Главная » Android

Check virus in android

Содержание
  1. Как проверить телефон Android на вирусы
  2. Какие бывают вирусы
  3. Как определить заражение
  4. Самые опасные вирусы
  5. Проверка на вирусы
  6. Используем Play Защиту
  7. Встроенный антивирус
  8. Антивирусы из Play Маркет
  9. Как защититься от вирусов
  10. Заключение
  11. Исследование андроид-вируса
  12. dex2jar
  13. WinRAR

Как проверить телефон Android на вирусы

Android — это операционная система с открытым исходным кодом, которая установлена на 85% смартфонов в мире. Оба эти фактора играют на пользу разработчикам вредоносного софта, упрощая способ заражения телефонов вирусами.

На защиту девайсов становятся антивирусы, предустановленные в магазин приложений, прошивку или загруженные отдельно. Далее расскажем, как проверить телефон Android на вирусы и какие угрозы невозможно обнаружить/обезвредить противовирусным софтом.

Какие бывают вирусы

Условно, зараженный софт делят на:

  1. Шпионский — после проникновения в устройство, получает доступ к личной информации пользователя и передает ее на удаленные сервера.
  2. Троянский — маскируются под обычные приложения, стараются заразить как можно больше файлов и проникнуть на другие устройства.
  3. Майнерский — используют однокристальную систему, чтобы майнить криптовалюту.

Встречается зараженный софт/файлы, которые не причиняют вреда устройству и необходимы для заражения других устройств:

    При подключении к ПК. Передаче документа по Bluetooth, электронной почте или в мессенджере.

Как определить заражение

Симптомы заражения смартфона вирусами:

    В шторке уведомлений появляются рекламные объявления. Телефон звонит и отправляет СМС на неизвестные, платные номера. На рабочем столе появляются ярлыки приложений, которые не устанавливал пользователь. Чрезмерный нагрев устройства без нагрузки (может появиться после сильного удара девайса или попадания внутрь влаги).

Самые опасные вирусы

Существует тысячи угроз для смартфонов разного уровня, но на их фоне выделяются 3 самых интересных:

  1. Triada — троян, который, после проникновения на устройство, собирает о нем информацию и делится ей с удаленным сервером. Оттуда приходит инструкция о способе получить доступ к системе девайса, чтобы оставаться незаметным для антивирусного ПО. Главная цель трояна — перехватывать платежи в интернет-магазинах и интернет-банкингах, переводя деньги на чужие счета.
  2. xHelper — троян интегрируется с сервисам Google и начинает присылать пользователям рекламу. Его невозможно удалить даже при возвращении настроек к заводскому состоянию.
  3. Dirty COW —хакеры используют недоработку в ядре Linux, чтобы получить ROOT-права доступа и полностью захватить устройство. Опасности подвержены модели на базе Android с версии 1.0 до 6.0.1.

В 2015-2017 годах, неизвестные китайские производители предустанавливали в свою прошивку Triada и другой вредоносный софт.

Проверка на вирусы

Упомянем все способы, как проверить устройство, используя встроенный софт и антивирусы.

Используем Play Защиту

В Play Маркет ежедневно загружают сотни приложений и игр, которые проходят автоматическую модерацию, что оставляет шанс пропустить проект, зараженный вирусом. Учитывая эту проблему, Google добавила в свой магазин антивирус:

Шаг 1. Откройте Play Маркет.

Читайте также:  Как форматировать диск для андроид

Шаг 2. Тапните по аватару учетной записи.

Шаг 3. Выберите «Play Защита».

Шаг 4. Тапните по «Проверить». Начнется сканирование программ, установленных из магазина.

Шаг 5. Дождитесь окончания проверки.

Шаг 6. При обнаружении проблем, появится сообщение в шторке уведомлений.

Play Защита работает в фоновом режиме, самостоятельно проверяя приложения раз в 6-12 часов.

Встроенный антивирус

Бренды Xiaomi, Samsung, Realme, Oppo и другие добавляют в фирменные прошивки приложения для очистки и защиты смартфона от вирусов. Как с ними работать:

Шаг 1. Запустите приложение «Очистка», «Безопасность» или подобное.

Шаг 2. В списке инструментов выберите «Антивирус» или «Поиск вирусов».

Шаг 3. Стартует автоматическое сканирование файловой системы, установленного софта.

