Главная » Android

Что такое троян для андроид

Содержание
  1. Как удалить троян с телефона на базе Андроид быстро и навсегда
  2. Удаляем троян с помощью специальных антивирусных программ
  3. Ручное удаление троянского ПО
  4. Что делать, если троян не удаляется?
  5. Анатомия вымогателей для Android, часть 1

Как удалить троян с телефона на базе Андроид быстро и навсегда

Если на вашем смартфоне обнаружился вредоносный код, то нужно срочно от него избавиться. Ведь трояны получили свое название за принцип действия – они внедряются в систему, а затем выступают в роли передатчика, переправляя владельцу вируса информацию о ваших действиях в смартфоне и конфиденциальные сведения. Поэтому расскажем, как удалить троян с телефона Андроид.

Удаляем троян с помощью специальных антивирусных программ

Для телефона выпущено много приложений, которые используются для борьбы с вирусными атаками. Производители рекомендуют обязательно установить антивирус, чтобы у вас была защита от внедрения вредоносного кода. Если вы ищете ответ на вопрос, как удалить вирус трояна с телефона, то вероятнее всего у вас ранее не стояла защитная утилита либо вы выбрали некачественное ПО. Приведем примеры проверенных временем и пользователями антивирусных программ и расскажем о работе с ними.

Anti-Malware

Эта утилита хорошо известна пользователям компьютеров, для смартфонов аналог появился сравнительно недавно. Загрузить его можно из магазина приложений или официального сайта разработчика. После первого запуска сделайте следующее:

  • согласитесь с условиями использования утилиты;
  • войдите в меню сканирования;
  • запустите проверку;
  • дождитесь результатов.

Утилита находит все вредоносные коды на вашем телефоне, а также следы их деятельности (поврежденные файлы и прочие). Автоматически вам будет предложено очистить смартфон. После решения проблемы, как удалить троян с Андроида без рут, программа останется полезной для вас. Она в режиме реального времени защитит телефон от угроз из вне, в том числе от неосторожных действий пользователя (блокируется переход по сомнительным ссылкам).

Trojan Killer

Простой программой не решить вопрос, как удалить троян с Андроида. Geoluxis (вирус, внедряемый в систему геолокации), например, практически невозможно удалить антивирусами, кроме тех, которые узко направлены. В этом случае попробуйте применить Trojan Killer . Использовать его нужно по инструкции:

  • найдите в Play Market эту утилиту и установите ее на свой смартфон;
  • в меню приложений найдите иконку программы и нажмите на нее;
  • запустите сканирование с главного экрана;
  • удалите каждый обнаруженный троян при помощи зеленой кнопки справа от его называния.

Это программа не защитит вас в режиме реального времени, но зато она не займет много места на смартфоне и мастерски справляется с самыми опасными вилами вредоносных кодов.

Ручное удаление троянского ПО

Если при повторном сканировании после очистки телефона вы снова обнаружили троян, то необходимо запомнить его местоположение для удаления вручную. В этом случае операцию, как удалить троян с телефона, можно выполнить двумя способами.

Используем файловый менеджер

В этом случае вам потребуется скачать ES Проводник, который отображает скрытые файлы. После его установки необходимо выбрать инструкцию в соответствии с местом расположения трояна:

  1. Вирус находится среди хранимой информации в памяти смартфона. В этом случае достаточно найти и удалить вредоносный код. Пользователю даже не потребуются Root -права.
  2. Троян располагается в папках, связанных с работой системы. Удаляется только при наличии прав суперпользователя.
  3. Заражено обычное приложение. Удалите его через меню настроек.
  4. Вредоносный код повредил системную утилиту – остановите ее в диспетчере задач, а затем сотрите, используя Root -доступ.

После ручного удаления, проверьте состояние телефона антивирусной утилитой. Это позволит избавиться от дополнительных уязвимостей.

Как удалить троян с телефона с помощью компьютера

Удалить троян с телефона через компьютер можно двумя способами. Перед каждым вам необходимо будет подключить смартфон к устройству в режиме USB -накопителя. Затем действуйте одним из способов:

  1. Проверьте устройство при помощи антивируса компьютера. Как правило, это программное обеспечение более совершенно и имеет обширные базы, в которых есть записи о самых новых и сложных вариантах вредоносного кода.
  2. Вручную найдите папку с вирусом и удалите его файл. Часто трояны хранятся скрыто и защищены от удаления. Чтобы найти вредоносный код используйте программу для компьютера Total Commander , а защиту от удаления проведите при помощи Unlocker .

