Триада 4563 доктор веб андроид

Вирусы Android.Triada в ассортименте.

#1 Lamme

  • Posters
  • 7 Сообщений:
  • Телефон MTS SMART Surf2 4G.

    Версия Андроид 6.0

    Установлен Dr.Web Light.

    После полной проверки удалены:

    Теперь периодически приходят сообщения об угрозе в приложении com.keone.push, вирус Android.Triada.348.origin.

    Выбираю «Удалить», но через какое-то время сообщение опять приходит.

    Можно как-то избавиться от этого радикально?

    #2 Lamme

  • Posters
  • 7 Сообщений:
  • Пока жду ответа появилось еще три сообщения об угрозах:

    Dr.Web все удалил, но, похоже, это не надолго.

    #3 Saint-Petersburg

  • Posters
  • 72 Сообщений:
  • По всей видимости антивирус что-то не ловит и этот троян подгружает остальные файлы. Скорее всего аналитики запросят следующее:

    В этой программе переходите на верхний уровень, и архивируете директорию /system, смотрите, что бы архив сохранялся на sd карте, это должно быть прописано в имени архива. (иначе будет ошибка). Поставьте пароль для архива «virus»
    2. https://play.google.com/store/apps/details?id=mobi.usage.appbackup

    В этой программе делаете бекап всех приложений и архивируете их (с паролем «virus»). Файлы приложений будут находиться примерно по такому пути /storage/sdcard0/Mobi_Usage_AppBackup
    3. Загрузите оба архива на файлообменник, например яндекс диск, и киньте сюда ссылку. Либо, может создать тикет с сылкой на файлы и запостить номер тикета.
    создать тикет: https://vms.drweb.ru/sendvirus/?lng=ru

    #4 Sergey Bespalov

  • Virus Analysts
  • 396 Сообщений:
  • Lamme,

    Пришлите файлы на анализ как указано выше. Скорее всего троян в системном разделе.

    Радикально избавиться от вирусов можно перепрошивкой.
    посмотрите тему по вашему устройству: https://4pda.ru/forum/index.php?showtopic=783035 .

    Сообщение было изменено Sergey Bespalov: 05 Февраль 2018 — 19:39

    #5 Lamme

  • Posters
  • 7 Сообщений:
  • Радикально избавиться от вирусов можно перепрошивкой.
    посмотрите тему по вашему устройству

    Это я читал. Для перепрошивки надо ставить и настраивать программы, в которых я ничего не понимаю. Да и нет никакой гарантии, что все это безобразие не повторится снова.

    Заархивировал, сделал бекап. Ссылки:

    Только когда архивировалась папка system, к некоторым вложенным папкам (общим числом 153) было отказано в доступе.

    Сообщение было изменено Lamme: 06 Февраль 2018 — 03:16

    #6 Sergey Bespalov

  • Virus Analysts
  • 396 Сообщений:
  • Lamme, На данный момент найден трой в настройках. /system/priv-app/Settings (Android.Lqsoft.1, Android.Lqsoft.4.origin).

    Удалять Настройки нельзя. Заблокируйте интернет для приложения «Настройки» (или «Settings») с помощью фаервола. Он есть в про версии или скачайте какой нибудь фаервол из маркета, например: https://play.google.com/store/apps/details?id=app.greyshirts.firewall&hl=ru
    Только проверьте что он действительно блокирует доступ в сеть. Например заблокируйте интернет для приложения youtube и попробуйте в него зайти и посмотреть видео.
    Пишити, если поможет с загрузками.

    #7 Lamme

  • Posters
  • 7 Сообщений:
  • Собственно, я и так хотел купить Pro версию.Но, насколько я понимаю, файрвол только создаст «затычку», а лечение невозможно? Или в перспективе лечение может появиться?

    Читайте также:  Android 12 для samsung galaxy s21

    Это я к тому, что мне стоит курить мануалы и готовить перепрошивку или подождать новых разработок Dr.Web?

    Сообщение было изменено Lamme: 07 Февраль 2018 — 22:26

    #8 pig

  • Helpers
  • 10 791 Сообщений:
  • #9 Lamme

  • Posters
  • 7 Сообщений:
  • Заблокируйте интернет для приложения «Настройки» (или «Settings»)

    Поставил Pro версию и оплатил лицензию. Во вкладке «Приложения» ни «Настроек», ни «Settings» и вовсе нет. Было какое-то непонятное приложение «Беспроводное обновление», ему я инет запретил.

    Чистая прошивка — это самый правильный путь.

    Как-то каждый раз прошивать телефон — так себе идея. Эдак я только этим и буду заниматься.

