- Вирусы Android.Triada в ассортименте.
- #1 Lamme
- #2 Lamme
- #3 Saint-Petersburg
- #4 Sergey Bespalov
- #5 Lamme
- #6 Sergey Bespalov
- #7 Lamme
- #8 pig
- #9 Lamme
- #10 Sergey Bespalov
- Прикрепленные файлы:
- #11 Lamme
- #12 Lamme
- #13 Sergey Bespalov
- Как удалить Triada (вирус) с телефона
- Как удалить Triada с Android смартфона
- «Доктор Веб»: обзор вирусной активности для мобильных устройств в апреле 2021 года
- ГЛАВНЫЕ ТЕНДЕНЦИИ АПРЕЛЯ
- Мобильная угроза месяца
- По данным антивирусных продуктов Dr.Web для Android
- Угрозы в Google Play
Вирусы Android.Triada в ассортименте.
#1 Lamme
Телефон MTS SMART Surf2 4G.
Версия Андроид 6.0
Установлен Dr.Web Light.
После полной проверки удалены:
Теперь периодически приходят сообщения об угрозе в приложении com.keone.push, вирус Android.Triada.348.origin.
Выбираю «Удалить», но через какое-то время сообщение опять приходит.
Можно как-то избавиться от этого радикально?
#2 Lamme
Пока жду ответа появилось еще три сообщения об угрозах:
Dr.Web все удалил, но, похоже, это не надолго.
#3 Saint-Petersburg
По всей видимости антивирус что-то не ловит и этот троян подгружает остальные файлы. Скорее всего аналитики запросят следующее:
В этой программе переходите на верхний уровень, и архивируете директорию /system, смотрите, что бы архив сохранялся на sd карте, это должно быть прописано в имени архива. (иначе будет ошибка). Поставьте пароль для архива «virus»
2. https://play.google.com/store/apps/details?id=mobi.usage.appbackup
В этой программе делаете бекап всех приложений и архивируете их (с паролем «virus»). Файлы приложений будут находиться примерно по такому пути /storage/sdcard0/Mobi_Usage_AppBackup
3. Загрузите оба архива на файлообменник, например яндекс диск, и киньте сюда ссылку. Либо, может создать тикет с сылкой на файлы и запостить номер тикета.
создать тикет: https://vms.drweb.ru/sendvirus/?lng=ru
#4 Sergey Bespalov
Lamme,
Пришлите файлы на анализ как указано выше. Скорее всего троян в системном разделе.
Радикально избавиться от вирусов можно перепрошивкой.
посмотрите тему по вашему устройству: https://4pda.ru/forum/index.php?showtopic=783035 .
Сообщение было изменено Sergey Bespalov: 05 Февраль 2018 — 19:39
#5 Lamme
Радикально избавиться от вирусов можно перепрошивкой.
посмотрите тему по вашему устройству
Это я читал. Для перепрошивки надо ставить и настраивать программы, в которых я ничего не понимаю. Да и нет никакой гарантии, что все это безобразие не повторится снова.
Заархивировал, сделал бекап. Ссылки:
Только когда архивировалась папка system, к некоторым вложенным папкам (общим числом 153) было отказано в доступе.
Сообщение было изменено Lamme: 06 Февраль 2018 — 03:16
#6 Sergey Bespalov
Lamme, На данный момент найден трой в настройках. /system/priv-app/Settings (Android.Lqsoft.1, Android.Lqsoft.4.origin).
Удалять Настройки нельзя. Заблокируйте интернет для приложения «Настройки» (или «Settings») с помощью фаервола. Он есть в про версии или скачайте какой нибудь фаервол из маркета, например: https://play.google.com/store/apps/details?id=app.greyshirts.firewall&hl=ru
Только проверьте что он действительно блокирует доступ в сеть. Например заблокируйте интернет для приложения youtube и попробуйте в него зайти и посмотреть видео.
Пишити, если поможет с загрузками.
#7 Lamme
Собственно, я и так хотел купить Pro версию.Но, насколько я понимаю, файрвол только создаст «затычку», а лечение невозможно? Или в перспективе лечение может появиться?
Это я к тому, что мне стоит курить мануалы и готовить перепрошивку или подождать новых разработок Dr.Web?
Сообщение было изменено Lamme: 07 Февраль 2018 — 22:26
#8 pig
#9 Lamme
Заблокируйте интернет для приложения «Настройки» (или «Settings»)
Поставил Pro версию и оплатил лицензию. Во вкладке «Приложения» ни «Настроек», ни «Settings» и вовсе нет. Было какое-то непонятное приложение «Беспроводное обновление», ему я инет запретил.
