков, но у вас будет время, чтобы убедиться, что это не афера. Если вы доверяете разработчику, скачайте его, а если нет, то лучше не рисковать. В конце концов на кону ваши деньги и ваш телефон.

Джокер — самый частый вирус для Android.

Как узнать, что на телефоне вирус

В большинстве случаев вы ничего не замечаете и не узнаете, что у вас на телефоне есть этот вирус. По крайней мере так можно сказать на основании того, что мы видели раньше. Проблемы вы заметите, как только вирус причинит вред и начнет уводить у вас деньги.

Проблема еще и в том, что все приложения просят кучу разрешений при установке, поэтому даже такими действиями приложение себя не выдаст. Единственным признаком, который может броситься вам в глаза, может стать некоторое замедление работы телефона или больший нагрев. Но если у вас производительное устройство, вы можете не заметить и этого.

Вы так же можете заметить, что на вашем телефоне появляются новые приложения, хотя это редкость.

Опасно ли скачивать приложения из Google Play

Как мы видим на примере ”Джокера”, скачивать приложения из Google Play иногда действительно опасно. При этом вирусы в первую очередь стремятся именно в магазин приложений. Так их может скачать существенно больше пользователей, чем через APK. А заодно эти пользователи будут менее опытными и не заметят, что у них что-то не так.

В любом случае вирусы попадают в магазин из-за недостаточности мер безопасности. Цензоры Google просто проверяют приложения слишком формально. Поэтому убедитесь, что устанавливаете только те приложения, которым вы доверяете, особенно, если вы устанавливаете их вручную из стороннего источника.

Источник

Насколько быстро можно заразить телефон вирусом, и что после этого с ним будет?

Смартфоны и мобильная связь до сих пор окутаны разными мифами и предрассудками. Говорят, что от телефонных разговоров образуются опухоли, во время движения сигнал связи ослабевает, а базовые станции убивают людей. В ближайшем цикле статей Yota узнает, что из этого правда, не щадя собственных сотрудников и их смартфоны.

Вредоносные программы способны списывать средства с банковской карты, извлекать личную информацию, блокировать экран и превращать смартфон в кирпич — это совсем не миф. Мы решили проверить, насколько просто заразить телефон вирусом.

Мы попробовали заразить смартфон, предварительно отключив антивирус и защитные функции. Жертвой стал Motorola Moto G3 на платформе Android 6.0.1.

Первые попытки оказались неудачными:

Root в Андроид — это права главного администратора, которые открывают возможности для управления устройством, недоступные для обычного пользователя. Чтобы получить рут, необходимо установить специальное приложение.

Зараженный KingRoot содержит вредоносный код, который ворует данные пользователя.
И тут нас ждала неожиданность. Из всего многообразия устройств на Android, именно на наш Motorola Moto G3 эта утилита не устанавливается!

Отчаявшись, мы просим знакомых и коллег пересылать все сомнительные SMS и письма с ссылками на наш номер. После перехода по одной из ссылок мы обнаруживаем вот такое всплывающее окно:

После этого открывается Playmarket с предложением установить Doctor Clean. Оно обещает ускорить работу системы, удалить ненужные файлы и экономить батарею. Но отзывы намекают, что что-то с ним не так.

Doctor Clean просит доступ ко всем доступным функциям телефона. После разрешения он устанавливает еще два приложения для “Ускорения” и “Перехода в спящий режим”. Одна из этих программ устанавливает еще два приложения.

На следующий день мы получаем рекламу, закрывающую весь экран. Каждый раз после разблокировки экрана мы видим очередной красочный баннер. Для того, чтобы ответить на входящий звонок нам приходится искать крестик, сворачивающий рекламу. Вместе с этим смартфон начинает работать медленнее. Периодически экран блокировки перестает реагировать на прикосновения. Возобновлять работу помогает перезагрузка устройства.

После этого установили “Антивирус Касперского”, но он ничего не обнаружил. Тем временем, телефон начинает сильно тормозить. Антишпион Malwarebytes’ Anti-Malware нашел пять проблем. Все странные приложения удалили.

Оказалось, что установить вредоносное ПО на телефон не так-то легко: система, встроенные приложения безопасности и антивирусы успешно его распознают и старательно оберегают нас. Чтобы заразить телефон, нужно тщательно игнорировать все предупреждения системы и заранее отключить защитные функции.

Раньше скачать вредоносные приложения было проще. Сейчас все приложения в PlayMarket и AppStore проходят аудит. Для того, чтобы установить неофициальное приложение, придется отключить в настройках функцию скачивания только из доверенных источников.

Как понять, что на смартфоне вирус?

SMS, сообщения в почте и мессенджерах с сомнительными ссылками.
Они маскируются под предложения о работе, письма из полиции, оповещения от антивируса, распродажи в интернет-магазинах и так далее. В тексте каждого из них есть непонятная ссылка, на которую необходимо перейти, чтобы узнать «подробности».
Нажали на ссылку – вирус начал скачиваться.

Скачивание нелицензионных программ и сомнительных приложений.
Вместе с ними на телефон часто устанавливается сопутствующее вредоносное ПО.

Общественный Wi-Fi.
Через незащищенные точки доступа Wi-Fi вирусы перехватывают личную информацию пользователей для доступа к личным аккаунтам и системным данным смартфона.

