- Android gmobi как удалить
- Как удалить Android.Gmobi.1 ?
- Android.Gmobi.1 and Gmobi.2
- #1 XP1001
- Прикрепленные файлы:
- #2 maxic
- #3 XP1001
- #4 maxic
- #5 Sergey Bespalov
- #6 XP1001
- #7 maxic
- #8 XP1001
- #9 Sergey Bespalov
- #10 XP1001
- #11 Антон_87
- #12 maxic
- #13 Антон_87
- #14 sergeysimonov
- #15 maxic
- Android.Gmobi.1
- ActionActivity
- PushThread
- Компонент ReliableDownloadManager
- LocationService
- AppUsageMonitor
Android gmobi как удалить
Android Gmobi 1 опасный вирус. Из нашей статьи вы узнаете где он находится, как действует и какой вред несет, а так же как бороться с этой заразой. Android.Gmobi.1 далеко не новый вирус, но многие пользователи все еще хватают его в сети из-за незащищенности версий андроида от 2.0 и вплоть до прошивок нового поколения. Это троянский конь, который ставит под угрозу программную оболочку системы, что само собой влияет на утечку информации, личных данных, переписок и любой другой конфиденциальной информации. Не будем запугивать читателя и поэтапно расскажем что это за беда.
Android.Gmobi.1 — представляет несколько модулей программного вирусного кода, которые при необходимости выкачиваются и обновляются. Может быть вшит в сторонние приложения, но так же может попасть через прошивку, скачанную из неофициальных источников.
Если ваш телефон не защищен антивирусом — троян производит попытку перехвата личных данных пользователя и постоянно показывает рекламные ссылки и баннера выскакивающие в разных местах экрана. Так же зловредный код спамит в любых местах с уведомлениями: в верхней панельке «быстрых уведомлений», диалоговых окнах, в любых программах или играх установленных из Google Play Market.
Вирусу достаточно всего одного «живого» куска что бы продолжать жить в устройстве. При первом включении интернета все остальные части будут скачаны. К тому же если злоумышленникам не удалось перехватить данные — они собирают статистику с вашего телефона, а так же могут собирать информацию по вводу с клавиатуры, а это ваши данные и пароли. Вот основные «темные» стороны воздействия вируса. Если вы замечаете на телефоне следующие симптомы или один:
- Горит иконка «закачки», что-то постоянно обновляется без вашего ведома и уведомлений -это может быть опасным сигналом, т.к. может качаться вредоносное ПО, другие вирусы.
- Сами запускаются приложения, в них открываются рекламные вкладки.
- Рекламные вкладки открываются в играх и приложениях где их раньше не было.
- Браузер ведет себя непонятно — сам открывает вкладки, запускаются баннера с рекламой, непроизвольный переход по ссылкам.
Значит телефон точно заражен вирусом, если не данным видом, то скорее всего другим.
Не путайте обычную рекламу от Гугла в играх и программах — такая реклама обычно располагается в небольшом окошке, не мешает работе приложения и может быть закрыта.
Как удалить Android.Gmobi.1 ?
Я надеюсь у каждого разумного пользователя телефона уже установлен антивирус, который предназначается прежде всего для защиты от попадания вредных программ и кодов на устройство.
Из бесплатных отлично зарекомендовали себя Касперский антивирус, а так же Dr.Web, их бесплатных версий хватит для базовой защиты телефона. Недавно мы писали о новом отличном антивирусе, ознакомиться с которым можно тут: Quick Heal Mobile Security для Android
Android Gmobi уже внесен во многие антивирусные базы и теперь легко определяется и удаляется.
Редко случается что вирус вшит в саму прошивку операционной системы и находится в ядре системных файлов.
Тут вариантов несколько:
- Если дело не в прошивке поможет «Сброс настроек» для этого достаточно зайти в меню «Настройки» и найти пункт «Восстановление и сброс». Но учтите, удалять придется все приложения. Рекомендую сохранить только телефонную книгу, контакты, все остальное легко установить с нуля из Плей Маркета.
