Android smssend что это

Упрямый SMS-троян для Android препятствует своему удалению

Компания «Доктор Веб» предупредила о распространении очередного троянца семейства Android.SmsSend (родом из Китая), предназначенного для отправки SMS с повышенной тарифной стоимостью. Особенностью этого троянца являются его многократные требования доступа к списку администраторов мобильного устройства, что при определенных условиях может значительно затруднить его удаление.

В отличие от большинства вредоносных программ семейства Android.SmsSend, распространяющихся злоумышленниками напрямую, Android.SmsSend.186.origin попадает на мобильные устройства пользователей при помощи дроппера, содержащего внутри себя программный пакет троянца. Дроппер Android.MulDrop.5.origin скрывается в разнообразных «живых обоях» и при установке не требует специальных разрешений, поэтому у пользователей не должно возникнуть никаких подозрений.

После запуска Android.MulDrop.5.origin демонстрирует сообщение на китайском языке, в котором предлагается установить некий компонент. Если пользователь согласится это сделать, начнется процесс установки скрытого внутри дроппера троянского приложения.

Для своей работы Android.SmsSend.186.origin требует доступ к большому числу функций, однако название приложения «Android 系统服务» (Android System Service) может ввести в заблуждение многих китайских пользователей, на которых, по большей части, и рассчитан троянец, в результате чего они продолжат установку.

Вредоносная программа не создает иконку приложения в главном меню мобильного устройства и работает в качестве сервиса. После установки она запрашивает доступ к функциям администратора мобильного устройства под предлогом того, что это позволит значительно сэкономить заряд аккумулятора. Учитывая то, что Android.SmsSend.186.origin использует имя, похожее на название одного из системных приложений, необходимые полномочия ему, скорее всего, будут предоставлены. Однако на случай, если пользователь откажется дать троянцу требуемые полномочия, он будет запрашивать их вновь и вновь, пока наконец уставший от надоедливого сообщения владелец Android-устройства не даст свое согласие.

При определенных условиях троянец может стать администратором Android-устройства и без разрешения пользователя. Это может произойти в случае работы вредоносной программы на некоторых версиях ОС Android при условии, что ранее троянец уже функционировал на том же самом мобильном устройстве в режиме администратора. В результате, если пользователь попытается избавиться от надоедливой просьбы вредоносной программы, перезагрузив мобильное устройство, его будет ждать неприятный сюрприз: после перезагрузки системы Android.SmsSend.186.origin автоматически получит необходимые полномочия, чего пользователь даже не заметит. Такой сценарий маловероятен, однако не исключен и является весьма опасным.

Помимо функции отправки SMS с повышенной стоимостью, Android.SmsSend.186.origin имеет возможность отправлять злоумышленникам входящие SMS, что потенциально несет риск раскрытия частной информации пользователей. Однако этот троянец интересен в первую очередь тем, что в некоторых случаях с активированным режимом администратора мобильного устройства он фактически получает возможность противодействовать своему удалению, т. к. при попытках пользователя выполнить необходимые для этого действия возвращает его к главному экрану мобильного устройства. Это первый из известных случаев, когда вредоносная программа для ОС Android предпринимает попытки активного противодействия борьбе с ней.

Для того чтобы удалить этого троянца из системы, необходимо выполнить ряд действий:

• Во-первых, следует убрать приложение с именем «Android 系统服务» из числа администраторов устройства, зайдя в системные настройки «Безопасность» – > «Выбрать администраторов устройства» и сняв соответствующую галочку.
• После того как троянец будет лишен этих полномочий, он попытается снова их получить, выводя соответствующее сообщение, поэтому необходимо завершить работу процесса вредоносной программы, зайдя в меню «Приложения» – > «Управление приложениями», и остановить его выполнение.
• После этого можно удалить троянца стандартным способом («Приложения» – > «Управление приложениями») либо установить антивирусную программу и произвести с ее помощью проверку системы и удаление найденных вредоносных объектов.

Источник

Помогите удалить Android.SmsSend.