Чтобы увеличить эффективность сканирования:

Шаг 1. Откройте «Настройки» в окне проверки — имеют форму шестеренки.

Шаг 2. Включите «Полное сканирование», проверьте «Обновление БД» и активируйте дополнительные инструменты «AI-механизм», «Обычная проверка».

Почему не стоит полагаться на предустановленный антивирус:

  1. Производитель может отключить обнаружение вредоносного софта, предустановленного в прошивку.
  2. Имеющиеся базы данных уступают аналогам от крупных антивирусов, о которых расскажем ниже.
  3. На смартфонах, лишившихся поддержи, противовирусные базы не обновляются вовсе.

Антивирусы из Play Маркет

У всех крупных производителей антивирусного обеспечения, есть мобильные версии антивирусов, доступные на Android. Все они выложены в Play Маркет, похожи интерфейсом, но отличаются базами данных. В качестве примера рассмотрим Kaspersky Internet Security.

Шаг 1. Запустите приложение после установки.

Шаг 2. Прочтите пользовательское соглашение.

Шаг 3. Предоставьте доступ к памяти устройства.

Шаг 4. Пропустите окно с предложением купить платную подписку.

Шаг 5. Тапните «Проверка».

Шаг 6. Дождитесь окончания процесса.

Выбирая антивирус, обращайте внимание на:

    Разработчика. Среднюю оценку. Количество отзывов.

Малоизвестные китайские проекты создают видимость проверки и созданы для продвижения рекламы. Аналогичным образом работает часть приложений, оптимизирующих смартфоны: очищающих кэш, оперативную и постоянную память. В них антивирус добавлен с целью привлечь пользователей.

Стоит отказаться от продуктов Avast и AVG, обе компании были разоблачены в продаже личных данных пользователей.

Как защититься от вирусов

Что предпринять, чтобы избежать заражения:

    Не устанавливайте подозрительные приложения из Google Play. Не тапайте по рекламным баннерам, особенно на сайтах для взрослых. Не переходите по ссылкам на сайты, присланным в СМС, электронной почте или мессенджерах. Не загружайте программы и игры из неизвестных источников — в APK могут внедрить вирус.

Заключение

Проверка телефона на вирусы помогает выявить и избавиться от угрозы, избежав утечки личных данных или денег из интернет-банкинга. Не стоит пренебрегать этим и надеяться, что вы не заинтересуете злоумышленников.

Читайте также:  Читалка ворда для андроида

Источник

Исследование андроид-вируса

Всем привет. Недавно мне valdikss рассказал об андроид-вирусе, который может немало навредить пользователю, если он недостаточно внимателен. Мне захотелось узнать его внутренности, т.к. более или менее в последнее время занимаюсь ресерчем андроид приложений, но вирусы никогда еще не исследовал. До его рассмотрения, мне сразу бросилось в глаза название файла — android_update-1.apk. Первым делом делаю то, что делает каждый андроид ресерчер — распаковывает его dex2jar-ом (ну и параллельно можно посмотреть WinRAR-ом список файлов).

dex2jar

Когда я распаковал файл dex2jar-ом у меня получился красивый jar. Я обрадовался и кинулся смотреть его в JD-GUI.

Но, к сожалению, JD-GUI не смог полностью декомпильнуть получившийся файл, зато в самом конце файла были интересные строки.

Тут 2 варианта: либо вирус «китайского происхождения», либо ошибка кодировки. Думаю, пока рано делать выводы.

WinRAR

Как известно, APK — формат архивных исполняемых файлов-приложений для Android. Список файлов, которые входят в APK-архив, можно с легкостью просмотреть WinRAR-ом, что я и сделал.

На первый взгляд ничего особенного, но я знаю, что в папке assets разработчики хранят локальные файлы — html страницы, картинки, ну, в общем, локальные ресурсы, которые можно дергать из приложения.

Там я нашел файл classes.dex. Classes.dex — контейнер который, если мы распакуем, получим (если повезет) исходный код приложения под Android. По стандарту, файл classes.dex должен начинаться следующими байтами:

Что в ASCII — dex.035.
Но файл assets\classes.dex начинался так:

Явно зашифровано. Уже начинает проявляться логика работы зловреда. Когда мы скачиваем на смартфон и запускаем apk, он устанавливается, дергает из своих ресурсов файл classes.dex, расшифровывает, (по логике) получает какой то новый аpk, который и выполняет свою основную функцию.