- Версии Андроида от 4 выше поддерживают загрузку в «Безопасном режиме». Что бы перезагрузить телефон в таком режиме нажмите кнопку питания, а затем задержите палец ни иконке «Отключить питание» телефон предложит перезагрузить телефон в безопасном режиме. В таком режиме проверьте антивирусом всю память телефона, включая флеш карту.
Как войти в безопасный режим Андроид
Безопасный режим Андроид
Не пожалейте времени, пусть ваши данные и личная жизнь будут в безопасности.
Евгений Загорский
IT специалист. Автор информационных статей на тему Андроид смартфонов и IOS смартфонов. Эксперт в области решения проблем с компьютерами и программами: установка, настройка, обзоры, советы по безопасности ваших устройств. В свободное время занимается дизайном и разработкой сайтов.
Источник
Android.Gmobi.1 and Gmobi.2
#1 XP1001
Всё на screen’ах.
Как удалить .1
7мес.) использования лицензии, проверка осуществилась первый раз.
Прикрепленные файлы:
Android.Gmoib.1 and .2.jpg189,27К 1 Скачано раз
#2 maxic
Keep yourself alive
XP1001, рутовать устройство и удалить.
#3 XP1001
maxic, ОК
если не сложно измените заголовок i и b поменяйте местами
Сообщение было изменено XP1001: 24 Апрель 2016 — 15:49
#4 maxic
Keep yourself alive
XP1001, изменил на совсем очевидное.
#5 Sergey Bespalov
XP1001, Этот троян встроенр в ASUS Web Storage. Обновите это приложение через google play, из актуальной версии трой убрали. Детектируемый файл останется в прошивке, но после установки обновления он не будет представлять угрозы и его можно проигнорировать.
должно быть написано что оно у вас уже установлено, и активна кнопка «обновить»
Сообщение было изменено Sergey Bespalov: 24 Апрель 2016 — 16:02
#6 XP1001
Sergey Bespalov,
Мммм, так, интересно. Хорошо.
root необходим производить?
Сообщение было изменено XP1001: 24 Апрель 2016 — 16:13
#7 maxic
Keep yourself alive
XP1001, для обновления рут не нужен. Но если хочется удалить исходный файл из системы — то да.
#8 XP1001
maxic, OK
Всем спасибо .
Сообщение было изменено XP1001: 24 Апрель 2016 — 16:14
#9 Sergey Bespalov
XP1001, нет. root делать не обязательно. Только если вы хотите удалить это приложение полностью и навсегда.
Достаточно обновить приложение из Google Play и использоваться будет новая версия, а от старой останется только детектируемый файл, но он будет не опасен. (Старая версия будет восстановлена при откате к заводским настройкам).
#10 XP1001
Sergey Bespalov ,
Угу, спасибо. Понятно(ее)! )
#11 Антон_87
Здравствуйте! Тоже словил трояна Android.Gmobi.1 на телефоне, DrWeb Light определил его, как системное приложение и определил его по пути /system/app/RockClient.apk. Пробовал после рутирования телефона в Безопасном режиме DrWeb-ом его удалить (в инете вычитал), не получается, DrWeb в Безопасном режиме запускается с ошибкой и не получается просканировать. Как вирус можно удалить не перепрошивая?
#12 maxic
Keep yourself alive
Антон_87, удалить файловым менеджером, который умеет использовать рут.
#13 Антон_87
maxic, удалил, телефон чист. Спасибо за помощь!
#14 sergeysimonov
привет,ребята надеюсь ответите в кротчайший срок! На телефоне вирус Android.gmobi4, подскажите как удалить? Наличие рут прав есть,телефон выключил чтобы вирус его не мучал))) помогите пожалуйста добрые люди!1! хоть у меня брат програмист его просить как стрёмно)) а сам не туда не сюда!