#1 Julia5115

Posters

6 Сообщений:

Подскажите, пожалуйста, как удалить обнаруженный при сканировании смртфона троян Android.SmsSend.1063.origin, если контекстное меню не имеет опции «Удалить»? ( в аттаче — скрины с телефона)

Телефон — Huawei Honor 4C

Прикрепленные файлы:

• Screenshot_2015-06-22-21-38-58.jpeg43,52К 0 Скачано раз
• Screenshot_2015-06-22-21-39-51.jpeg50,92К 0 Скачано раз

#2 Julia5115

Posters

6 Сообщений:

И еще дополнение. Обнаружила, что этот вредонос уже что-то сделал на телефоне: когда пытаюсь запустить Google Chrome, страничка открывается на 1 секунду, потом сразу перенаправляется куда-то (непонятно куда) и выскакивает всплывающее окно с сообщением, что мой браузер нужно срочно обновить, т.к. он уязвим и медленно работает. Опции отказа от обновления не предлагает, кроме того, включается обратный отсчет времени с сообщением, что браузер обновится через ХХ секунд. Судя по «поведению», это точно ВИРУС.

В результате была вынуждена отключить Гугл Хром и пользуюсь другими браузерами. При отключении Хрома система мне тревожно писала, что это системное приложение и при его отключении могут происходить сбои в работе других связанных приложений.

Удалить Хром не получается (его просто нет в списке приложений, которые можно удалить).

Подскажите, что делать.

#3 Oleg Polyakov

Dr.Web Staff

146 Сообщений:

Передали Ваш запрос нашим вирусным аналитикам — разбираются.

#4 alex f.

Members

2 Сообщений:

Это ложное срабатываение, уже отключено.

> когда пытаюсь запустить Google Chrome, страничка открывается на 1 секунду, потом сразу перенаправляется куда-то (непонятно куда) и выскакивает всплывающее окно с сообщением, что мой браузер нужно срочно обновить, т.к. он уязвим и медленно работает. Опции отказа от обновления не предлагает, кроме того, включается обратный отсчет времени с сообщением, что браузер обновится через ХХ секунд

Эти симптомы проявляются при использовании 3g подключения или только при wi-fi?

#5 Julia5115

Posters

6 Сообщений:

Только по вайфай.

#6 Julia5115

Posters

6 Сообщений:

ТОлько что проверяла и «посадила» на телефон какой-то apps4cash.apk ( Он самостоятельно загрузился, когда я открыла браузер Opera. И в списке загрузок его нет. Как его теперь удалить?

#7 Julia5115

Posters

6 Сообщений:

_{И как теперь бороться с ложным срабатыванием? Запустила проверку снова — опять пишет про тот же файл PuzzlePets_FULL_Honor. _AQ31.apk. У меня и приложения-то такого нет — PuzzlePets! Может, это все-таки вирус?}

#8 alex f.

Members

2 Сообщений:

Нет, это не вирус.

Обновите вирусные базы и проверьте со свежими — детекта быть не должно. Это приложение действительно не установлено у вас, оно просто таскается вместе с прошивкой Huawei.

> Только по вайфай.

Это значит, что проблема в вашем вай-фай роутере, а не девайсе. Вам нужно сбросить его настройки и желательно сменить пару логин-пароль для доступа к нему.

#9 illia

Posters

8 Сообщений:

#10 pig

Helpers

10 791 Сообщений:

Тоже самое нечего не помогает

#11 Julia5115

Posters

6 Сообщений:

>Только по вайфай.
Это значит, что проблема в вашем вай-фай роутере, а не девайсе. Вам нужно сбросить его настройки и желательно сменить пару логин-пароль для доступа к нему.

В процессе эксплуатации возникло уточнение предыдущей проблемы:
>

На самом деле страничка перенаправляется не при запуске браузера, а, видимо, при вызове его сторонним приложением, в моем случае — при попытке открыть любую веб-ссылку из новостной ленты в Фейсбуке. При этом неважно, по какой сети идет передача данных: по wifi или по 3g.

При подключении к разным wifi (2-3 из них находились в Австрии, так что предположение об «инфицированном» вайфай-роутере мне кажется надуманным) и к сотовой сети 3G/EDGE картина была одна и та же: редирект на новую страничку с неизменным указанием на необходимость срочно подтвердить обновление/дозагрузку/и пр.(не знаю, что там предлагалось на немецком, но смысл, очевидно, тот же) — см. несколько скриншотов.

