Главная » Android

Android fake updates 3

Содержание
  1. Trojan:Android/FakeUpdates
  2. Summary
  3. Removal
  4. Automatic action
  5. Suspect a file is incorrectly detected (a False Positive)?
  6. Как удалить неудаляемый вирус на Android – лучшие способы
  7. Как удалить неудаляемый вирус на Андроиде
  8. Как понять, что телефон заражен
  9. Как вирусы попадают в Android
  10. Как удалить вирус из Android
  11. Как удалить вирус, который не удаляется
  12. Как избежать заражения вирусом
  13. Заключение
  14. Респект за пост! Спасибо за работу!
  15. Помогите разобраться
  16. #1 coloradobug
  17. #2 Yuri RUS
  18. #3 Ivan Purlats
  19. #4 Ivan Purlats
  20. #5 coloradobug
  21. #6 Yuri RUS
  22. Еще один [почти] неудаляемый троянец под Android
  23. Android 5.1? В 2019 году?
  24. Основные функции троянца
  25. Установщик
  26. Модифицированная системная библиотека libc.so
  27. Как бороться с таким троянцем?

Trojan:Android/FakeUpdates

Summary

Trojan:Android/FakeUpdates silently forwards details of the device to a remote server, then downloads additional applications to the device’s SD card.

Removal

Automatic action

Once the scan is complete, the F-Secure security product will ask if you want to uninstall the file, move it to the quarantine or keep it installed on your device.

Suspect a file is incorrectly detected (a False Positive)?

A False Positive is when a file is incorrectly detected as harmful, usually because its code or behavior resembles known harmful programs. A False Positive will usually be fixed in a subsequent database update without any action needed on your part. If you wish, you may also:

Check for the latest database updates

First check if your F-Secure security program is using the latest detection database updates, then try scanning the file again.

Submit a sample

After checking, if you still believe the file is incorrectly detected, you can submit a sample of it for re-analysis.

NOTE If the file was moved to quarantine , you need to collect the file from quarantine before you can submit it.

Exclude a file from further scanning

If you are certain that the file is safe and want to continue using it, you can exclude it from further scanning by the F-Secure security product.

Note You need administrative rights to change the settings.

Источник

Как удалить неудаляемый вирус на Android – лучшие способы

Как узнать, что смартфон заражен вирусом, и как удалить неудаляемый вирус на Android через системные настройки или через компьютер.

Как удалить неудаляемый вирус на Андроиде

Сталкивались ли вы с такой ситуацией, когда на вашем Android-смартфоне появился вирус, обнаруженный антивирусной программой, но его удаление невозможно? Сразу начинаете паниковать и переживать, что зловредный объект удалит сейчас все ваши данные или спровоцирует неполадки в работе системы.

На самом деле не все так страшно. Но и запускать лечение своего мобильного гаджета тоже нельзя. Такой неудаляемый вирус называется системным, то есть он зарылся в заводские папки устройства и программа очистки просто не может его оттуда извлечь, чтобы не повредить рабочие файлы.

Однако, есть проверенные и эффективные способы, как удалить неудаляемый вирус на Андроиде. Именно о них мы и поговорим в этой статье. Бояться и расстраиваться нет смысла, все решаемо и исправимо без вреда рабочим функциям вашего смартфона. А для того, чтобы избежать заражения вирусами и безопасно серфить в интернете, используйте бесплатный VPN для Google Chrome.

Как понять, что телефон заражен

Конечно? не всегда вы сможете вычислить вирус самостоятельно или понять, что он присутствует в системе. Но, если работа устройства замедлена, или возникают подозрительные оповещения, или происходит какое-то перенаправление звонков, или телефонные счета вдруг увеличились… Значит пора задуматься о том, что ваш смартфон заражён зловредом.