    #10 Sergey Bespalov

  • Virus Analysts
  • 396 Сообщений:
  • Lamme, Посмотрите внимательенее. Должен быть длинный список системных приложений. В нем и настройки.

    Скриншот с примером:

    Заблокировать доступ можно только сразу всем.

    Прикрепленные файлы:

    • device-2018-02-08-125811.png55,19К 0 Скачано раз

    Сообщение было изменено Sergey Bespalov: 08 Февраль 2018 — 13:45

    #11 Lamme

  • Posters
  • 7 Сообщений:
  • Посмотрите внимательенее. Должен быть длинный список системных приложений. В нем и настройки.

    Да, спасибо, нашел и заблокировал.

    #12 Lamme

  • Posters
  • 7 Сообщений:
  • Что-то блокировка ни хрена не помогает. Как включу «Вай-фай!, так моментом начинают устанавливаться г..оприложения с вирусами. Доктор антивирус их идентифицирует и удаляет, но только постфактум.

    #13 Sergey Bespalov

  • Virus Analysts
  • 396 Сообщений:
  • Выполните пожалуйста действия указанные ниже.

    2. Отключите интернет. Сделайте проверку и удалите вирусы.
    3. Запустите приложение Packet Capture, установите предлагаемый сертификат.
    4. Включите интернет, перейдите в Packet Capture и нажмите на кнопку в виде зеленого треугольника, что бы начать перехват трафика.
    5. Как dr.web задетектит трой, выключите интернет, выключите перехват трафика.

    Трояны, которые у вас детектятся весят по 200-300КБ.
    6. В Packet Capture посмотрите, какие приложения загружали больше 200КБ. Запомните или заскриньте эти приложения. Так же, кликните на сессию, затем кнопку сохранения, затем Save Both, и сохраните данные в файл на sd карте.

    7. Напишите сюда, какие приложения скачвали большой объеем трафика, и скиньте сохраненные файлы с данными.
    Packet Capture можно удалить

    Источник

    Triada: организованная преступность на Android

    Triada — это модульный троян, использующий права суперпользователя, чтобы заменять системные файлы, и исполняющий другие хитрые трюки, чтобы оставаться максимально незаметным

    Как обычно передвигаются армии: вперед посылают разведчиков, чтобы те узнали, все ли в порядке, и скорректировали маршрут для основных сил. По крайней мере, примерно так это выглядело до пришествия эпохи кибервойн. Как оказалось, троянцы ведут себя примерно так же.

    Существует очень много мелких троянцев для Android, которые получают права суперпользователя и используют их в своих грязных целях. Никита Бучка и Михаил Кузин, вирусные аналитики из «Лаборатории Касперского», могут с ходу назвать 11 семейств таких троянцев. Большинство из них практически безобидны — в основном они специализируются на показе рекламы и скачивании себе подобных. На Securelist есть целая статья, посвященная как раз таким зловредам.

    Читайте также:  Вася диагност для android

    Если продолжать военную аналогию, то эти «невинные» троянцы — как раз и есть разведчики. Как мы уже упоминали, права суперпользователя дают им возможность скачивать и устанавливать другие программы. Именно поэтому стоит одному такому троянцу попасть в систему, как через несколько минут в ней появляются и все остальные. Наши исследователи предположили, что рано или поздно их начнут использовать для доставки «на дом», то есть к вам в телефон, гораздо более опасных зловредов.

    Три летних семейства мобильных троянцев, использующих рут-права https://t.co/AbWUfkS69R

    Именно так и произошло. Мелкие троянцы вроде Leech, Ztorg и Gopro теперь скачивают один из самых сложных и хитрых троянов на сегодняшний день. Мы называем его Triada.

    Речь идет о модульном троянце, активно использующем root-привилегии для того, чтобы изменять системные файлы. Кроме того, он существует по большей части лишь в оперативной памяти устройства, поэтому его очень сложно засечь.

    Темный путь «Триады»

    Попав в устройство, эти троянцы первым делом собирают данные о системе: модель устройства, версия ОС, объем SD-карты, список установленных приложений и тому подобное. Затем зловред отправляет собранную информацию на командный сервер. Мы засекли целых 17 таких серверов, расположенных на четырех разных доменах. Как видите, авторы данного ПО вполне знакомы с тем, что такое резервирование.

    Получив сообщение от троянца, командный сервер в ответ посылает ему файл с конфигурациями, содержащий персональный ID зараженного устройства и набор настроек: через какие временные промежутки зловред должен будет связываться с сервером, какие модули ему нужно установить и тому подобное. После установки модулей они стираются из памяти устройства и остаются только в оперативной памяти. Так троянец прячет себя.

