Вирус android gmobi 1 как удалить

Android gmobi как удалить

Android Gmobi 1 опасный вирус. Из нашей статьи вы узнаете где он находится, как действует и какой вред несет, а так же как бороться с этой заразой. Android.Gmobi.1 далеко не новый вирус, но многие пользователи все еще хватают его в сети из-за незащищенности версий андроида от 2.0 и вплоть до прошивок нового поколения. Это троянский конь, который ставит под угрозу программную оболочку системы, что само собой влияет на утечку информации, личных данных, переписок и любой другой конфиденциальной информации. Не будем запугивать читателя и поэтапно расскажем что это за беда.
Android.Gmobi.1 — представляет несколько модулей программного вирусного кода, которые при необходимости выкачиваются и обновляются. Может быть вшит в сторонние приложения, но так же может попасть через прошивку, скачанную из неофициальных источников.
Если ваш телефон не защищен антивирусом — троян производит попытку перехвата личных данных пользователя и постоянно показывает рекламные ссылки и баннера выскакивающие в разных местах экрана. Так же зловредный код спамит в любых местах с уведомлениями: в верхней панельке «быстрых уведомлений», диалоговых окнах, в любых программах или играх установленных из Google Play Market.
Вирусу достаточно всего одного «живого» куска что бы продолжать жить в устройстве. При первом включении интернета все остальные части будут скачаны. К тому же если злоумышленникам не удалось перехватить данные — они собирают статистику с вашего телефона, а так же могут собирать информацию по вводу с клавиатуры, а это ваши данные и пароли. Вот основные «темные» стороны воздействия вируса. Если вы замечаете на телефоне следующие симптомы или один:

  • Горит иконка «закачки», что-то постоянно обновляется без вашего ведома и уведомлений -это может быть опасным сигналом, т.к. может качаться вредоносное ПО, другие вирусы.
  • Сами запускаются приложения, в них открываются рекламные вкладки.
  • Рекламные вкладки открываются в играх и приложениях где их раньше не было.
  • Браузер ведет себя непонятно — сам открывает вкладки, запускаются баннера с рекламой, непроизвольный переход по ссылкам.

Значит телефон точно заражен вирусом, если не данным видом, то скорее всего другим.

Не путайте обычную рекламу от Гугла в играх и программах — такая реклама обычно располагается в небольшом окошке, не мешает работе приложения и может быть закрыта.

Как удалить Android.Gmobi.1 ?

Я надеюсь у каждого разумного пользователя телефона уже установлен антивирус, который предназначается прежде всего для защиты от попадания вредных программ и кодов на устройство.
Из бесплатных отлично зарекомендовали себя Касперский антивирус, а так же Dr.Web, их бесплатных версий хватит для базовой защиты телефона. Недавно мы писали о новом отличном антивирусе, ознакомиться с которым можно тут: Quick Heal Mobile Security для Android

Android Gmobi уже внесен во многие антивирусные базы и теперь легко определяется и удаляется.
Редко случается что вирус вшит в саму прошивку операционной системы и находится в ядре системных файлов.

Тут вариантов несколько:

  • Если дело не в прошивке поможет «Сброс настроек» для этого достаточно зайти в меню «Настройки» и найти пункт «Восстановление и сброс». Но учтите, удалять придется все приложения. Рекомендую сохранить только телефонную книгу, контакты, все остальное легко установить с нуля из Плей Маркета.
  • Версии Андроида от 4 выше поддерживают загрузку в «Безопасном режиме». Что бы перезагрузить телефон в таком режиме нажмите кнопку питания, а затем задержите палец ни иконке «Отключить питание» телефон предложит перезагрузить телефон в безопасном режиме. В таком режиме проверьте антивирусом всю память телефона, включая флеш карту.

Как войти в безопасный режим Андроид

Безопасный режим Андроид

Не пожалейте времени, пусть ваши данные и личная жизнь будут в безопасности.

