Главная » Android

Андроид троян смс что это

Содержание
  1. Телефон поймал вирус через СМС: что угрожает Андроид?
  2. Как происходит заражение устройства?
  3. Чем опасен этот вирус?
  4. Что делать, если произошло заражение?
  5. SMS-вирус под ОС Android или «Привет 🙂 Тебе фото…»
  6. Вступление
  7. 1. Подготовка
  8. 2. Установка
  9. 3. Вирус-приложение
  10. 4. Удаление?
  11. 5. Dr Web против вируса
  12. 5. Avast против вируса
  13. 6. Реверс-инжиниринг
  14. Послесловие
  15. Выводы
  16. HEUR: Trojan.AndroidOS — что это за вирус, как удалить
  17. Что это за вирусы?
  18. Какие вирусы бывают
  19. Как удалить HEUR:Trojan.AndroidOS и подобные ему?
  20. Заключение

Телефон поймал вирус через СМС: что угрожает Андроид?

Распространение нового вируса СМС на Андроид ставит под угрозу безопасность устройств большого количества пользователей. Что же делать, если вам пришло сообщение с сомнительным текстом, и как обезопасить себя и свое устройство? Далее расскажем подробно о том, какую угрозу несет в себе этот Троян и как можно его идентифицировать.

Как происходит заражение устройства?

Распространяется Троян на телефонах и планшетах с помощью СМС-сообщений, и работает как системный сервис, называющийся com.driver.system. Как же понять, что на телефон попал вирус через смс, и действительно ли полученное соощение несет опасность?

Выглядит это СМС следующим образом:

привет [смайлик] тебе фото https:// m**o*an.ru/oujr/380688086*6*

Полученная в сообщении ссылка — это адрес на загрузку apk файла, в котором спрятан «Trojan.SMSSend», что перехватит управление вашим гаджетом Андроид и будет использовать его в своих целях. Антивирус определяет эту угрозу как HEUR:Trojan-SMS.AndroidOS.Opfake.bo

Вы можете прочитать нашу статью о том, как защитить смартфон от вирусов, чтобы не подвергаться риску и быть уверенным в безопасности своих данных.

Как правило, отправитель – это человек из списка ваших контактов, именно поэтому пользователи часто без опаски открывают сообщение и заражают свое устройство. На самом деле в этот момент они активируют Троян и вирус отправляет СМС (Андроид-устройства и отправляющего, и получателя с момента отправки находятся под угрозой). Таким образом, всё больше владельцев мобильных устройств оказываются в зоне риска.

Что можно сделать на этом этапе? Только одно — ни в коем случае не открывать такое сообщение, чтобы по неосторожности не скачать Троян!

Чем опасен этот вирус?

Основная опасность СМС-вируса на Android заключается в том, что на зараженном телефоне хакеры могут удаленно выполнять практически любые действия, например:

  • Рассылка сообщений вашим друзьям с определенным текстом.
  • Блокировка звонков.
  • Кража со счет денежных средств, а также информации об установленных приложениях, операторе, учетных записях, имеющихся файлах, телефонном номере и сообщениях.
  • Управление черным списком – добавление или удаление номеров из него.
  • Выполнение юссд-запросов
  • Включение/отключение диктофонных записей и многие другие неприятные вещи

Это означает, что злоумышленники получают полный контроль над вашим устройством, и без вашего ведома управляют работой телефона или планшета.

Что делать, если произошло заражение?

На устройствах Андроид СМС-вирус Троян может маскироваться под другие программы. Вы можете долгое время не замечать происходящих изменений, ведь он устроен очень хитро.

Избавиться от такого Трояна не так-то просто, но все же возможно. Предлагаем вам узнать, как удалить смс вирус с телефона Андроид, если вы уже столкнулись с этой проблемой.

Запомните! В случае, если ваш телефон на Андроид поймал вирус через СМС, то последствия могут быть самыми различными, если не предпринять никаких действий.

