Android update apk что это

Исследование андроид-вируса

Всем привет. Недавно мне valdikss рассказал об андроид-вирусе, который может немало навредить пользователю, если он недостаточно внимателен. Мне захотелось узнать его внутренности, т.к. более или менее в последнее время занимаюсь ресерчем андроид приложений, но вирусы никогда еще не исследовал. До его рассмотрения, мне сразу бросилось в глаза название файла — android_update-1.apk. Первым делом делаю то, что делает каждый андроид ресерчер — распаковывает его dex2jar-ом (ну и параллельно можно посмотреть WinRAR-ом список файлов).

dex2jar

Когда я распаковал файл dex2jar-ом у меня получился красивый jar. Я обрадовался и кинулся смотреть его в JD-GUI.

Но, к сожалению, JD-GUI не смог полностью декомпильнуть получившийся файл, зато в самом конце файла были интересные строки.

Тут 2 варианта: либо вирус «китайского происхождения», либо ошибка кодировки. Думаю, пока рано делать выводы.

WinRAR

Как известно, APK — формат архивных исполняемых файлов-приложений для Android. Список файлов, которые входят в APK-архив, можно с легкостью просмотреть WinRAR-ом, что я и сделал.

На первый взгляд ничего особенного, но я знаю, что в папке assets разработчики хранят локальные файлы — html страницы, картинки, ну, в общем, локальные ресурсы, которые можно дергать из приложения.

Там я нашел файл classes.dex. Classes.dex — контейнер который, если мы распакуем, получим (если повезет) исходный код приложения под Android. По стандарту, файл classes.dex должен начинаться следующими байтами:

Что в ASCII — dex.035.
Но файл assets\classes.dex начинался так:

Явно зашифровано. Уже начинает проявляться логика работы зловреда. Когда мы скачиваем на смартфон и запускаем apk, он устанавливается, дергает из своих ресурсов файл classes.dex, расшифровывает, (по логике) получает какой то новый аpk, который и выполняет свою основную функцию.

Чтобы полностью понять как все работает, надо посмотреть действие зловреда в динамике. На реальном устройстве запускать — самоубийство. В качестве эмулятора я взял Genymotion, его преимущества как эмулятора описывать не буду, все здесь написано. Также, вместе с Genymotion, я использую Android Studio (в дальнейшем AS) 1.2 (нет слов, чтобы описать его слаженную работу). Когда мы запускаем Android Studio и Genymotion, они связываются с помощью adb. В Android Studio удобно смотреть лог работы приложения, в данном случае зловреда.

Установка apk привела к странной ошибке:

Я подумал: «все, зловред упал, вряд ли он запустится». Нажал на OK. Я частично знал, как он должен работать, так что перешел в Settings -> Security -> Device administrators и увидел, что он как раз заработал так, как надо, прописал уже себя в администраторах, заметите, он меня не спросил: «Ты согласен установить это приложение? Оно будет использовать такие-то права.», ну, как все приложения.

Если мы попытаемся удалить его из администраторов (нажав на checkbox, он отмечен красным), то вылезет окно:

Читайте также:  Tv box android player q прошивка

После нажатия на кнопку деактивации нас ждет сюрприз — приложение невозможно удалить.

Окейййй. Посмотрим сетевой трафик, вдруг он что-то куда-то шлет. В эмуляторе, на WiFi соединение, поставим прокси и перезагрузим эмулятор. Так я и думал — есть и сетевая активность

тело в POST-запросе пустое.

Откроем logcat в AS и посмотрим, вдруг это приложение что-то записывает в логах. Нам везет:

Вот что получается — зловред берет из ресурсов файл assets/classes.dex, расшифровывает, записывает в /data/data/com.adobe.jaguar/app_dex/new.apk.

Так. Чтобы теперь узнать, каков его основной фунционал, нам надо поймать файл new.apk. Устанавливаем total commander на андроид и переходим в /data/data/com.adobe.jaguar/app_dex/. Папка оказалось пустой, после запуска new.apk файл удаляется. Возник вопрос: как получить его? Сначала подумывал, не написать ли мне приложение под андроид, которое в цикле следит за папкой /data/data/com.adobe.jaguar/app_dex/ и когда зловред снова создаст этот файл, мое приложение скопирует его, и я наконец узнаю что, оно делает на самом деле. Хорошо, что я в некоторых вопросах ленивый. Немного подумав, решил поэкспериментировать над правами папки /data/data/com.adobe.jaguar/app_dex/, и тут тоже повезло — он создал файл new.apk и упал.