Только один раз антивирус заблокировал переход на страничку вредоноса, но определить, что это за адрес и прочие параметры, не удалось (см. первый скрин)

Источник

«Доктор Веб»: Android.SmsSend.1081.origin — троянец, содержащийся внутри образа операционной системы

Вместе с тем лечение данного типа угроз весьма затруднено и может быть сопряжено с риском потери гарантии, повреждением ценной информации или работоспособности устройства. Компания «Доктор Веб» напоминает о том, что владельцы мобильных Android-устройств могут столкнуться с действием подобных вредоносных программ не только во время установки стороннего образа операционной системы, содержащего такого троянца, но также и при покупке совершенно нового устройства, на котором может находиться нежелательное приложение. Именно с последним случаем пришлось столкнуться ряду наших пользователей.

Вредоносная программа, внесенная в вирусную базу компании «Доктор Веб» как Android.SmsSend.1081.origin, представляет собой встроенный непосредственно в одну из Android-прошивок аудиоплеер, который имеет скрытую функцию пересылки информации об IMSI-идентификаторе пользователя на заданный мобильный номер. По замыслу авторов программы, данное действие предполагает регистрацию пользователя в одном из музыкальных онлайн-сервисов, расположенных в Китае. Однако фактически ее работа никак не регулируется: нет ни проверки географического положения владельца мобильного устройства, ни контроля числа сообщений, которые отправляются каждый раз при запуске плеера. Например, российским пользователям эта оплошность обходится в 5-7 рублей за одно СМС. Таким образом, функционал программы, изначально заложенный разработчиками как полезный, в конечном итоге стал нежелательным, именно поэтому она была классифицирована вирусными аналитиками компании как троянская.

Стоит отметить, что троянцы, содержащиеся внутри образов операционной системы, в настоящее время не имеют широкого распространения, однако они не менее опасны, чем другие вредоносные программы, устанавливаемые самими пользователями и распространяемые злоумышленниками при помощи различных каталогов приложений, форумов и сайтов – сборников ПО. В частности, один из последних инцидентов с участием подобной троянской программы освещался компанией «Доктор Веб» в январе. Тогда на сотнях тысяч мобильных устройств был обнаружен троянец Android.Oldboot.1, скрытый внутри файловой системы и выполняющий инфицирование мобильного устройства при каждом его включении. Основной его задачей являлась установка и удаление различных программ. А позднее в вирусную базу была внесена запись для троянца, предназначенного для отправки на заданный номер СМС-сообщения, содержащего информацию об IMEI-идентификаторе мобильного устройства. Эта вредоносная программа, детектируемая Dr.Web для Android как Android.SmsSend.1067.origin, является модифицированной версией стандартного системного пакета для работы с короткими сообщениями.

Главной опасностью таких вредоносных программ, вне зависимости от их функционала, является то, что их удаление стандартными способами осложняется необходимостью получения привилегированного доступа к функциям операционной системы, а также системным файлам (root-доступ), либо установкой заведомо «чистой» версии прошивки. Все эти действия сопровождаются определенными рисками, поскольку требуют вмешательства в файловую систему и могут стать причиной не только отзыва гарантии, но и потери ценных данных и даже поломки мобильного устройства.

Чтобы минимизировать негативные последствия от действия таких вредоносных приложений, владельцам мобильных устройств под управлением ОС Android следует избегать использования непроверенных версий файлов-прошивок, а также не приобретать мобильные устройства сомнительного происхождения. Тем же пользователям, которые все-таки столкнулись с подобными случаями распространения троянских программ, рекомендуется выполнить следующие шаги:

1. Удостовериться, является ли используемая версия прошивки оригинальной – поставляемой производителем мобильного устройства. Для этого необходимо связаться с представителями компании-изготовителя, например, с ее службой технической поддержки. В случае если используемая прошивка является неоригинальной, рекомендуется установить заводскую версию образа операционной системы в соответствии с инструкциями поставщика оборудования.
2. Если вы самостоятельно установили стороннюю прошивку для своего мобильного устройства, и она содержит в себе троянца, рекомендуется вернуться к заводской версии прошивки.
3. В случае если текущая версия прошивки является заводской, однако содержит вредоносную программу, необходимо также связаться с компанией-изготовителем для дальнейшего прояснения ситуации.
4. Если вы обладаете достаточными техническими знаниями и навыками, вы можете попытаться удалить вредоносную программу, предварительно получив root-права, однако в этом случае не исключены отзыв гарантии или поломка мобильного устройства, поэтому данное действие должно выполняться на свой страх и риск.
5. Если в текущей версии прошивки присутствует вредоносная программа, вы можете попытаться выполнить ее полное или частичное отключение, для чего следует зайти в системное меню управления приложениями и для соответствующей программы выбрать опцию «Отключить».

Источник