Чистая прошивка — это самый правильный путь.
Как-то каждый раз прошивать телефон — так себе идея. Эдак я только этим и буду заниматься.
#10 Sergey Bespalov
Lamme, Посмотрите внимательенее. Должен быть длинный список системных приложений. В нем и настройки.
Скриншот с примером:
Заблокировать доступ можно только сразу всем.
Прикрепленные файлы:
device-2018-02-08-125811.png55,19К 0 Скачано раз
Сообщение было изменено Sergey Bespalov: 08 Февраль 2018 — 13:45
#11 Lamme
Посмотрите внимательенее. Должен быть длинный список системных приложений. В нем и настройки.
Да, спасибо, нашел и заблокировал.
#12 Lamme
Что-то блокировка ни хрена не помогает. Как включу «Вай-фай!, так моментом начинают устанавливаться г..оприложения с вирусами. Доктор антивирус их идентифицирует и удаляет, но только постфактум.
#13 Sergey Bespalov
Выполните пожалуйста действия указанные ниже.
2. Отключите интернет. Сделайте проверку и удалите вирусы.
3. Запустите приложение Packet Capture, установите предлагаемый сертификат.
4. Включите интернет, перейдите в Packet Capture и нажмите на кнопку в виде зеленого треугольника, что бы начать перехват трафика.
5. Как dr.web задетектит трой, выключите интернет, выключите перехват трафика.
Трояны, которые у вас детектятся весят по 200-300КБ.
6. В Packet Capture посмотрите, какие приложения загружали больше 200КБ. Запомните или заскриньте эти приложения. Так же, кликните на сессию, затем кнопку сохранения, затем Save Both, и сохраните данные в файл на sd карте.
7. Напишите сюда, какие приложения скачвали большой объеем трафика, и скиньте сохраненные файлы с данными.
Packet Capture можно удалить
Источник
Как удалить Triada (вирус) с телефона
Некоторые вирусы умеют перехватывать Рут-права для своих целей и впоследствии могут загружать на телефон другие приложения и другие вирусы, в частности Триаду. Triada – один из самых сложно обнаруживаемых вирусов в системе Андроид. Давайте рассмотрим, как удалить Triada, и как предотвратить попадание вирусов в телефон.
Как удалить Triada с Android смартфона
Мы советуем всегда устанавливать новые обновления операционной системы, потому что каждая версия более защищена, чем предыдущая. Каждую новую версию разработчики стараются сделать менее уязвимой.
Как обновляться вы можете узнать здесь.
Бывали случаи, когда даже в официальном магазине Гугл попадались трояны. Поэтому стоит обезопасить себя антивирусом.
Триада пробирается в самые сокровенные места и может заблокировать работу вашего устройства. Триада способна внедриться в шаблон всех приложений и заменить любой системный файл. Вирус может подменить реквизиты оплаты игры и совершить другие финансовые операции, которые вы, скорее всего, не заметите.
Как удалить вирус Триада (Triada) с Андроида, если устройство пока нормально функционирует:
- Скачайте специальную разработку Dr.Web (пробной версии хватит)
- Проанализируйте файлы и удалите вирус
Если вирус заблокировал устройство:
Если вы уверены, что Триада есть на вашем телефоне, но ни один антивирус её не находит, перепрошейте гаджет или сделайте Hard Reset.
Поделитесь в комментариях своим опытом уничтожения Триады.
Источник
«Доктор Веб»: обзор вирусной активности для мобильных устройств в апреле 2021 года
13 мая 2021 года
В апреле компания «Доктор Веб» сообщила об обнаружении трояна Android.Triada.4912, встроенного в одну из версий клиентского приложения популярного стороннего каталога Android-программ APKPure. В то же время в официальном каталоге Google Play вновь были выявлены очередные трояны из семейства Android.FakeApp. Они распространялись под видом полезных программ и загружали различные мошеннические сайты. Кроме того, специалисты «Доктор Веб» выявили троянов Android.Joker в магазине ПО AppGallery компании Huawei. Эти вредоносные приложения подписывали пользователей на платные мобильные услуги.