Копируем new.apk из андроид, распаковываем dex2jar-ом и декомпилируем с помощью JD-GUI.

Опять иероглифы… Я решил открыть получившийся файл luyten-ом, мало ли, вдруг JD-GUI не может что-то правильно декомпильнуть.

.
Да, я был прав, это не иероглифы, а зашифрованный текст, нашел функцию которая занимается расшифровкой, но из всего apk только этот класс был обфусцирован, luyten тоже упал на нем. Есть еще один декомпилер — DJ Java Decompiler, у него туго с графикой, поэтому я его использую только для просмотра отдельных классов, а не всего проекта. Он, как бы, смог декомпильнуть, но, к сожалению, я не смог понять, как именно идет расшифровка.

Класс который отвечает за расшифровку (буду рад если взгляните на код, с первого взгляда AES, но не факт):

Нам уже из сетевой активности известно, что по сети передаются POST-запросы, так что этот код отправит POST-запрос:

В некоторых участках кода я увидел функции, в именах которых есть слово из 4-х букв — «bank».

Теперь у нас есть полная картина, этот зловред — банковский троян, который маскируется под андроид апдейт для Adobe Flash Player. После установки создает сервисы com.adobe.jaguar:jaguar_bf и com.adobe.jaguar:jaguar_obs. Сканируют файловую систему (в теле new.apk нашел код) на предмет установленных программ банк-клиентов, если находит их, то читает файлы из папки shared_prefs и отправляет злоумышленнику.

Мораль:
1. Не устанавливайте root и банк-клиент на одном устройстве
2. Не доверяйте приложениям, скачанными из сторонних магазинов

Источник

Updater: что это за программа и нужна ли она на Андроид?

Каждая программа, которую пользователь устанавливает на свой ПК, имеет свою задачу. Один софт необходим для стабильной работы системы, другой, чтобы расширить функционал и настройки. Среди них в особую группу выделяется еще один вариант – так называемый Updater.

Аналогичный вариант ПО используется не только для компьютеров, но и стабильной работы смартфонов и гаджетов на Андроид.

Читайте также:  Андроид нет строки состояния

Что это

Update в переводе означает «обновление». Взяв за основу это определение, легко вникнуть в суть термина.

Простой перевод и все становится на свои места. Отсюда понятие Updater представляет собой специальный инструмент для установки обновлений.

Среди Update также есть разделение в зависимости от плана инсталляции:

  1. Софт для обновления операционных систем.
  2. Программы обновляющие драйвера.
  3. Продукты для установки изменений приложений.

Driver Updater. Обновить драйвера на системах Windows в автоматическом режиме практически невозможно, поэтому единственный доступный вариант – воспользоваться таким инструментом как «Диспетчер устройств».

С поиском необходимого драйвера бывают проблемы. Софт для обнаружения необходимого пакета, который обеспечит корректность работы всего устройства, не всегда качественно выполняет свои задачи.

Автоматический поиск в этой ситуации мог бы справиться лучше, поскольку отправляет свои запросы непосредственно на официальные страницы производителей софта или собственно разработчиков ПО

В числе особенностей отсутствие цифровой подписи или сертификата при нестандартных устройствах в файле установщика драйвера (EXE или INF). Поскольку требование соблюдать легитимность при таких условиях не выполняется, апдейтер игнорирует данную информацию.

Обновление Windows, Андроид и др.
Для популярных операционных систем также разработаны свои версии Updater. Среди них стоит выделить предустановленный «Центр обновления». Используется как автоматический апдейт, так и ручной режим поиска и инсталляции.

Нужна ли

Программы и приложения постоянно дорабатываются, что помогает нивелировать предыдущие пробелы при разработке софта и усовершенствовать существующие направления. Без нововведений и Update невозможно поддерживать стабильность работы установленного софта, оптимизировать подходы и избежать ошибок в момент загрузки или решения поставленных задач.

Для этого существует целое направление – Updater, которое актуально как для ОС компьютеров и гаджетов с различными операционными системами, в том числе и на Андроид.

Источник

Dadaviz

Ваш IT помощник

Last-browser-update.apk — что это и как удалить?

Всем привет! Сегодня мы расскажем о новом вирусе на устройствах Андроид — last-browser-update.apk. Вы узнаете что это такое и как этот файл сам скачивается на телефон. Вы узнаете о самом простом способе по удалению last browser update apk из телефона.