Чтобы полностью понять как все работает, надо посмотреть действие зловреда в динамике. На реальном устройстве запускать — самоубийство. В качестве эмулятора я взял Genymotion, его преимущества как эмулятора описывать не буду, все здесь написано. Также, вместе с Genymotion, я использую Android Studio (в дальнейшем AS) 1.2 (нет слов, чтобы описать его слаженную работу). Когда мы запускаем Android Studio и Genymotion, они связываются с помощью adb. В Android Studio удобно смотреть лог работы приложения, в данном случае зловреда.

Установка apk привела к странной ошибке:

Я подумал: «все, зловред упал, вряд ли он запустится». Нажал на OK. Я частично знал, как он должен работать, так что перешел в Settings -> Security -> Device administrators и увидел, что он как раз заработал так, как надо, прописал уже себя в администраторах, заметите, он меня не спросил: «Ты согласен установить это приложение? Оно будет использовать такие-то права.», ну, как все приложения.

Если мы попытаемся удалить его из администраторов (нажав на checkbox, он отмечен красным), то вылезет окно:

Читайте также:  Google search android source

После нажатия на кнопку деактивации нас ждет сюрприз — приложение невозможно удалить.

Окейййй. Посмотрим сетевой трафик, вдруг он что-то куда-то шлет. В эмуляторе, на WiFi соединение, поставим прокси и перезагрузим эмулятор. Так я и думал — есть и сетевая активность

тело в POST-запросе пустое.

Откроем logcat в AS и посмотрим, вдруг это приложение что-то записывает в логах. Нам везет:

Вот что получается — зловред берет из ресурсов файл assets/classes.dex, расшифровывает, записывает в /data/data/com.adobe.jaguar/app_dex/new.apk.

Так. Чтобы теперь узнать, каков его основной фунционал, нам надо поймать файл new.apk. Устанавливаем total commander на андроид и переходим в /data/data/com.adobe.jaguar/app_dex/. Папка оказалось пустой, после запуска new.apk файл удаляется. Возник вопрос: как получить его? Сначала подумывал, не написать ли мне приложение под андроид, которое в цикле следит за папкой /data/data/com.adobe.jaguar/app_dex/ и когда зловред снова создаст этот файл, мое приложение скопирует его, и я наконец узнаю что, оно делает на самом деле. Хорошо, что я в некоторых вопросах ленивый. Немного подумав, решил поэкспериментировать над правами папки /data/data/com.adobe.jaguar/app_dex/, и тут тоже повезло — он создал файл new.apk и упал.

Копируем new.apk из андроид, распаковываем dex2jar-ом и декомпилируем с помощью JD-GUI.

Опять иероглифы… Я решил открыть получившийся файл luyten-ом, мало ли, вдруг JD-GUI не может что-то правильно декомпильнуть.

.
Да, я был прав, это не иероглифы, а зашифрованный текст, нашел функцию которая занимается расшифровкой, но из всего apk только этот класс был обфусцирован, luyten тоже упал на нем. Есть еще один декомпилер — DJ Java Decompiler, у него туго с графикой, поэтому я его использую только для просмотра отдельных классов, а не всего проекта. Он, как бы, смог декомпильнуть, но, к сожалению, я не смог понять, как именно идет расшифровка.

Класс который отвечает за расшифровку (буду рад если взгляните на код, с первого взгляда AES, но не факт):

Нам уже из сетевой активности известно, что по сети передаются POST-запросы, так что этот код отправит POST-запрос:

В некоторых участках кода я увидел функции, в именах которых есть слово из 4-х букв — «bank».

Теперь у нас есть полная картина, этот зловред — банковский троян, который маскируется под андроид апдейт для Adobe Flash Player. После установки создает сервисы com.adobe.jaguar:jaguar_bf и com.adobe.jaguar:jaguar_obs. Сканируют файловую систему (в теле new.apk нашел код) на предмет установленных программ банк-клиентов, если находит их, то читает файлы из папки shared_prefs и отправляет злоумышленнику.

Мораль:
1. Не устанавливайте root и банк-клиент на одном устройстве
2. Не доверяйте приложениям, скачанными из сторонних магазинов

Источник

Оцените статью
© 2024 Ваши гэджеты