#15 maxic
Keep yourself alive
sergeysimonov, создать свою тему и там всё описать.
Источник
Android.Gmobi.1
Добавлен в вирусную базу Dr.Web: 2016-03-12
Описание добавлено: 2016-03-17
- 90f044607f37ccc795af8a8d87eef2fae071104f
- 45273fc93befb963015bbb99ae67bcf596412cc1 (dex)
- 9fef8711a2cce4b2e46f93f29bc4b3153d719af1 (RockClient.odex , детектируется как Android.Gmobi.3)
Троянский SDK (Software Development Kit), встраиваемый в Android-приложения и предназначенный для показа рекламы, загрузки и установки ПО, а также сбора конфиденциальной информации. Может содержаться в различных программах. В частности, был обнаружен в таких приложениях как com.rock.gota (системное ПО для обновления прошивки Micromax AQ5001), Trend Micro Dr.Safety, Dr.Booster и Asus WebStorage.
При каждой загрузке зараженного устройства (android.intent.action.BOOT_COMPLETED), а также при установке новых приложений (android.intent.action.PACKAGE_ADDED) Android.Gmobi.1 при помощи широковещательного приемника (BroadcastReceiver) ActionMonitor запускает сервис ActionService.
Далее ActionService проверяет, активны ли остальные компоненты вредоносной программы и, если это необходимо, инициализирует их работу. Затем устанавливает системному сервису AlarmManager задачу на отправку сообщений приемнику ActionMonitor каждые 60 секунд, тем самым обеспечивая его непрерывную работу.
ActionActivity
Один из широковещательных приемников (BroadcastReceiver), зарегистрированных в ActionMonitor, отслеживает состояние экрана инфицированного устройства. После получения сообщения о том, что экран включен (android.intent.action.SCREEN_ON), проверяет собственную локальную базу данных на наличие информации о рекламе, которую нужно показать пользователю. Если эти данные имеются, происходит запуск ActionActivity, с использованием которого показывается реклама нескольких типов:
- реклама в панели уведомлений;
- реклама в виде диалогового окна;
- реклама в виде интерактивных диалоговых окон – при нажатии кнопки «Ok» происходит отправка СМС (если у приложения, в которое встроен вредоносный SDK, есть на это соответствующие права);
- рекламный баннер поверх окон других приложений и графического интерфейса ОС;
- открытие заданной страницы в веб-браузере или в приложении Google Play;
- автоматический запуск приложений, уже установленных на устройстве;
- скачивание приложений через системный сервис DownloadManager с использованием заранее известных ссылок, которые без спроса пользователя ставятся в очередь загрузок.
PushThread
Запускается при подключении к Интернету и при включении экрана. Прекращает работу при отключении интернет-соединения или через 60 секунд после выключения экрана. Заносит в локальную базу данных список установленных на устройстве приложений.
Собирает следующую информацию:
- email-адреса пользователя;
- наличие роуминга (есть или нет);
- координаты пользователя (используется GPS или данные мобильной сети);
- техническая информация об устройстве: наименование производителя, IMEI- и IMSI-идентификаторы, MAC-адрес Bluetooth- и WI-Fi-адаптера, размеры экрана, данные о приложении, содержащем вредоносный SDK, версия SDK и некоторые другие сведения;
- страна нахождения пользователя, определяемая при помощи GPS (если GPS недоступен, используется информация сети NetworkCountryIso, SIM-карты, а также Locale);
- наличие установленного приложения Google Play,
после чего шифрует эти данные и отправляет их на сервер http://api.fotapro.com/api/push/connect. Пример сформированных троянцем данных, отправляемых на сервер:
В ответ от сервера получает зашифрованный JSON (Java Script Object Notification), который содержит конфигурационный файл, включающий, среди прочего, адрес TCP-сервера (tcp://) и параметр «mode». В зависимости от параметра «mode», PushThread в дальнейшем может по протоколу TCP подключаться к управляющему серверу, откуда получает аналогично сформированный JSON с командами «messages».