Определить неисправность работы и наличие серьезных системных вирусов в гаджетах на Android можно по следующим признакам:

  • включение устройства и привычные операции занимают больше времени, ни с того ни с сего происходит перезагрузка;
  • в СМС и телефонных звонках могут быть исходящие письма и вызовы, которые вы не делали;
  • внезапное списание средств со счета;
  • в браузере или на экране появляется реклама, которая не имеет никакого отношения к посещаемому сайту или совершаемым действиям;
  • может автоматически включаться Wi-Fi, Bluetooth или камера;
  • не получается зайти в свой электронный кошелек, мобильный банк или другое платежное приложение;
  • подозрительная активность в аккаунтах социальных сетей;
  • возможна произвольная блокировка гаджета, а на экране высвечивается сообщение о том, что владелец устройства нарушил законодательство;
  • приложения не запускаются;
  • при входе в какую-либо программу высвечивается сообщение об ошибке;
  • появление неизвестных иконок в списке программ;
  • диспетчер задач может высвечивать неизвестные процессы;
  • антивирус сообщает о наличии вируса;
  • антивирус исчез из смартфона
  • аккумулятор быстро разряжается.

Как вирусы попадают в Android

Прежде чем разбираться, как удалять вирусы с Android, важно понимать, как эти вредоносные объекты попадают в систему устройства. Обычно это происходит двумя способами:

  • при скачивании приложений, игр, программ или различных инструкций могут устанавливаться различные дополнительные элементы, которые хоть и не содержат вредоносный код, но часто выполняют скрытые опции, о которых не сообщает разработчик. Всегда внимательно изучайте информацию перед установкой, чтобы не скачать то приложение, которое возьмет под свой контроль всю систему вашего устройства;
  • проникновение вируса при скачивании программ и приложений с подозрительных или сомнительных сайтов, которые не проверены и не размещены в каталоге Google Play. Часто бывает, что платные программы, предлагаемые к скачиванию на сторонних сайтах, содержат в себе вирусы или вообще сами по себе являются вредоносными.
Читайте также:  Каомодзи клавиатура для андроид

Как удалить вирус из Android

Теперь мы подошли к самому важному вопросу — как удалить вирус, который не удаляется. Если ваш смартфон продолжает работать, тогда проще всего запустить антивирус и очистить устройство от вредоносного содержимого. Однако, такой способ эффективнее не более чем в 30-40% случаев, ведь многие вирусы «сопротивляются» процедуре удаления.

В зависимости от ситуации, характерной для вашего гаджета, применяется своя схема действий борьбы с вирусом. Ситуации следующие:

  • антивирусная программа не выявляет вирус, не удаляет его или вообще не запускается;
  • после удаления вирус снова восстанавливается;
  • смартфон заблокирован частично или полностью.

В первом и во втором случае необходимо запустить безопасный режим, поскольку именно в нем вирусы становятся неактивными и их можно легко удалить. Как это сделать для вашего смартфона вы можете найти в интернете, но обычно это делается следующим образом:

  • зажмите кнопку включения/выключения смартфона и выберите «Отключить питание»;
  • держите зажатой кнопку до тех пор, пока не появится сообщение о переходе в безопасный режим;
  • подтвердите операцию;
  • просканируйте устройство с помощью антивируса;
  • при наличии прав суперпользователя можно запустить файловый менеджер и очистить системные папки от зловредного ПО;
  • когда все готово, перезагрузите смартфон и он будет работать уже в нормальном режиме и без вирусов.

В третьем случае вам придётся удалить вирус через компьютер. Для этого нужно подключить смартфон к компьютеру через USB-кабель и выбрать режим накопителя. После этого запустить проверку на вирусы через контекстное меню для обоих дисков: внутренней памяти телефона и SD-карты.

Как удалить вирус, который не удаляется

Если все описанные выше методы не помогают избавиться от вирусов, тогда необходимо применить радикальные меры очистки:

  • сбросить настройки к заводским;
  • применить опцию Hard reset через меню Recovery;
  • перепрошить смартфон с компьютера.