После завершения работы, перезагрузите смартфон и снова проверьте его антивирусной утилитой. В большинстве случаев вы избавитесь от вируса.

Что делать, если троян не удаляется?

Если все ваши усилия не привели к успеху, то решить проблему, как удалить троян с телефона Андроида, можно при помощи крайних мер. Важные фото и видео сохраните на облачном диске (если среди них не скрыт вирус), а затем используйте последовательно – сброс настроек и перепрошивку, если первый метод не помог.

Сброс настроек

Жесткий сброс можно сделать через обычное или системное меню.

  1. В первом случае вам потребуется найти в настройках пункт «Восстановление и сброс». Нажмите на него и согласитесь с условиями. Телефон после перезагрузки вернется в свое исходное состояние, удаляться даже обновления устройства и операционной системы. После загрузки телефона необходимо будет выждать время, чтобы устройство автоматически скачало нужные файлы и настроилось. Не торопитесь устанавливать свои приложения, в первую очередь скачайте антивирус и проверьте состояние устройства.
  2. Второй вариант сброса проводится во время перезагрузки смартфона. Как только появится стартовый экран, нажмите одновременно клавиши питания и уменьшения громкости. Если все сделано правильно, вы попадете в режим Recovery . При помощи клавиш питания и громкости найдите в этом меню пункт Hard Reset , подтвердите свой выбор.
Читайте также:  Шедоу андроид или нет

После сброса настроек вам придется заново зайти в свой аккаунт Google , зато все необходимые вам приложения будут восстановлены в автоматическом режиме.

Перепрошивка

Если все описанные выше способы не помогли, то помочь вам может только перепрошивка устройства. Людям, которые не знакомы с этой процедурой, лучше всего обращаться для проведения смены прошивки в сервисные центры или к более опытным пользователям. Если в процессе смены ПО что-то пойдет не так, ваш смартфон превратиться в бесполезный кусок пластика.

Это все способы, как удалить трояна с Андроида. Если вы знаете другие методы решения этой проблемы, поделитесь с нами в комментариях. Эта статья может быть полезна вашим друзьям, поделитесь ею с ними.

Источник

Анатомия вымогателей для Android, часть 1

Вымогатели (ransomware) представляют из себя особый тип вредоносных программ для мобильных устройств, количество которых постоянно растет. Вымогатели можно разделить на две большие группы: первые специализируются на блокировании экрана устройства пользователя (lock-screen ransomware), а вторые шифруют на нем данные (сrypto-ransomware). За несколько лет своей деятельности оба этих типа уже привели к значительным финансовым потерям пользователей, а также потерям их личных данных.

Подобно другим типам вредоносного ПО для Android, таким как, например, SMS-трояны, вымогатели существенно эволюционировали в течение последних нескольких лет, при этом VX-авторы адаптировали многие вредоносные техники, доказавшие свою эффективность в аналогичных вредоносных программах, для настольных систем.

Вымогатели как для Windows, так и для Android используют тему «полицейского вымогания» (police ransomware) в качестве темы для экрана блокировки. Данная тема является вполне эффективной, так как злоумышленники используют чувство вины пользователя, обвиняя его в просмотре или хранении нелегального контента на устройстве. Схожие черты мобильные вымогатели имеют и с печально известным семейством таких вредоносных программ для Windows как Cryptolocker, например, они используют стойкие криптографические алгоритмы при шифровании файлов таким образом, чтобы у пользователя не было пути восстановления доступа к зашифрованным файлам. Поскольку пользователь хранит на смартфоне значительно большее количество личных данных, угроза потери значительного количества данных пользователя существенно возрастает.

Одно из интересных наблюдений, которое нам удалось сделать, заключается в изменении географической ориентации злоумышленников со стран Восточной Европы на прочие страны. Например, подавляющее большинство жертв вымогателей семейств Android/Simplocker и Android/Lockerpin располагаются в США.