Среди принимаемых команд могут быть следующие:
- сохранить в базу данных информацию о рекламе, которую необходимо показать пользователю;
- создать рекламный ярлык на рабочем столе (нажатие на этот ярлык запускает ActionActivity с рекламой);
- показать уведомление с рекламой (нажатие на уведомление запускает ActionActivity);
- показать уведомление, нажатие на которое приведет к запуску уже установленного приложения;
- автоматически загрузить и установить apk-файлы с помощью ReliableDownloadManager (установка не скрытая);
- скрытно установить apk-файлы с помощью ReliableDownloadManager (используется pm install).
Перечисленные команды могут содержать в себе специальные фильтры:
- по IMEI;
- по имени приложения, в которое внедрен вредоносный SDK;
- по региону проживания пользователя;
- по текущему мобильному оператору;
- по наименованию производителя мобильного устройства.
Пример данных, получаемых троянцем от управляющего сервера:
В параметре «ri», полученном в команде от сервера, указано количество секунд, по истечении которых на удаленный узел http://api.fotapro.com/api/data/d загружается информация из базы данных «Data».
Выполнив все свои функции, PushThread на несколько секунд приостанавливает свою работу, после чего повторно запускается в бесконечном цикле до тех пор, пока его работа не будет прекращена отсутствием подключения к Интернету, выключением экрана устройства, либо не будет получена команда «push/disable» от приложения, в которое встроен вредоносный SDK.
Компонент ReliableDownloadManager
Отвечает за загрузку apk-файлов, а также за скрытую и автоматическую установку приложений. Работает через ActionService. Отслеживает подключение к Интернету при помощи android.net.conn.CONNECTIVITY_CHANGE. Команды на загрузку apk-файлов помещает в Map. После установки интернет-соединения выполняет загрузку необходимых файлов и пытается установить их либо с использованием стандартного системного диалога, либо при помощи getPackageManager().installPackage(. ). Если установка через installPackage(. ) не удается, пытается установить приложения через команду «su pm install».
Также этот модуль используется для загрузки вспомогательных файлов, например, ярлыков или изображений для рекламных баннеров.
LocationService
Начинает работу при помощи ActionService. Регистрирует приемники, контролирующие включение и выключение экрана. С помощью этих приемников считает общее время, в течение которого экран был включен. В случае, когда общее время работы экрана составляет больше 1 часа, при помощи GPS, либо с использованием данных мобильной сети получает координаты устройства. Затем при помощи сервиса http://maps.googleapis.com получает точный адрес местоположения устройства (road, county, state, state district, country, country_code, region, town, city), а также текущие координаты.
Полученные сведения сохраняются в SharedPreferences, а также в локальную базу данных под ключом location_send_server_data. До тех пор, пока в SharedPreferences для location_send_server_data есть данные, новые координаты не запоминаются.
Имеющаяся информация о текущем местоположении передается не на управляющий сервер, а непосредственно приложению, в которое встроен вредоносный SDK. Это действие выполняется в ответ на команду «GetSalesTrackInfo». В данном случае SDK поддерживает несколько команд:
- GetSalesTrackInfo
- push/disable
- push/enable
- data/
- GetSDKUsedTime
AppUsageMonitor
Создается и запускается приемниками, зарегистрированными в ActionService и отслеживающими включение и выключение экрана. Каждый раз при включении экрана назначает задачу TimerTask, которая выполняется каждые 5 секунд. Она проверяет список запущенных приложений и заносит информацию о них в локальную базу данных в формате «приложение + статус».
Если имя того или иного запущенного приложения сохранено в SharedPreferences, то запускается функция «Reward Action», предназначенная, судя по всему, для начисления вознаграждений за установку и запуск рекламируемых приложений. При выключении экрана задача TimerTask отменяется.
Источник