    Есть еще несколько причин, почему «Триаду» так сложно обнаружить и почему она так впечатлила наших исследователей. Во-первых, этот троянец модифицирует процесс Zygote. Это один из базовых процессов в ОС Android, который используется как своего рода основа для любого другого приложения. В результате, как только «Триада» добирается до «Зиготы», хитрый зловред становится частью каждого установленного на устройстве приложения.

    Во-вторых, «Триада» также умеет подменять системные функции и использует это для того, чтобы скрывать свои модули из списков запущенных процессов и установленных приложений. Поэтому жертва вообще не замечает, что что-то не так с устройством, и не беспокоится ни о чем.

    Это не весь список того, что троянец меняет в системе. Также «Триада» наложила свою лапу на отправляемые SMS и заполучила возможность фильтрации входящих сообщений. Именно таким образом киберпреступники решили монетизировать свою разработку.

    Много подробностей о том, как SMS-троянец служит вирусописателям, обходя CAPTCHA и делая другие крутые штуки: http://t.co/AmdIRxQlmK

    Некоторые приложения используют SMS вместо Интернета для совершения внутренних покупок. Основное преимущество такого метода — то, что для покупки не нужно подключение к Интернету. Пользователи не видят таких сообщений, так как они обрабатываются не программой для чтения SMS, а собственно приложением, инициирующим перевод, например, очередной условно бесплатной игрой для мобильного.

    Читайте также:  Взвесить с помощью андроида

    «Триада» использует этот прием, чтобы выводить деньги со счета пользователя. Троянец модифицирует финансовые сообщения таким образом, чтобы деньги приходили не на счет разработчиков мобильных приложений, а на счет преступников. В результате жертвами «Триады» становятся либо пользователи, не получившие игровую «плюшку», за которую заплатили, либо разработчики мобильных приложений, до которых не дошли деньги (если пользователь все-таки получил свой игровой предмет).

    Пока это единственный способ, с помощью которого преступники могут получать прибыль от «Триады», но не забывайте: мы говорим о модульном троянце. Стоит дописать еще пару модулей, отправить команду на их скачивание — и он может научиться делать буквально что угодно: права доступа у него для этого есть.

    Коллеги обнаружили банковский троянец Asacub, атакующий пользователей Android-устройств: https://t.co/OzaLCtkBcZ pic.twitter.com/kaZ4bWC2Sm

    Как прогнать преступников из своего телефона?

    Самое неприятное в истории с «Триадой» то, что от нее с большой вероятностью могут пострадать очень много людей. Согласно нашим данным, во второй половине 2015 года каждый десятый пользователь Android был атакован теми самыми мелкими троянцами, получающими права суперпользователя, которые среди прочего могут устанавливать на устройство «Триаду». Таким образом, жертвами этого троянца уже могут быть миллионы пользователей.

    Так как защитить себя от мерзкого проныры? Не так уж сложно.

    1. Во-первых, всегда устанавливать последние системные обновления. Мелким зловредам сложно перехватить root-привилегии в устройствах с Android 4.4.4 и выше, так как большое количество уязвимостей в этих версиях ОС было закрыто. Если на вашем телефоне установлена более-менее современная операционная система, вы находитесь в относительной безопасности. Однако наша статистика показывает, что около 60% пользователей Android сидят на Android 4.4.2 и более древних версиях этой ОС. И вот для них шанс заразиться весьма высок.

    2. Во-вторых, лучше вообще не испытывать судьбу и не подсчитывать вероятность тех или иных шансов. Надежную защиту вашего устройства обеспечит только хороший антивирус. Известно немало случаев, когда даже в официальных магазинах Google находили троянцев (собственно, мелкие зловреды, скачивающие «Триаду, как раз из таких). Так что рекомендуем вам установить надежное защитное решение.

    Kaspersky Internet Security для Android обнаруживает все три модуля, используемых «Триадой», и может защитить ваш счет от загребущих ручек создателей троянца. Только не забывайте, что в бесплатной версии мобильного антивируса сканирование нужно запускать вручную и достаточно регулярно.

    Подведем итоги: «Триада» — это еще один весьма наглядный пример неприятной тенденции. Разработчики вредоносного ПО начали воспринимать Android всерьез. Более того, они научились эффективно использовать его уязвимости.

    Образцы мобильных троянцев, обнаруженные нами в последнее время, почти такие же сложные и скрытные, как и их Windows-собратья. Единственный способ эффективной борьбы с ними — это не дать им попасть в устройство, поэтому так важно установить хорошее защитное решение.

    Источник

    Оцените статью