ГЛАВНЫЕ ТЕНДЕНЦИИ АПРЕЛЯ
- Обнаружение трояна в клиентском приложении популярного стороннего каталога Android-программ APKPure
- Распространение новых угроз через каталог Google Play
- Обнаружение угроз в магазине приложений AppGallery
Мобильная угроза месяца
В начале апреля компания «Доктор Веб» опубликовала новость о том, что наши вирусные аналитики обнаружили вредоносную функциональность в клиентском приложении стороннего каталога Android-программ и игр APKPure. Неустановленные злоумышленники встроили в него трояна Android.Triada.4912, затронутой оказалась версия 3.17.18 приложения. Android.Triada.4912 запускал скрытый в нем вспомогательный модуль, который выполнял основные вредоносные действия: скачивал другие троянские компоненты и различные программы, а также загружал всевозможные веб-сайты.
По данным антивирусных продуктов Dr.Web для Android
Android.HiddenAds.1994 Троян, предназначенный для показа навязчивой рекламы. Распространяется под видом популярных приложений другими вредоносными программами, которые в некоторых случаях незаметно устанавливают его в системный каталог. Android.RemoteCode.284.origin Android.RemoteCode.6122 Android.RemoteCode.319.origin Вредоносная программа, которая загружает и выполняет произвольный код. В зависимости от модификации она также может загружать различные веб-сайты, переходить по ссылкам, нажимать на рекламные баннеры, подписывать пользователей на платные услуги и выполнять другие действия. Android.Triada.510.origin Многофункциональный троян, выполняющий разнообразные вредоносные действия. Относится к семейству троянских приложений, проникающих в процессы всех работающих программ. Различные представители этого семейства могут встречаться в прошивках Android-устройств, куда злоумышленники внедряют их на этапе производства. Кроме того, некоторые их модификации могут эксплуатировать уязвимости, чтобы получить доступ к защищенным системным файлам и директориям.
Program.FreeAndroidSpy.1.origin Program.Mrecorder.1.origin Program.NeoSpy.1.origin Приложения, которые следят за владельцами Android-устройств и могут использоваться для кибершпионажа. Они способны контролировать местоположение устройств, собирать данные об СМС-переписке, беседах в социальных сетях, копировать документы, фотографии и видео, прослушивать телефонные звонки и окружение и т. п. Program.CreditSpy.2 Детектирование программ, предназначенных для присвоения кредитного рейтинга на основании персональных данных пользователей. Такие приложения загружают на удаленный сервер СМС-сообщения, информацию о контактах из телефонной книги, историю вызовов, а также другие сведения. Program.FakeAntiVirus.2.origin Детектирование рекламных программ, которые имитируют работу антивирусного ПО. Такие программы могут сообщать о несуществующих угрозах и вводить пользователей в заблуждение, требуя оплатить покупку полной версии.
Tool.SilentInstaller.6.origin Tool.SilentInstaller.7.origin Tool.SilentInstaller.13.origin Tool.SilentInstaller.14.origin Потенциально опасные программные платформы, которые позволяют приложениям запускать apk-файлы без их установки. Они создают виртуальную среду исполнения, которая не затрагивает основную операционную систему. Tool.Obfuscapk.1 Детектирование приложений, защищенных утилитой-обфускатором Obfuscapk. Эта утилита используется для автоматической модификации и запутывания исходного кода Android-приложений, чтобы усложнить их обратный инжиниринг. Злоумышленники применяют ее для защиты вредоносных и других опасных программ от обнаружения антивирусами.
Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах. В зависимости от семейства и модификации они могут демонстрировать рекламу в полноэкранном режиме, блокируя окна других приложений, выводить различные уведомления, создавать ярлыки и загружать веб-сайты.
Угрозы в Google Play
В апреле в каталоге Google Play были выявлены новые трояны, принадлежащие к семейству Android.FakeApp. Они распространялись под видом справочников с информацией о денежных выплатах и компенсациях от государства, а также приложений, с помощью которых пользователи якобы могли получить скидки на покупку товаров в известных торговых сетях и выиграть подарки от популярных блогеров. В действительности эти программы-подделки вводили жертв в заблуждение. Они не выполняли заявленных функций и лишь демонстрировали мошеннические сайты, через которые злоумышленники похищали конфиденциальные данные и деньги владельцев Android-устройств. Трояны были добавлены в вирусную базу Dr.Web как Android.FakeApp.255, Android.FakeApp.254, Android.FakeApp.256, Android.FakeApp.259, Android.FakeApp.260 и Android.FakeApp.261.
Пример внешнего вида этих мошеннических приложений:
Источник