Евгений Загорский

IT специалист. Автор информационных статей на тему Андроид смартфонов и IOS смартфонов. Эксперт в области решения проблем с компьютерами и программами: установка, настройка, обзоры, советы по безопасности ваших устройств. В свободное время занимается дизайном и разработкой сайтов.

Источник

Android.Gmobi.1 and Gmobi.2

#1 XP1001

  • Posters
  • 5 Сообщений:
  • Всё на screen’ах.

    Как удалить .1

    7мес.) использования лицензии, проверка осуществилась первый раз.

    Прикрепленные файлы:

    • Android.Gmoib.1 and .2.jpg189,27К 1 Скачано раз

    #2 maxic

    Keep yourself alive

  • Moderators
  • 12 598 Сообщений:
  • XP1001, рутовать устройство и удалить.

    #3 XP1001

  • Posters
  • 5 Сообщений:
  • maxic, ОК

    если не сложно измените заголовок i и b поменяйте местами

    Сообщение было изменено XP1001: 24 Апрель 2016 — 15:49

    #4 maxic

    Keep yourself alive

  • Moderators
  • 12 598 Сообщений:
  • XP1001, изменил на совсем очевидное.

    #5 Sergey Bespalov

  • Virus Analysts
  • 396 Сообщений:
  • XP1001, Этот троян встроенр в ASUS Web Storage. Обновите это приложение через google play, из актуальной версии трой убрали. Детектируемый файл останется в прошивке, но после установки обновления он не будет представлять угрозы и его можно проигнорировать.

    должно быть написано что оно у вас уже установлено, и активна кнопка «обновить»

    Сообщение было изменено Sergey Bespalov: 24 Апрель 2016 — 16:02

    #6 XP1001

  • Posters
  • 5 Сообщений:
  • Sergey Bespalov,

    Мммм, так, интересно. Хорошо.

    root необходим производить?

    Сообщение было изменено XP1001: 24 Апрель 2016 — 16:13

    #7 maxic

    Keep yourself alive

  • Moderators
  • 12 598 Сообщений:
  • XP1001, для обновления рут не нужен. Но если хочется удалить исходный файл из системы — то да.

    #8 XP1001

  • Posters
  • 5 Сообщений:
  • maxic, OK

    Всем спасибо .

    Сообщение было изменено XP1001: 24 Апрель 2016 — 16:14

    #9 Sergey Bespalov

  • Virus Analysts
  • 396 Сообщений:
  • XP1001, нет. root делать не обязательно. Только если вы хотите удалить это приложение полностью и навсегда.

    Достаточно обновить приложение из Google Play и использоваться будет новая версия, а от старой останется только детектируемый файл, но он будет не опасен. (Старая версия будет восстановлена при откате к заводским настройкам).

    #10 XP1001

  • Posters
  • 5 Сообщений:
  • Sergey Bespalov ,

    Угу, спасибо. Понятно(ее)! )

    #11 Антон_87

  • Members
  • 2 Сообщений:
  • Здравствуйте! Тоже словил трояна Android.Gmobi.1 на телефоне, DrWeb Light определил его, как системное приложение и определил его по пути /system/app/RockClient.apk. Пробовал после рутирования телефона в Безопасном режиме DrWeb-ом его удалить (в инете вычитал), не получается, DrWeb в Безопасном режиме запускается с ошибкой и не получается просканировать. Как вирус можно удалить не перепрошивая?

    #12 maxic

    Keep yourself alive

  • Moderators
  • 12 598 Сообщений:
  • Антон_87, удалить файловым менеджером, который умеет использовать рут.

    #13 Антон_87

  • Members
  • 2 Сообщений:
  • maxic, удалил, телефон чист. Спасибо за помощь!

    #14 sergeysimonov

  • Members
  • 1 Сообщений:
  • привет,ребята надеюсь ответите в кротчайший срок! На телефоне вирус Android.gmobi4, подскажите как удалить? Наличие рут прав есть,телефон выключил чтобы вирус его не мучал))) помогите пожалуйста добрые люди!1! хоть у меня брат програмист его просить как стрёмно)) а сам не туда не сюда!