Буквально недавно на устройства под управлением Андроид, обрушился новый вирус, который скачивает на телефон зараженный apk-файл, замаскированный под новое обновление мобильного браузера. Неопытные пользователи устанавливают этот файл, подвергая опасности свой телефон.

Что это за вирус?

Под этой незаметной загрузкой скрывается крайне опасный троян Android.bankbot.75.origin. Основная угроза от last-browser-update.apk — это перехват ваших личных данных (сообщения, контакты, история звонков, история запросов браузера, данные от аккаунтов). Также, троян ориентирован на банковские мобильные приложения, через которые может получить доступ к вашим личным картам.

Распространяется вирус следующим методом, используя «дыру» в сервисе контекстной рекламы Adsense, злоумышленники размещают на сайтах свою рекламу, перейдя по которой, на телефон начинает скачиваться last-browser-update.apk. Также, возможны следующие варианты загрузок — important-browser-update.apk, например.

Если вы увидели это скачанное приложение на своем телефоне — не устанавливайте его!

Судя по отзывам пользователей, в основном, эта троянская программа распространяется на популярных новостных сайтах. Поэтому, стоит уделить большое внимание кликам по рекламе на таких ресурсах.

Читайте также:  Миракаст апк для андроид

Как удалить last-browser-update.apk?

В скором времени, в соответствующих компаниях обработают жалобы пользователей и закроют все «дыры», через которые скачивается троянская программа. А пока, давайте немного расскажем о том, что можно сделать, что бы удалить last browser update apk (или important-browser-update.apk) из телефона.

  1. Для начала, удаляем в папке загрузок сам файл, можно воспользоваться файловым менеджером. Если вы её не устанавливали, то больше ничего делать не нужно — троян остается всего лишь загрузкой, пока его не установишь.
  2. Если вы нажали по загрузке и установили её, тогда необходимо проверить телефон антивирусными программами на Андроид — Dr. Web, Касперский или ESED.
  3. Например, Dr. Web определяет даже сам установочный файл как android.bankbot.75.origin и удаляет его. Внимание! Проверьте наличие root-доступа на телефоне.
  4. После проверки поменяйте пароль от учетных записей (Google аккаунта, банковских приложений и почты).

На этом все! Если у Вас возникли трудности с удалением, отпишитесь в комментариях.

Источник

APKUpdater

вкл. 16 Декабрь 2019 . Опубликовано в Android Market

APKUpdater — небольшая утилита, которая умеет проверять наличие обновлений для программ на популярных альтернативных сервисах APKMirror и APKPure. Она пригодится пользователям, которые любят устанавливать программное обеспечение из сторонних источников, или тем, кто решил отказаться от использования сервисов компании Google.

Основным источником программного обеспечения для устройств под управлением Android является каталог Google Play. Однако некоторые разработчики по разным причинам распространяют свои приложения самостоятельно. В этом случае приходится включать опцию, разрешающую установку сторонних программ, а затем скачивать и инсталлировать apk-файл. В этом нет ничего страшного, за исключением одного — обновлений.

Когда вы используете Google Play, то вам нет необходимости беспокоиться об обновлениях программы — всё происходит автоматически. Совсем другое дело, если программа установлена вами самостоятельно. В этом случае приходится вручную проверять сайт разработчика в поисках новых версий. Это отнимает время, поэтому большинство пользователей обычно перестают это делать.

Небольшая утилита APKUpdater решает эту проблему. Она составляет список всех установленных на вашем устройстве программ, а затем проверяет наличие обновлений для них. Причём делает это не только в Google Play, но и в альтернативных источниках — APKMirror и APKPure.

Список программ, имеющих новые версии, отображается на вкладке Updates главного окна APKUpdater. Здесь же представлены ссылки, по которым можно скачать необходимые установочные файлы. В настройках утилиты можно задать частоту проверки обновлений, разрешить отображение уведомлений о новых версиях и выбрать источники скачивания установочных файлов.

Утилита APKUpdater пригодится всем пользователям, которые любят устанавливать программное обеспечение из сторонних источников, или, например, вообще решили отказаться от использования сервисов компании Google. С её помощью они смогут своевременно узнавать о выходе новых версий программ и без проблем их загружать.

Скачать приложение APKUpdater на Андроид бесплатно вы можете по ссылке ниже.

Разработчик: rumboalla
Платформа: Android 2.3 и выше
Язык интерфейса: Английский
Состояние: [Mod]
Root: Не нужен

Источник

Оцените статью