Вы можете использовать любой из перечисленных вариантов.

Как избежать заражения вирусом

Чтобы не подхватить вирус, старайтесь придерживаться следующих рекомендаций:

  • все приложения и программы скачивайте из проверенных источников, лучше всего использовать только официальными маркетами;
  • пользуйтесь антивирусной программой на смартфоне, лучше, чтобы она всегда была включена;
  • подключите качественный VPN-сервис, который также эффективно защищает от вирусов.

Заключение

От заражения вирусами гаджета никто не застрахован, более того, до определенного момента вы можете и не подозревать, что у вас установлена вредоносная программа. Следуйте рекомендациям, описанным в данной статье, и старайтесь всегда пользоваться только проверенными и безопасными программами.

Спасибо, что читаете! Подписывайтесь на мои каналы в Telegram, Яндекс.Мессенджере и Яндекс.Дзен. Только там последние обновления блога и новости мира информационных технологий.

Респект за пост! Спасибо за работу!

Хотите больше постов? Узнавать новости технологий? Читать обзоры на гаджеты? Для всего этого, а также для продвижения сайта, покупки нового дизайна и оплаты хостинга, мне необходима помощь от вас, преданные и благодарные читатели. Подробнее о донатах читайте на специальной странице.

Заранее спасибо! Все собранные средства будут пущены на развитие сайта. Поддержка проекта является подарком владельцу сайта.

Источник

Помогите разобраться

#1 coloradobug

  • Members
  • 2 Сообщений:

    • С некоторого времени Антивирус (DrWeb) на моем телефоне начал ругаться на постоянно появляющийся вирус. Говорю ему удалить, а через непродолжительное время, программа его находить заново. Запустил полную проверку. Нашлось в файле Launcher3.apk — Android.Cooee.1.origin, Android.Cooee.3.origin и Android.Cooee.1. Удалить этот вирус программа не может, предлагает только пропустить. В общем, какой-то зараженный файл, который появляется постоянно, антивирус удалить может, а этот (описанный выше), никак. Я бы и забил, но с позавчера во время звонка начала появляться реклама.

    Помогите, как избавиться от этого зверя? Антивирус куплен через PlayMarket, но как найти серийный номер Dr.Web в телефоне, чтобы написать в службу поддержки, я так и не нашел.

    #2 Yuri RUS

  • Posters
  • 39 Сообщений:

    • Сообщение было изменено Yuri RUS: 08 Январь 2016 — 01:45

    #3 Ivan Purlats

  • Virus Analysts
  • 57 Сообщений:

    • С некоторого времени Антивирус (DrWeb) на моем телефоне начал ругаться на постоянно появляющийся вирус. Говорю ему удалить, а через непродолжительное время, программа его находить заново. Запустил полную проверку. Нашлось в файле Launcher3.apk — Android.Cooee.1.origin, Android.Cooee.3.origin и Android.Cooee.1. Удалить этот вирус программа не может, предлагает только пропустить. В общем, какой-то зараженный файл, который появляется постоянно, антивирус удалить может, а этот (описанный выше), никак. Я бы и забил, но с позавчера во время звонка начала появляться реклама.
    Помогите, как избавиться от этого зверя? Антивирус куплен через PlayMarket, но как найти серийный номер Dr.Web в телефоне, чтобы написать в службу поддержки, я так и не нашел.

    Данные троянцы содержатся в системной области вашего телефона. Для их удаления необходим Root доступ. Как его получить для конкретно вашего телефона вы можете найти информацию. При наличии рута наш антивирус сможет удалить данные вирусы окончательно.

    Читайте также:  Teclast p80 планшет экран 8 дюймов android 1280x800 2 гб озу 32 гб пзу

    Но! Вам необходимо установить какой-либо альтернативный лаунчер, так как:

    » В случае удаления лаунчера, в котором находится Android.Cooee.1, зараженное мобильное устройство перестанет работать, т. к. при последующей загрузке операционная система не сможет начать работу. Чтобы избежать этого, перед деинсталляцией троянца необходимо установить альтернативное приложение-лаунчер и назначить его действующим по умолчанию.»