Источник

SMS-вирус под ОС Android или «Привет 🙂 Тебе фото…»


*Оригинальная картинка, наглым образом вытащеная из ресурсов apk
[прим. apk — расширение файла установки приложения на ОС андроид]

Читайте также:  Imo для андроид как установить

Вступление

привет [смайлик] тебе фото https:// m**o*an.ru/oujr/380688086*6*

1. Подготовка

Поверхностно поискав в интернете информацию, было установлено, что ссылка в смс сообщении является ничем иным, как адресом на загрузку apk файла. А apk файл — вирусом «Trojan.SMSSend», заражающий мобильные устройства под управлением ОС Android. Главные задачи данного «зловреда» — перехватывать управление устройством и использовать его в своих целях: блокировка исходящих вызовов, отправка сообщений «с приветом» и другие мелкие пакости.

Перейдя по ссылке из браузера я благополучно получил ответ «403 Forbidden».

Понятно, значит, стоит фильтр по браузеру. Что ж, буду проверять «на кошках», как говорится.

Недолго думая, решил «положить на алтарь науки» свой планшет Samsung Galaxy Tab 2. Сделав бэкап, со спокойной совестью нажал на кнопку «Общий сброс». На всякий случай убедился, что на sim-карте нет денег и приступил к установке.

2. Установка

Захожу в настройки, в пункте меню «Неизвестные устройства», убираю галочку «Разрешить установку приложений из других источников, кроме Play Маркет».
Перейдя по ссылке из смс-сообщения, получил предупреждение браузера, следующего характера:

Соглашаюсь и нажимаю кнопку «Продолжить». Скачалось приложение F0T0_ALB0M.apk:

Устанавливаю. Ужасаюсь количеством permission (разрешений). Операционная система любезно предупреждает:

Это приложение может нанести вред устройству

Но я же не ищу легких путей, поэтому, «скрепя сердце», ставлю галочку «Я понимаю, что это приложение может нанести вред».




Когда приложение запрашивает права администратора, понимаю, что это последний этап. Нажимаю «Отмена», но диалог появляется снова. Эх, была не была, буду идти до конца, и нажимаю «Включить».

3. Вирус-приложение

Само приложение состоит из одной активити-картинки с обреченным котенком. Наверное таким образом разработчик пытался пошутить.

В этом месте, я немного забегу вперед (см. п.6) и приведу, код AndroidManifest.xml для лучшего понимания статьи.

В диспетчере приложений наш «зловред» гордо именуется «Google Play».

4. Удаление?

Благополучно заразив устройство, перехожу к фазе лечения. Сначала пробую удалить приложение. Захожу в «Диспетчер приложений» и вижу, что все кнопки заблокированы.

Понятно, значит, у приложения имеются права администратора и так просто удалить его не получится. Не беда, сейчас я их уберу. Захожу в пункт меню «Безопасность»->«Администраторы устройства» и убираю галочку напротив приложения.

Но, нет, не тут то было. Устройство благополучно переходит в настройки управления WiFi и зависает. Пришлось «прибивать» окно настроек.

Дальше хотелось решить вопрос «на корню», так сказать, и воспользоваться общим сбросом системы. Ну да, легко мне выбирать такой вариант — мои личные данные в бэкапе хранятся.

А как же обычные пользователи? У которых «внезапно» любимый телефон заразился вирусом. Они ведь даже исходящего вызова знакомому «тыжпрограммисту» не сделают. В общем, читерство это, не буду так делать.

Итог: штатными средствами нейтрализовать угрозу не удалось. Подключаем «тяжелую артиллерию».

5. Dr Web против вируса

Памятуя про хорошую лечащую утилиту «Dr.Web CureIt!», решил бороться с зловредом с помощью аналога под Android. Захожу на официальный сайт и качаю бесплатную версию антивирусника «Dr.Web для Android Light 9».
Устанавливаю, по WiFi обновляю сигнатуры.
Запускаю быструю проверку ― ничего.
Запускаю полную проверку ― тоже ничего.



Я разочарован! Печально вздохнув, удаляю антивирусник.

UPD от 6.09.14. На данный момент антивирусник успешно опознает данный зловред под детектом Android.SmsBot.origin.165. Алгоритм удаления такой же, как и при использовании Avast (см. ниже).

Читайте также:  Отключить переворот экрана андроид

5. Avast против вируса

Скачиваю и устанавливаю версию «Avast-Mobile-Security-v3-0-7700».
При старте запускается экспресс-сканирование, которое никаких вирусов в системе не находит.

