- Предустановленный троян
- shestale
- Помогите разобраться
- #1 coloradobug
- #2 Yuri RUS
- #3 Ivan Purlats
- #4 Ivan Purlats
- #5 coloradobug
- #6 Yuri RUS
- Dr.Web — удаление руткитов со смартфона
- Руткиты требуют больше прав
- Устанавливаем антивирус
- Выполняем полную проверку
- Отправляем вирус на анализ
- Удалить или вылечить
- Следуем инструкциям
- Удаляем вирус
- Получаем рут-права
- Откатываемся на предыдущую прошивку
- Смартфоны Philips содержат предустановленный троян
- Linux для хакера
Предустановленный троян
shestale
Android.Cooee.1 предустановлен на различных «безымянных» устройствах китайских производителей. Теперь выясняется, что проблема коснулась не только бюджетных аппаратов: аналогичного вредоноса заметили на смартфонах s307 компании Philips.
Android.Cooee.1 установлен на устройствах «из коробки» и маскируется под программу-лаунчер. Как ни странно, обычные функции оболочки вредонос честно выполняет, но помимо этого отображает навязчивую рекламу, а также загружает и устанавливает всевозможное стороннее ПО.
Android.Cooee.1 весьма хитер и начинает работать не сразу, а только по прошествии времени, получив соответственную команду от C&C сервера. Из-за этой особенности вредоноса жертва, скорее всего, не сразу сумеет обнаружить источник навязчивых уведомлений.
Троян способен показывать рекламу в панели уведомлений, отображать ее на весь экран или в виде отдельных баннеров поверх работающих приложений, демонстрировать рекламные видеоролики и анимацию на главном экране ОС.
Android.Cooee.1 также является системной программой, то есть он способен устанавливать сторонние приложения, и инсталляция этого ПО проходит скрытно от пользователей. Спектр сторонних приложений широк: от безобидных игр и браузеров до всевозможных троянцев, таких как СМС-сендеры, загрузчики и даже банкеры, которые могут незаметно похитить деньги со счетов пользователей.
Кроме того, троян крайне сложно удалить: он интегрирован непосредственно в прошивку устройства, так что сброс к заводским параметрам здесь не поможет. Избавиться от Android.Cooee.1 сложно даже имея root-доступ к девайсу. Дело в том, что обычное удаление Android.Cooee.1 с приведет лишь к тому, что устройство перестанет работать. Ведь программа-лаунчер, в которой находится троянец, отвечает и за нормальную загрузку ОС. Поэтому придется сначала установить альтернативный лаунчер и назначить его оболочкой по умолчанию. Однако в большинстве случаев получение root-доступа к системе означает потерю официальной гарантии производителя.
Специалисты «Доктор Веб» уже связались с компанией Philips, и поиски «возможного решения проблемы» уже ведутся.
источник
Источник
Помогите разобраться
#1 coloradobug
С некоторого времени Антивирус (DrWeb) на моем телефоне начал ругаться на постоянно появляющийся вирус. Говорю ему удалить, а через непродолжительное время, программа его находить заново. Запустил полную проверку. Нашлось в файле Launcher3.apk — Android.Cooee.1.origin, Android.Cooee.3.origin и Android.Cooee.1. Удалить этот вирус программа не может, предлагает только пропустить. В общем, какой-то зараженный файл, который появляется постоянно, антивирус удалить может, а этот (описанный выше), никак. Я бы и забил, но с позавчера во время звонка начала появляться реклама.
Помогите, как избавиться от этого зверя? Антивирус куплен через PlayMarket, но как найти серийный номер Dr.Web в телефоне, чтобы написать в службу поддержки, я так и не нашел.
#2 Yuri RUS
Сообщение было изменено Yuri RUS: 08 Январь 2016 — 01:45
#3 Ivan Purlats
С некоторого времени Антивирус (DrWeb) на моем телефоне начал ругаться на постоянно появляющийся вирус. Говорю ему удалить, а через непродолжительное время, программа его находить заново. Запустил полную проверку. Нашлось в файле Launcher3.apk — Android.Cooee.1.origin, Android.Cooee.3.origin и Android.Cooee.1. Удалить этот вирус программа не может, предлагает только пропустить. В общем, какой-то зараженный файл, который появляется постоянно, антивирус удалить может, а этот (описанный выше), никак. Я бы и забил, но с позавчера во время звонка начала появляться реклама.
Помогите, как избавиться от этого зверя? Антивирус куплен через PlayMarket, но как найти серийный номер Dr.Web в телефоне, чтобы написать в службу поддержки, я так и не нашел.