    #4 Ivan Purlats

  • Virus Analysts
  • 57 Сообщений:

    • При наличии рута наш антивирус сможет удалить данные вирусы окончательно.

    Тут мной была допущена небольшая ошибка. Данный вирус отмечен как прошивочный и антивирус не будет его удалять сам из-за опасности повредить прошивку и превратить ваш аппарат в кирпич.

    Но вы можете воспользоваться любым файловым менеджером с Root правами (Root explorer к примеру) и удалить данные вирусы.

    #5 coloradobug

  • Members
  • 2 Сообщений:

    • При наличии рута наш антивирус сможет удалить данные вирусы окончательно.

    Тут мной была допущена небольшая ошибка. Данный вирус отмечен как прошивочный и антивирус не будет его удалять сам из-за опасности повредить прошивку и превратить ваш аппарат в кирпич.

    Но вы можете воспользоваться любым файловым менеджером с Root правами (Root explorer к примеру) и удалить данные вирусы.

    Т.е. мне нужно включить root на телефоне, установить альтернативный лаунчер, и любым файловым менеджером удалить этот зараженный файл. Я правильно понял?

    #6 Yuri RUS

  • Posters
  • 39 Сообщений:

    • Источник

    Еще один [почти] неудаляемый троянец под Android

    В конце прошлого года с помощью функции обнаружения изменений в системной области у некоторых наших пользователей было зафиксировано изменение системного файла /system/lib/libc.so. Это одна из главных библиотек операционных систем на базе Linux, которая отвечает за системные вызовы и основные функции. Подробное рассмотрение этого случая позволило выявить новые образцы из семейства троянцев Android.Xiny, известного нам с 2015 года.

    У его представителей мы впервые увидели установку атрибута «неизменяемый» на файлы, что существенно усложняло удаление троянцев с устройств.

    Выглядело это довольно занятно: на apk-файл установленного приложения ставился указанный атрибут, попытка удалить это приложение выглядела успешной, его данные удалялись, но сам apk-файл оставался на месте. После перезагрузки устройства приложение снова «появлялось». Об одном из таких троянцев мы рассказали в 2016 году. Для борьбы с подобными угрозами мы добавили в наш антивирус функцию сброса атрибутов у файлов, которая работает при условии, что пользователь предоставил антивирусу root-полномочия.

    В этой статье мы рассмотрим еще один интересный метод самозащиты, применяемый новыми версиями Android.Xiny.

    Android 5.1? В 2019 году?

    Троянец, рассматриваемый в данной статье, работает под ОС Android до версии 5.1 включительно. Может показаться странным, что вредоносное ПО, рассчитанное на столь «древние» версии Android, всё ещё активно (версия 5.1 вышла в 2015 году). Но, несмотря на свой возраст, старые версии всё ещё используются. По данным корпорации Google на 7 мая 2019 года, 25.2% устройств работают под управлением Android 5.1 и ниже. Статистика по нашим пользователям даёт чуть большее число — около 26%. Это значит, что около четверти всех Android-устройств являются потенциальными целями, что не так уж и мало. Учитывая, что указанные устройства подвержены уязвимостям, которые никогда не будут исправлены, неудивительно, что старые версии ОС Android всё ещё представляют интерес для вирусописателей. Ведь права root, которые можно получить с помощью эксплуатации упомянутых уязвимостей, развязывают вирусописателям руки — с их помощью можно делать на устройстве всё что угодно. Хотя чаще всего это сводится к банальной установке приложений.