Оба вышеупомянутых типа вымогателей были очень распространенной проблемой для пользователей Windows начиная с 2013 г., когда популярность этих вредоносных программ у киберпреступников стала существенно повышаться, несмотря на то, что они были распространены и гораздо раньше. Заражение вымогателями приносило серьезные неприятности как для простых пользователей, так и для корпоративных.


Рис. Статистика обнаружений вымогателей для Android по данным ESET LiveGrid.

Использование злоумышленниками вымогателей именно для Android не является случайностью. Поскольку количество смартфонов на этой ОС растет из года в год, пользователи все чаще выбирают именно их для хранения личных и ценных данных. Соответственно, такой бизнес принесет им максимальное количество выгоды.

Возможные векторы заражения

Злоумышленники используют для вымогателей Android такую же маскировку, как и для других вредоносных программ, которая заключается в том, что пользователя убеждают в легитимности приложения. Различные популярные приложения, такие как игры, а также связанные с порнографией приложения, часто выбираются в качестве прикрытия и для увеличения вероятности компрометации потенциальной жертвы. В некоторых случаях, вредоносные APK-файлы снабжены значком и названием легитимного приложения. Другой сценарий предполагает прямое использование злоумышленниками легитимного приложения, в которое вставляется вредоносный код, при этом исходные функции приложения сохраняются. Поведение вредоносной программы может быть и незаметным для пользователя устройства, это происходит в том случае, когда авторы не полагаются на механизм блокировки экрана или шифрования файлов, как в случае с бэкдорами или SMS-троянами. Нужно отметить, что такое изменение легитимного приложения приведет к его нарушению целостности и несоответствию указанных в цифровой подписи данных.

Нужно отметить, что ни один из описываемых нами вымогателей не был обнаружен в магазине приложений Google Play. Однако, существуют случаи успешного обхода вредоносными программами постоянно улучшаемых мер безопасности Google для магазина Play. Наши аналитики обнаруживали и отправляли в Google сотни примеров вредоносного ПО для Android, включая, такое вредоносное ПО как Fake AV, шпионское ПО с функциями кражи учетных данных, трояны для кликфрода, бэкдоры, потенциально нежелательные приложения (PUA) с показом рекламы, прочие PUA-приложения и другие. Вирусописатели также применяют специальные методы заражения устройства таким образом, чтобы отложить срабатывание фактической полезной нагрузки путем использования загрузчиков (даунлоадеров), а также дропперов. С другой стороны, использование таких продвинутых техник как автоматическая установка вредоносного ПО drive-by download не является распространенным в Android.

Читайте также:  Открыть вкладку гугл андроид

Взаимодействие с управляющим C&C-сервером

После успешной установки в системе, большинство вредоносных программ для Android сообщают об этом «домой», т. е. на удаленный C&C-сервер. Как правило, это отправленное сообщение включает в себя некоторую основную информацию об устройстве, такую как, модель устройства, номер IMEI, используемый язык и т. д. В случае установки постоянного подключения между C&C-сервером и ботом, злоумышленник может отправлять ему команды для исполнения. Таким образом, злоумышленник может контролировать ботнет из устройств под управлением Android.

Некоторые примеры удаленных команд, которые поддерживают вымогатели для Android, приведены ниже:

  • открыть нужный URL-адрес в веб-браузере;
  • отправить SMS-сообщение всем контактам;
  • заблокировать или разблокировать устройство;
  • отправить злоумышленникам SMS-сообщения с устройства;
  • отправить злоумышленникам информацию о контактах жертвы;
  • выбрать нужный текст сообщения с требованием выкупа;
  • обновиться до новой версии;
  • разрешить или запретить хранение данных на устройстве;
  • разрешить или запретить подключение Wi-Fi;
  • отслеживать географическое расположение пользователя с использованием GPS.

Обычно для связи бота с удаленным сервером используется протокол HTTP, но в некоторых случаях мы также наблюдали использование для взаимодействия с C&C такого публичного сервиса как Google Cloud Messaging. Этот сервис позволяет приложениям под управлением Android на смартфонах обмениваться данными. Для вредоносных целей также используется сервис Baidu Cloud Push. Некоторые образцы вредоносных программ, которые мы анализировали, использовали анонимный сервис Tor (домены .onion) и протокол XMPP (jabber). Трояны для Android могут получать команды и посылать удаленно данные с использованием SMS-сообщений.