Данные троянцы содержатся в системной области вашего телефона. Для их удаления необходим Root доступ. Как его получить для конкретно вашего телефона вы можете найти информацию. При наличии рута наш антивирус сможет удалить данные вирусы окончательно.
Но! Вам необходимо установить какой-либо альтернативный лаунчер, так как:
» В случае удаления лаунчера, в котором находится Android.Cooee.1, зараженное мобильное устройство перестанет работать, т. к. при последующей загрузке операционная система не сможет начать работу. Чтобы избежать этого, перед деинсталляцией троянца необходимо установить альтернативное приложение-лаунчер и назначить его действующим по умолчанию.»
#4 Ivan Purlats
При наличии рута наш антивирус сможет удалить данные вирусы окончательно.
Тут мной была допущена небольшая ошибка. Данный вирус отмечен как прошивочный и антивирус не будет его удалять сам из-за опасности повредить прошивку и превратить ваш аппарат в кирпич.
Но вы можете воспользоваться любым файловым менеджером с Root правами (Root explorer к примеру) и удалить данные вирусы.
#5 coloradobug
При наличии рута наш антивирус сможет удалить данные вирусы окончательно.
Тут мной была допущена небольшая ошибка. Данный вирус отмечен как прошивочный и антивирус не будет его удалять сам из-за опасности повредить прошивку и превратить ваш аппарат в кирпич.
Но вы можете воспользоваться любым файловым менеджером с Root правами (Root explorer к примеру) и удалить данные вирусы.
Т.е. мне нужно включить root на телефоне, установить альтернативный лаунчер, и любым файловым менеджером удалить этот зараженный файл. Я правильно понял?
#6 Yuri RUS
Источник
Dr.Web — удаление руткитов со смартфона
Даже если вы осторожны при скачивании новых приложений, это не гарантирует безопасность — при проверке антивирусом можно обнаружить неприятные сюрпризы. chip расскажет, как избавить смартфон от троянов и руткитов.
В конце прошлого года отечественные антивирусные компании забили тревогу: как оказалось, вирус может быть уже изначально интегрирован в заводскую прошивку, поэтому обнаружить и удалить его обычными средствами затруднительно или совсем невозможно.
Так, в октябре прошлого года специалисты «Доктор Веб» обнаружили в прошивке Android-смартфона Philips S307 вредоносное программное обеспечение.
Руткит под названием Android.Cooee.1 был встроен в графическую оболочку устройства, и его основная цель заключалась в демонстрации пользователю навязчивой рекламы. Также, на смартфон без разрешения владельца загружалось и устанавливалось различное ПО. Можно было бы предположить, что вирус попал на смартфон по вине самих владельцев.
Однако, как уверяет программист-исследователь «Доктор Веб» Александр Свириденко, в случае с Philips S307 вирус не предустановился случайно и тем более не устанавливался вручную.
По его словам, «Доктор Веб» делал запрос в службу поддержки Philips и получил прошивку с тем же троянцем.
Надо отметить, что с такого рода троянцами антивирусные компании ранее уже сталкивалась — на прошивках смартфонов Lenovo и Xiaomi.
Руткиты требуют больше прав
Основной принцип обеспечения безопасности на Android-устройствах состоял в том, что программу можно установить только лишь с согласия пользователя с предварительным ознакомлением требуемых для ее прав.
Т.к., многие приложения действительно запрашивали слишком много возможностей, то пользователи стали менее внимательны и соглашались на установку в любом случае. Этим не преминули воспользоваться вирусописатели и стали снабжать безобидные на первый взгляд программы (например, фонарик) троянцами с различными root-эксплойтами.
Это давало злоумышленникам неограниченные полномочия на атакуемых смартфонах и планшетах, в том числе системные привилегии для установки на устройство других вредоносных приложений. Современные root-троянцы внедряются непосредственно в системный каталог Android, в котором они остаются скрытыми и продолжают свою работу, даже если установившую их вредоносную программу найдут и удалят.
CHIP расскажет, как найти и удалить руткит со смартфона или планшета с помощью антивируса Dr.Web Security Space и избежать выхода из строя устройства.
Устанавливаем антивирус
Если у вас возникли подозрения, что смартфон заражен вирусом или руткитом, но нет мобильного антивируса, не поленитесь и скачайте с Google Play бесплатную версию Dr.Web Light. Надо отметить, что эта версия способна обнаружить руткит, однако удалить и обезвредить вирус способна только версия Dr.Web Security Space для Android. Впрочем, для всех пользователей Dr.Web Security Space для настольных компьютеров она доступна бесплатно.