    Основные функции троянца

    Начиная с самых ранних версий, главная функция троянца Android.Xiny — установка на устройство произвольных приложений без разрешения пользователя. Таким образом злоумышленники могут зарабатывать, участвуя в партнёрских программах, которые платят за установку. Насколько можно судить, это один из основных источников дохода для создателей данного семейства. После запуска некоторых его представителей можно за несколько минут получить практически неработоспособное устройство, на котором будет установлено и запущено множество безвредных, но ненужных пользователю приложений. Кроме того, данные троянцы могут устанавливать и вредоносное ПО — всё зависит от команды, полученной с управляющего сервера.

    Самое интересное, что выделяет новые версии троянца Android.Xiny — это защита от удаления. За неё отвечают два компонента. Рассмотрим их подробнее.

    Установщик

    sha1: f9f87a2d2f4d91cd450aa9734e09534929170c6c
    детект: Android.Xiny.5261

    Данный компонент запускается после получения прав root. Он подменяет собой системные файлы /system/bin/debuggerd и /system/bin/ddexe, чтобы обеспечить свой автоматический запуск, а оригиналы сохраняет под именами с суффиксом _server, действуя как классический вирус-компаньон. Также он копирует в системный раздел ещё несколько исполняемых файлов из папки, переданной в параметрах командной строки. Кроме того, троянец может обновлять компоненты, которые установил в системный раздел, если его запустить с особыми параметрами и указать папку, где лежат новые версии.

    Читайте также:  Рейтинг vpn для андроид 2021

    Android.Xiny.5261 содержит внушительный список файлов для удаления. В него входят пути, характерные для более старых представителей семейства, а также для конкурирующих семейств троянцев, устанавливающихся в системный раздел. Таких как, например, Triada.

    Кроме того, Android.Xiny.5261 удаляет некоторые предустановленные приложения — возможно, чтобы освободить место. Наконец, он удаляет известные приложения для управления правами root – такие как SuperSU, KingRoot и другие. Таким образом, он лишает пользователя возможности использовать root-права, а значит, и удалить троянские компоненты, установленные в системный раздел.

    Модифицированная системная библиотека libc.so

    sha1: 171dba383d562bec235156f101879223bf7b32c7
    детект: Android.Xiny.5260

    Этот файл заинтересовал нас больше всего, и с него началось это исследование. При беглом взгляде на него в hiew можно заметить наличие исполняемого кода ближе к концу в секции .data, что подозрительно.

    Открываем файл в IDA и смотрим, что это за код.

    Выясняется, что в данной библиотеке были изменены следующие функции: mount, execve, execv, execvp, execle, execl, execlp.

    Код изменённой функции mount:

    int __fastcall mount ( const char * source , const char * target , const char * filesystemtype , unsigned int mountflags , const void * data )
    <
    unsigned __int8 systemPath [ 19 ] ; // [sp+18h] [bp-1Ch]
    bool receivedMagicFlags ; // [sp+2Bh] [bp-9h]
    int v13 ; // [sp+2Ch] [bp-8h]
    v13 = MAGIC_MOUNTFLAGS ; // 0x7A3DC594
    receivedMagicFlags = mountflags == MAGIC_MOUNTFLAGS ;
    if ( mountflags == MAGIC_MOUNTFLAGS )
    mountflags = 0x20 ; // MS_REMOUNT
    if ( receivedMagicFlags )
    return call_real_mount ( source , target , filesystemtype , mountflags , data ) ;
    if ( mountflags & 1 ) // MS_RDONLY
    return call_real_mount ( source , target , filesystemtype , mountflags , data ) ;
    if ( getuid_ ( ) ) // not root
    return call_real_mount ( source , target , filesystemtype , mountflags , data ) ;
    memCopy ( systemPath , ( unsigned __int8 * ) off_73210 + 471424 , 8 ) ; // /system
    decrypt ( systemPath , 8 ) ;
    if ( memCompare ( ( unsigned __int8 * ) target , systemPath , 8 ) || ! isBootCompete ( ) )
    return call_real_mount ( source , target , filesystemtype , mountflags , data ) ;
    * ( _DWORD * ) errno_ ( ) = 13 ;
    return — 1 ;
    >

    В начале тут происходит проверка параметра mountflags на наличие «волшебного» значения 0x7A3DC594. Если функции передано это значение, управление сразу передаётся настоящей функции mount. Далее проверяется, происходит ли попытка перемонтировать раздел /system на запись и завершена ли загрузка ОС. Если эти условия выполняются, настоящая функция mount не вызывается и возвращается ошибка. Таким образом, модифицированная троянцем функция mount не даёт перемонтировать системный раздел на запись никому, кроме самого троянца, который вызывает её с «волшебным» параметром.