    #15 maxic

    Keep yourself alive

  • Moderators
  • 12 598 Сообщений:
  • sergeysimonov, создать свою тему и там всё описать.

    Источник

    Android.Gmobi.1

    Добавлен в вирусную базу Dr.Web: 2016-03-12

    Описание добавлено: 2016-03-17

    • 90f044607f37ccc795af8a8d87eef2fae071104f
    • 45273fc93befb963015bbb99ae67bcf596412cc1 (dex)
    • 9fef8711a2cce4b2e46f93f29bc4b3153d719af1 (RockClient.odex , детектируется как Android.Gmobi.3)

    Троянский SDK (Software Development Kit), встраиваемый в Android-приложения и предназначенный для показа рекламы, загрузки и установки ПО, а также сбора конфиденциальной информации. Может содержаться в различных программах. В частности, был обнаружен в таких приложениях как com.rock.gota (системное ПО для обновления прошивки Micromax AQ5001), Trend Micro Dr.Safety, Dr.Booster и Asus WebStorage.

    При каждой загрузке зараженного устройства (android.intent.action.BOOT_COMPLETED), а также при установке новых приложений (android.intent.action.PACKAGE_ADDED) Android.Gmobi.1 при помощи широковещательного приемника (BroadcastReceiver) ActionMonitor запускает сервис ActionService.

    Далее ActionService проверяет, активны ли остальные компоненты вредоносной программы и, если это необходимо, инициализирует их работу. Затем устанавливает системному сервису AlarmManager задачу на отправку сообщений приемнику ActionMonitor каждые 60 секунд, тем самым обеспечивая его непрерывную работу.

    ActionActivity

    Один из широковещательных приемников (BroadcastReceiver), зарегистрированных в ActionMonitor, отслеживает состояние экрана инфицированного устройства. После получения сообщения о том, что экран включен (android.intent.action.SCREEN_ON), проверяет собственную локальную базу данных на наличие информации о рекламе, которую нужно показать пользователю. Если эти данные имеются, происходит запуск ActionActivity, с использованием которого показывается реклама нескольких типов:

    • реклама в панели уведомлений;
    • реклама в виде диалогового окна;
    • реклама в виде интерактивных диалоговых окон – при нажатии кнопки «Ok» происходит отправка СМС (если у приложения, в которое встроен вредоносный SDK, есть на это соответствующие права);
    • рекламный баннер поверх окон других приложений и графического интерфейса ОС;
    • открытие заданной страницы в веб-браузере или в приложении Google Play;
    • автоматический запуск приложений, уже установленных на устройстве;
    • скачивание приложений через системный сервис DownloadManager с использованием заранее известных ссылок, которые без спроса пользователя ставятся в очередь загрузок.

    PushThread

    Запускается при подключении к Интернету и при включении экрана. Прекращает работу при отключении интернет-соединения или через 60 секунд после выключения экрана. Заносит в локальную базу данных список установленных на устройстве приложений.

    Собирает следующую информацию:

    • email-адреса пользователя;
    • наличие роуминга (есть или нет);
    • координаты пользователя (используется GPS или данные мобильной сети);
    • техническая информация об устройстве: наименование производителя, IMEI- и IMSI-идентификаторы, MAC-адрес Bluetooth- и WI-Fi-адаптера, размеры экрана, данные о приложении, содержащем вредоносный SDK, версия SDK и некоторые другие сведения;
    • страна нахождения пользователя, определяемая при помощи GPS (если GPS недоступен, используется информация сети NetworkCountryIso, SIM-карты, а также Locale);
    • наличие установленного приложения Google Play,

    после чего шифрует эти данные и отправляет их на сервер http://api.fotapro.com/api/push/connect. Пример сформированных троянцем данных, отправляемых на сервер:

    В ответ от сервера получает зашифрованный JSON (Java Script Object Notification), который содержит конфигурационный файл, включающий, среди прочего, адрес TCP-сервера (tcp://) и параметр «mode». В зависимости от параметра «mode», PushThread в дальнейшем может по протоколу TCP подключаться к управляющему серверу, откуда получает аналогично сформированный JSON с командами «messages».