Ну и ладно, мозг подсказал очередную идею: вот есть какой-то пункт меню «Управление приложениями», а что если…
Да, действительно загрузился список приложений в системе.

Пункта «Удалить» нет. Поэтому, пробую остановить приложение. Остановилось.
Жду 2-3 секунды, приложение снова в работе.

Ладно, попробую с другой стороны. Запускаю принудительную проверку системы. О_о, обнаружено вредоносное ПО. Нажимаю «Устранить все» [прим. как-то это звучит в духе Дарта Вейдера или Далеков]. Avast сообщает, что удалить приложение не может, а нужно сначала отобрать права администратора у приложения. Появляется системный диалог:

Удалить все данные с устройства и вернуть заводские настройки? Нажмите «Да» если согласны, или «Нет» для отмены

И сразу же, поверх этого диалогового окна открывается «злополучное» окно настроек wi-fi. Нажимаю «Возврат», снова открываются настройки. Хорошо, хоть окно настроек не зависает.

Опять на тропу читерства меня толкают. Будем искать другое решение…

6. Реверс-инжиниринг

Посмотрим в исходный код приложения, благо на Android это не такая большая проблема. Много всего интересного…
Например, в классе SystemService указан url сайта lamour.byethost5.com (дизайн-студия).
Но больше всего мне понравился класс AdminReceiver, который является наследником системного класса DeviceAdminReceiver.
В этом классе есть переопределенный метод onDisableRequested, который срабатывает при отключении админполномочий для данного приложения. Полностью заблокировать кнопки в системном диалоге нельзя, поэтому разработчик вируса пошел на хитрость, он изменил текст сообщения на «Удалить все данные с устройства и вернуть заводские настройки? Нажмите «Да» если согласны, или «Нет» для отмены» и обильно прикрыл сверху назойливым окном настроек.

Бинго. Значит теперь я смело смогу нажать в данном диалоговом окне «Удалить» и планшет будет «здоров».

Послесловие

Таким образом, выполнив повторно пункт 5 данной публикации (не останавливаясь на последнем шаге), вирус версии 4.0 (согласно манифест-файлу) был побежден.

Почему не удалось напрямую из настроек убрать галочку админправ для приложения, а только используя Avast? Скорее всего, стоит очередная ловушка с переопределенным методом.

Выводы

Разработчики вирусов находят все новые лазейки.
Но, так или иначе, браузер и операционная система стали лучше защищать пользователей.
Мне необходимо было нажать 2 подтверждения и поставить галочку в настройках «Неизвестные устройства».

Источник

HEUR: Trojan.AndroidOS — что это за вирус, как удалить

Иногда, при обычном использовании программ пользователь сталкивается с непредвиденными трудностями. В некоторых случаях это всплывающие окна о возможной угрозе со стороны сторонних файлов. Данный материал расскажет об опасном семействе вирусов «HEUR: Trojan», о которых часто сигнализирует Сбербанк Онлайн. Мы покажем как удалить зловреды AndroidOS.Agent.EB, AndroidOS.Dropper, Downloader.Script.Generic, Win32.Generic, Win32.Banker и другие подобные.

Что это за вирусы?

Семейство HEUR: Trojan – наиболее опасное из современных вирусов на Андроид, iOS и Windows, которое отличается расширенным функционалом, глубоким проникновением, а значит — увеличенным уровнем угрозы для пользователя.

AndroidOS обнаруженный Касперским

Данные зловреды пробираются в системные файлы смартфона или PC, клонируясь с небывалой скоростью, также может маскироваться под обычные файлы, процессы и безобидные приложения.

К сожалению, ввиду эволюции вредоносного ПО не всегда антивирусы могут предупредить владельца об угрозе скачиваемого файла или посещаемой страницы, что и обуславливает распространение подобной «инфекции». Современные системы защищены правами Администратора, однако и этот момент вирусы способны обходить.