    Код изменённой функции execve (в остальных exec*-функциях всё аналогично):

    int __fastcall execve ( const char * filename , char * const argv [ ] , char * const envp [ ] )
    <
    int v3 ; // r3
    if ( targetInDataOrSdcard ( filename ) >= 0 ) // returns -1 if true
    <
    sub_7383C ( ) ;
    v3 = call_real_execve ( filename , argv , envp ) ;
    >
    else
    <
    * ( _DWORD * ) errno_ ( ) = 13 ;
    v3 = — 1 ;
    >
    return v3 ;
    >

    int __fastcall targetInDataOrSdcard ( const char * path )
    <
    char buf [ 516 ] ; // [sp+8h] [bp-204h]
    if ( isDataOrSdcard ( path ) )
    return — 1 ;
    if ( * path == ‘.’ && getcwd_ ( buf , 0x200u ) && isDataOrSdcard ( buf ) )
    return — 1 ;
    return 0 ;
    >

    Здесь проверяется, начинается ли путь к запускаемому файлу с «/data/» и содержит ли «/sdcard». Если одно из условий выполняется, запуск блокируется. Напомним, что по пути /data/data/ находятся директории приложений. Таким образом блокируется запуск исполняемых файлов из всех директорий, в которых обычное приложение может создать файл.

    Изменения, внесённые в системную библиотеку libc.so, нарушают работу приложений, предназначенных для получения прав root. Из-за изменений в функциях exec* такое приложение не сможет запустить эксплойты для повышения привилегий в системе, поскольку обычно эксплойты представляют собой исполняемые файлы, которые скачиваются из сети в директорию приложения и запускаются. Если же повысить привилегии всё-таки удалось, изменённая функция mount не даст перемонтировать системный раздел на запись, а значит, и произвести в нём какие-либо изменения.

    В итоге, самозащита троянца складывается из двух частей: его установщик удаляет приложения для управления root-правами, а модифицированная библиотека libc.so не даёт установить их снова. Кроме того, эта защита работает и от «конкурентов» — других троянцев, которые получают права root и устанавливаются в системный раздел, поскольку они работают по тому же принципу, что и «хорошие» приложения для получения прав root.

    Как бороться с таким троянцем?

    Чтобы избавиться от Android.Xiny.5260, устройство можно перепрошить – при условии, что в открытом доступе существует прошивка для него. Но можно ли удалить вредоносную программу другим способом? Сложно, но можно – есть несколько путей. Для получения прав root можно использовать эксплойты в виде so-библиотек. В отличие от исполняемых файлов, их загрузку троянец не заблокирует. Также можно воспользоваться компонентом самого троянца, который предназначен для предоставления root-прав другим его частям. Он получает команды через сокет по пути /dev/socket/hs_linux_work201908091350 (в разных модификациях путь может отличаться). Что касается обхода блокировки mount, можно использовать «волшебное» значение параметра mountflags, либо напрямую вызвать соответствующий syscall.

    Реализовывать я это, конечно, не буду.

    Если ваше устройство подхватит такого троянца, мы рекомендуем использовать официальный образ операционной системы для его перепрошивки. Однако не забывайте, что при этом удалятся все пользовательские файлы и программы, поэтому заранее позаботьтесь о создании резервных копий.

    Источник

    Оцените статью
    © 2024 Ваши гэджеты