    Среди принимаемых команд могут быть следующие:

    • сохранить в базу данных информацию о рекламе, которую необходимо показать пользователю;
    • создать рекламный ярлык на рабочем столе (нажатие на этот ярлык запускает ActionActivity с рекламой);
    • показать уведомление с рекламой (нажатие на уведомление запускает ActionActivity);
    • показать уведомление, нажатие на которое приведет к запуску уже установленного приложения;
    • автоматически загрузить и установить apk-файлы с помощью ReliableDownloadManager (установка не скрытая);
    • скрытно установить apk-файлы с помощью ReliableDownloadManager (используется pm install).

    Перечисленные команды могут содержать в себе специальные фильтры:

    • по IMEI;
    • по имени приложения, в которое внедрен вредоносный SDK;
    • по региону проживания пользователя;
    • по текущему мобильному оператору;
    • по наименованию производителя мобильного устройства.

    Пример данных, получаемых троянцем от управляющего сервера:

    В параметре «ri», полученном в команде от сервера, указано количество секунд, по истечении которых на удаленный узел http://api.fotapro.com/api/data/d загружается информация из базы данных «Data».

    Выполнив все свои функции, PushThread на несколько секунд приостанавливает свою работу, после чего повторно запускается в бесконечном цикле до тех пор, пока его работа не будет прекращена отсутствием подключения к Интернету, выключением экрана устройства, либо не будет получена команда «push/disable» от приложения, в которое встроен вредоносный SDK.

    Компонент ReliableDownloadManager

    Отвечает за загрузку apk-файлов, а также за скрытую и автоматическую установку приложений. Работает через ActionService. Отслеживает подключение к Интернету при помощи android.net.conn.CONNECTIVITY_CHANGE. Команды на загрузку apk-файлов помещает в Map. После установки интернет-соединения выполняет загрузку необходимых файлов и пытается установить их либо с использованием стандартного системного диалога, либо при помощи getPackageManager().installPackage(. ). Если установка через installPackage(. ) не удается, пытается установить приложения через команду «su pm install».

    Также этот модуль используется для загрузки вспомогательных файлов, например, ярлыков или изображений для рекламных баннеров.

    LocationService

    Начинает работу при помощи ActionService. Регистрирует приемники, контролирующие включение и выключение экрана. С помощью этих приемников считает общее время, в течение которого экран был включен. В случае, когда общее время работы экрана составляет больше 1 часа, при помощи GPS, либо с использованием данных мобильной сети получает координаты устройства. Затем при помощи сервиса http://maps.googleapis.com получает точный адрес местоположения устройства (road, county, state, state district, country, country_code, region, town, city), а также текущие координаты.

    Полученные сведения сохраняются в SharedPreferences, а также в локальную базу данных под ключом location_send_server_data. До тех пор, пока в SharedPreferences для location_send_server_data есть данные, новые координаты не запоминаются.

    Имеющаяся информация о текущем местоположении передается не на управляющий сервер, а непосредственно приложению, в которое встроен вредоносный SDK. Это действие выполняется в ответ на команду «GetSalesTrackInfo». В данном случае SDK поддерживает несколько команд:

    • GetSalesTrackInfo
    • push/disable
    • push/enable
    • data/
    • GetSDKUsedTime

    AppUsageMonitor

    Создается и запускается приемниками, зарегистрированными в ActionService и отслеживающими включение и выключение экрана. Каждый раз при включении экрана назначает задачу TimerTask, которая выполняется каждые 5 секунд. Она проверяет список запущенных приложений и заносит информацию о них в локальную базу данных в формате «приложение + статус».

    Если имя того или иного запущенного приложения сохранено в SharedPreferences, то запускается функция «Reward Action», предназначенная, судя по всему, для начисления вознаграждений за установку и запуск рекламируемых приложений. При выключении экрана задача TimerTask отменяется.

    Источник

    Читайте также:  Сотовые телефоны samsung андроиды
    Оцените статью