Задача заражения устройства пользователя под управлением Android вредоносной программой не является тривиальной задачей для злоумышленников. Даже для пользователей без установленного антивирусного решения, такого как ESET Mobile Security, существуют механизмы защиты от вредоносного ПО самой ОС. После обхода защитных механизмов злоумышленниками, они заинтересованы в том, чтобы вредоносная программа оставалась там как можно дольше.

Мы наблюдали использование вредоносными программами для Android различных механизмов самозащиты, которые препятствовали нарушению их деятельности или удалению из системы. Например, вымогатель Android/Lockerpin мог внештатно завершать процессы антивирусных решений. Одним из самых универсальных методов, который мы наблюдаем в использовании вирусописателями, причем все больше и больше, является получение привилегий администратора устройства (Device Administrator). Несмотря на то, что такой режим работы не является настолько опасным как получение прав root, он все равно предоставляет злоумышленникам расширенные полномочия будучи полученным на устройстве.


Рис. Примеры вредоносного ПО для Android, которое запрашивает права администратора в системе.

Легитимные приложения с привилегиями администратора устройства используют такие расширенные полномочия в ОС для различных целей, которые, как правило, связаны с безопасностью. Вредоносные приложения, напротив, используют их для своей самозащиты от удаления из системы. Перед удалением такого приложения из Android, его права Администратора должны быть отозваны. Некоторые вредоносные программы, такие как Android/Lockerpin, используют полученные привилегии для установки или изменения PIN-кода экрана блокировки.


Рис. Хронология появления вымогателей для Android.

Первые случаи появления вымогателей для Android сопровождались добавлением вредоносных функций к фальшивым антивирусам. Такие поддельные антивирусы были распространены уже долго время, начиная с 2012 года для Android и с 2004 года для компьютеров. Как следует из названия, такие программы показывают пользователю фальшивые сообщения о сканировании файлов на устройстве, а затем пытаются обмануть его, показывая сообщение с требованием оплаты дальнейших действий антивируса по обезвреживанию угрозы. Эти программы также называются «scareware», поскольку они вымогают денежные средства у жертвы после ее запугивания присутствием активного заражения устройства.

Большинство вымогателей с функцией блокировки экрана устройства для Windows используют тему правоохранительных органов (police ransomware) при запугивании пользователя. Схожий метод злоумышленники начали использовать в вымогателях и для Android. Подобный вид вымогателей существенно увеличивает возможность успешного вымогания денежных средств у пользователя, поскольку к жертве обращаются от имени правоохранительных органов, при этом им сообщается, что на устройстве были обнаружены незаконные действия.

Первым вариантом вымогателя-шифровальщика для Android стало семейство вредоносных программ под названием Simplocker в мае 2014 г. Последние три года вымогатели для Android продолжают свое развитие, за это время было обнаружено несколько новых семейств этого вредоносного ПО.

Читайте также:  Почему не все файлы видны android

Эта вредоносная программа была впервые обнаружена в середине 2013 г. и является примером фальшивого антивируса для Android, а также, фактически, первым вымогателем для Android. Как видно на рисунке ниже, пользовательский интерфейс вредоносного приложения пытается имитировать его законный аналог. Злоумышленники предусматривают такую функцию для убеждения пользователя в легитимности антивируса. Интересно отметить, что во время фальшивого сканирования файлов на диске, троян отображает названия действительно присутствующих на карте памяти файлов, что делает этот процесс еще более правдоподобным в глазах пользователя. Названия семейств вредоносных программ также указаны существующие, однако, никакого отношения к устройству пользователя они не имеют.



Рис. Внешний вид фальшивого антивируса Android Defender (Fake AV).

На данном этапе пользователь по-прежнему имеет доступ к настройке под названием «continuing unprotected», а также может закрыть приложение. Однако, запущенный вспомогательный сервис ОС, который принадлежит фальшивому антивирусу, делает смартфон практически непригодным для использования, постоянно отображая специальные окна с предупреждениями каждый раз, когда пользователь пытается запустить приложение. Выбрав настройку «Stay unprotected», пользователь всего лишь избавит себя от текущего всплывающего окна, при этом сразу же получив новое.