Читайте также:  Ксиаоми андроид тв 32 дюйма

Из популярных «возможностей» HEUR:Trojan выделяют:

  1. Рассылка сообщений на платные номера, подтверждение платных подписок для вытягивания средств с баланса счёта.
  2. Воровство личных данных, в том числе паролей от финансовых ресурсов, номеров банковских карт со всеми вытекающими.
  3. Проникновение непосредственно в программы интернет-банкинга, электронных кошельков для беспрепятственного перевода средств на сторонние счета.

Звучит довольно ужасающе, не правда ли? Радует одно – эту вариацию вируса уже распознаёт большинство антивирусных программ Kaspersky, ESET, Dr.WEB, NOD, AVAST и другие.

Защита Сбербанк Онлайн, к примеру, уже при входе в систему идентифицирует попытку проникновения, предлагая удалить вирус. Однако, радоваться раньше времени не стоит – такое удаление не приведёт к полному уничтожению вируса.

Trojan.AndroidOS выявленный Сбербанком Онлайн

Какие вирусы бывают

Если говорить, про возможные причины появления зловредов, то здесь всё просто – банальная неосторожность в сети:

  1. Скачивание пиратских версий игр, иных apk-файлов на смартфон со сторонних ресурсов.
  2. Посещение сомнительных web-сайтов с множеством картинок, gif-изображений и гиперссылок. В таком случае, скачивание вируса может быть активировано случайным нажатием, в фоновом режиме.
  3. Обмен файлами с уже заражёнными пользователями – посредством Bluetooth, Облака и подобных сервисов.
  4. Переход по ссылкам в присылаемом спаме на почту или в SMS.

Из популярных вариаций HEUR:Trojan выделяют:

  • AndroidOS.Agent.EB или Androidos.Boogr.Gsh – устанавливает в систему специальную утилиту, внедряющую рекламу во все иные приложения. Используется для монетизации за счёт подобных показов.
  • Downloader.AndroidOS.Agent – СМС-вирус, используемый для платных подписок и отправки сообщений на тарифицируемые номера.
  • Script.Generic.Miner.Gen – продажа трафика пользователя, скачивание и перенаправление файлов (значительно замедляет и интернет-соединение).

Также существует тип Win32.Generic – это файл, находящийся под подозрением вирусной системы. К такому типу могут относится даже официальные приложения, в коде которых обнаружены отслеживающие или перехватывающие информацию скрипты.

Как удалить HEUR:Trojan.AndroidOS и подобные ему?

Базового предложения «Удалить» от того же Сбербанка, как уже упоминалось, недостаточно — но не стоит переживать о сложности проводимых манипуляций. Для решения проблемы подойдёт стандартные сканеры от Dr.Web, AVG или Kaspersky. Версии этих программ есть как для ПК, так и для мобильных OS.

Следуем простейшим инструкциям:

    1. Скачиваем любой из предложенных сканеров. Я, к примеру, для своего Xiaomi использую Касперский.
    2. Также хорошо зарекомендовал себя Dr.Web для смартфонов, так как его базы данных постоянно обновляются и он находит новейшие угрозы.
    3. С их помощью запускайте сканирование всех файлов, включая системные процессы.
    4. Обязательно снесите левые приложения, которые вы не используете, либо они загружены не из Маркета.
    5. Включите опцию «Защита Play Market».

    Активируйте опцию защиты в Маркете

    Далее – просто выбираем «Удалить» для всех подозрительных пунктов. Это более эффективно, нежели «Лечить» файлы, так как вирус может успеть распространиться в другие отсеки системы. Если в доступе вам отказано, тогда:

    1. Открывайте «Настройки» -> «Конфиденциальность» -> «Администраторы устройства». Снимите галочки со всего лишнего и снова запускайте проверку.
    2. При обнаружении угроз — показывается путь к опасному файлу. Можете вручную его открыть и стереть из системы. Total Commander позволяет с таким справится очень быстро.

    Касперский показывает путь

    Заключение

    Рекомендуем вам более скептически относится к «бесплатным» версиям оригинальных приложений. Лучше потратить несколько долларов и купить «лицензию», нежели потом потратить десятки из-за действия вредоносных утилит, отправки платных SMS. Также после удаления рекомендую обновить пароли, включите двойную аутентификацию.

    Источник

Оцените статью
© 2024 Ваши гэджеты