Выполняем полную проверку
После установки приложения зайдите в раздел «Сканер» и кликните по «Полная проверка».
Запустится сканирование памяти смартфона и встроенного и внешнего (флешкарта) хранилища файлов.
Процесс этот обычно не длительный — от 1 до 3 минут, но, при необходимости, его можно прервать в любое время.
Отправляем вирус на анализ
Если антивирус нашел троянскую программу в системной области, но она не известна как руткит, можно либо пропустить ее, либо отправить ее на анализ в лабораторию «Доктор Веб» через кнопку «Ложное срабатывание».
Удалить или вылечить
Если троян опознан как известный руткит и он находится в жизненно важной части ОС, то не следует торопиться его удалять, т.к. это может привести к повреждению системы и поломке смартфона. Возможны два варианта действий.
Следуем инструкциям
Если антивирус определил системное приложение на вашем устройстве, как угрозу и сообщил, что некоторые его функции характерны для вредоносных программ, то следует для начала ознакомиться с информацией, изложенной на ресурсе https://drw.sh/xvahqv и выполнить рекомендованные там операции.
Удаляем вирус
В случае, если антивирус сообщает, что удаление угрозы безопасно, нажмите кнопку «Удалить» (только в Pro-версии). Однако, это возможно только в случае, если на смартфоне пользователь имеет рут-права.
Получаем рут-права
Если смартфон пользователя не рутован, то придется либо выполнить операцию получения рут-прав, либо отказаться от использования устройства.
В первом случае вы можете обратиться в техподдержку производителя смартфона
или попытаться найти инструкцию по рутованию вашей модели смартфона самостоятельно.
Откатываемся на предыдущую прошивку
Если получение рут-прав невозможно, то имеет смысл сначала сделать резервную копию всех пользовательских данных и после этого выполнить операцию сброса настроек до заводских и перепрошивки устройства на более раннюю (предполагается, что она была без вируса).
В случае, еcли у устройства только одна прошивка, лучше временно отказаться от использования зараженного девайса и обратиться в техподдержку производителя устройства.
Фото: компании-производители
Источник
Смартфоны Philips содержат предустановленный троян
Linux для хакера
Минувшей осенью специалисты компании «Доктор Веб» обнаружили, что троянец Android.Cooee.1 предустановлен на различных «безымянных» устройствах китайских производителей. Теперь выясняется, что проблема коснулась не только бюджетных аппаратов: аналогичного вредоноса заметили на смартфонах s307 компании Philips.
Android.Cooee.1 установлен на устройствах «из коробки» и маскируется под программу-лаунчер. Как ни странно, обычные функции оболочки вредонос честно выполняет, но помимо этого отображает навязчивую рекламу, а также загружает и устанавливает всевозможное стороннее ПО.
Android.Cooee.1 весьма хитер и начинает работать не сразу, а только по прошествии времени, получив соответственную команду от C&C сервера. Из-за этой особенности вредоноса жертва, скорее всего, не сразу сумеет обнаружить источник навязчивых уведомлений.
Троян способен показывать рекламу в панели уведомлений, отображать ее на весь экран или в виде отдельных баннеров поверх работающих приложений, демонстрировать рекламные видеоролики и анимацию на главном экране ОС.
Android.Cooee.1 также является системной программой, то есть он способен устанавливать сторонние приложения, и инсталляция этого ПО проходит скрытно от пользователей. Спектр сторонних приложений широк: от безобидных игр и браузеров до всевозможных троянцев, таких как СМС-сендеры, загрузчики и даже банкеры, которые могут незаметно похитить деньги со счетов пользователей.
Кроме того, троян крайне сложно удалить: он интегрирован непосредственно в прошивку устройства, так что сброс к заводским параметрам здесь не поможет. Избавиться от Android.Cooee.1 сложно даже имея root-доступ к девайсу. Дело в том, что обычное удаление Android.Cooee.1 с приведет лишь к тому, что устройство перестанет работать. Ведь программа-лаунчер, в которой находится троянец, отвечает и за нормальную загрузку ОС. Поэтому придется сначала установить альтернативный лаунчер и назначить его оболочкой по умолчанию. Однако в большинстве случаев получение root-доступа к системе означает потерю официальной гарантии производителя.
Специалисты «Доктор Веб» уже связались с компанией Philips, и поиски «возможного решения проблемы» уже ведутся.
Источник