Рис. Закрепленное вредоносной программой сообщение лишает пользователя возможности нормальной работы с устройством.

В том случае, если владелец смартфона поддается на уловку злоумышленников и решает заплатить требуемую сумму для перехода на «полную версию антивируса», его разочарования на этом не заканчиваются. Спустя шесть часов после своего запуска в системе, вредоносная программа отобразит на весь экран устройства окно с порнографическими картинками, которое не может быть закрыто.


Рис. Экран блокировки Android Defender с порно-картинкой.

При оплате, владелец смартфона также оставляет злоумышленникам данные своей кредитной карты, которая может быть использована для проведения мошеннических транзакций. Как указано на скриншоте, мошенники предлагают пользователю скидку, снижая сумму до $89,99.

Антивирусный продукт ESET Mobile Security обнаруживает Android Defender как Android/FakeAV.B.

Вымогатель с функциями фальшивого антивируса и порно

Еще один тип вымогателя в виде поддельного антивируса копирует интерфейс не продукта Android Defender, а название легитимного приложения безопасности от Avast. Речь идет о вредоносной программе, которая обнаруживается антивирусными продуктами ESET как Android/FakeAV.E. Она использует бренд известного ресурса PornHub, чтобы найти свою аудиторию среди посетителей этого ресурса.


Рис. Вымогатель маскируется под приложение для просмотра порно.

После запуска приложения, пользователь вместо просмотра порнографических роликов получает сообщение, что его устройство нужно проверить на вирусы. После нажатия на кнопку OK, фальшивый антивирус, который внешне похож на Avast, запускает псевдо-сканирование.



Рис. Вымогатель Android/FakeAV.E маскируется под фальшивое антивирусное приложение Avast.

Информация, которую мошенники выводят пользователю, является довольно странной. Во-первых, само показываемое сообщение говорит о том, что «устройство находится в опасности и было заблокировано по соображениям безопасности». Далее, предлагается приобрести расширенную версию псевдо-защитного ПО. Подобное поведение выдает пользователю истинные намерения полученного им ПО, так как блокирование устройства явно не соответствует функциям легитимного антивируса. Отображаемый для пользователя экран с сообщением требует от него выплату штрафа в размере $100, чтобы избежать возможных правовых последствий.


Рис. Оплата выкупа для Android/FakeAV.E.

У нас сложилось впечатление, что авторы этого вымогателя скопировали текст сообщение с требованием выкупа у другой вредоносной программы, так как в тексте встречаются те же грамматические ошибки.

Вымогатели для Windows использовали различные темы для демонстрации в качестве экрана блокировки. Некоторые более ранние образцы использовали тему синего экрана смерти (BSOD) или сообщение об активации Windows. Мы обнаруживали различные темы, которые злоумышленники использовали для экрана блокировки, однако, наиболее распространенным из них была тема правоохранительных органов (полиции).

Такие полицейские вымогатели утверждали, что устройство было заблокировано местными правоохранительными органами, так как на нем было обнаружен незаконное содержимое, либо с устройства осуществлялась противоправная деятельность. В качестве текста для экрана блокировки использовался, иногда, брались статьи из уголовного кодекса. Текст также утверждал, что при оплате соответствующей суммы, пользователь освобождается от ответственности. Этот тип вымогателей часто использует геолокацию на основе IP-адреса, чтобы выбрать нужный баннер со значком правоохранительных органов нужного государства.


Рис. Первый полицейский вымогатель был нацелен на русскоговорящих пользователей Android.

Первые экземпляры полицейских вымогателей для Android появились в первой половине 2014 г. и были направлены против русскоговорящих пользователей. Вскоре после этого, были обнаружены варианты и на английском языке.



Рис. Вымогатель Android/Locker использует снимки камеры и геолокацию для запугивания пользователя, на примерах указаны экраны блокировок для России, Украины, Казахстана.



Рис. Вымогатель Android/Koler переключился на компрометацию англоязычных пользователей.

Антивирусные продукты ESET обнаруживают экземпляры вышеприведенных вымогателей как Android/Koler и Android/Locker.

Источник

Оцените статью
© 2024 Ваши гэджеты