Сайты и форумы со всплывающими окнами и баннерами.
Они предлагают «скачать быстро и без регистрации» что угодно, перейдя по ссылке.
Часто баннеры выглядят как «предупреждения от МВД» или уведомления «Ваш телефон заражен вирусом!». Их цель – посеять панику у пользователя, чтобы он сразу перешел по ссылке, перевел деньги на счет вымогателя или ввел пароль от личного аккаунта.

Зараженные флеш-накопители.
Иногда вредоносное ПО под видом приложения сохраняется на карту памяти. Когда вы вставляете старую флешку в новый смартфон, то заражаете его.

Насколько это быстро?

Сами вирусы весят немного. В зависимости от скорости интернет-соединения, «зараза» попадает в телефон за промежуток от пары секунд до 5 минут.
Что произойдет, если вирус все-таки проникнет в устройство? К примеру, вы соглашаетесь обновить браузер Chrome, забыв о том, что не устанавливали его.

Что происходит дальше

Как понять, что телефон заражен:

Где искать вредоносное ПО и как отличить его от нормального приложения?

Стоит насторожиться, если при установке незнакомое приложение запрашивает доступ к платным функциям и ограничению доступа:

Источник

5 самых опасных вирусов для Android

Triada

Начнём со «свежака» — Триаду сегодня можно считать самым новым и «пуленепробиваемым» вирусом для смартфонов. Его и обнаружили-то только в марте 2017 года.

Уникален он своей близостью к классическим вирусам, а не троянам-вымогателям, как это обычно бывает на Android. Вам всё же нужно умудриться подхватить его из «непроверенных источников», а вот дальше начинается гораздо весёлый «боевичок»:

Triada — вирус, который не просто хулиганит в системе, а вклинивается в её жизненно важные участки

Но с возможностью «распотрошить» любое установленное приложение или установить новое на расстоянии это только «цветочки» — особенность «Триады» заключается в том, что это модульный вирус, к нему можно будет прикрутить самые разные виды дистанционных трюков.

Как видите, вирусы для Android — это не только примитивные «ваш телефон заблокирован, с вас сто баксов», от которых можно избавиться удалением приложения. И, если в новых версиях Android хотя бы усложнён доступ к получению root и можно увидеть что-то подозрительное на этапе запроса прав приложением, то старые версии (Android 4.4, 4.3 и старее) абсолютно беззащитны перед новой заразой — спасёт только полная перепрошивка.

Marcher

Так называемый «банковский зловред» был разработан ещё в 2013 году, но его «звёздный час» настал только летом 2016 года. Знаменит хорошей маскировкой и «интернационализмом», если можно так сказать.

Marcher представляет собой простой троян, который не проворачивает ничего сверхъестественного, а просто подменяет собой служебные страницы огромного количества банков с помощью всплывающих окон. Механизм следующий:

«Дружище, что-то я подзабыл номер твоей карты. Не напомнишь?»

Таким нехитрым образом троян подделывал процесс покупки авиабилетов, покупки товаров в интернет-магазинах и софта в Google Play и работу банковских приложений. Под раздачу попали пользователи банковских карт в Германии, Франции, Польши, Турции, США, Австралии, Испании, Австрии и Великобритании. Изначально вирус «точили» под Android 6.x, смартфонов под управлением других версий оказалось значительно меньше.

Даже не одиночка, а целый каскад троянов-«хамелеонов», не настолько криминально-суровых, как Triada, но в такой же степени болезненных для операционной системы. Антивирусные специалисты обратили внимание на зловредов в начале 2016 года, а в народ смартфоны зловред стал массово проникать уже в декабре 2016-го.

Loki — это такой организованный разбой по предварительному сговору в вашем смартфоне

Зловреды действуют настолько быстро и слаженно, что хочется аплодировать им стоя. Вы только взгляните на эту «многоходовочку»:

«Выкорчевать» из мозгов смартфона следы этой бурной деятельности невозможно, поэтому «лечится» заражение с помощью Loki только полной перепрошивкой с потерей всех данных.

Faketoken

Если предыдущие трояны намеренно действуют исподтишка, чтобы пользователь смартфона до последнего момента не догадывался о заражении, то Faketoken в своём подходе прост и прямолинеен, как опытный гопник — требует предоставить ему права на любые действия со смартфоном, а если владелец отказывается, в дело вступает алгоритм «слышь, ты чё не понял? Тогда я повторю!».

Godless

Троян Godless впечатляет даже не своей, так сказать, функциональностью, а маскировкой — длительное время его наличие в приложениях не распознавала даже хваленая система антивирусной проверки в Google Play. Результат немного предсказуем — зловред заразил свыше 850 тысяч смартфонов по всему миру, причём почти половина из них принадлежит жителям Индии, что как бы намекает на происхождение трояна.

Скачиваешь себе фонарик из Google Play — подхватываешь неудаляемый вирус с шифрованием и root-правами

Функциональность трояна слабо отличается от его многочисленных коллег в 2016 году, новым стал только «зачин»:

Среди приложений, к которым чаще всего «прикручивали» Godless, были многочисленные «фонарики» и клоны известных игр для Android.

Что вообще стоит знать о вирусах

Первое, что нужно знать о вирусах для платформы Android: не все из них — это вирусы в исконном значении этого слова. Так нередко случается в живом языке: орнитологи различают филинов, сычей и сов, но в народе все эти птицы — «совы». Специалисты отличают хакеров от «детворы со скриптами» и кракеров, но для неспециалистов все эти категории людей остаются хакерами.

Различия между «сортами радости» следующие:

Загрузка приложений не из Google Play — самый очевидный путь заражения андроидофона

Источник