Вирус вконтакте для андроид

Уникальный Android-вирус наступает через «ВКонтакте»

«Лаборатория Касперского» сообщает об активизации опасного мобильного вируса‑трояна Podec, который впервые был обнаружен еще в конце прошлого года. В нем заложены функции как отправки сообщений на платные короткие номера (без уведомления о стоимости услуги и запросов на подтверждение оплаты), так и осуществления подписки на платные услуги, причем последняя реализуется даже с обходом CAPTCHA. Подобная функциональность до этого не встречалась ни в одном известном «Лаборатории Касперского» Android‑троянце.

Распространяется вирус в основном в России и соседних странах, таких как Казахстан, Украина, Беларусь и Кыргызстан. В качестве источников выступают различные домены со звучными именами (Apk‑downlad3.ru, minergamevip.com и т.д.), а также серверы популярной социальной сети «ВКонтакте», использующиеся для хранения пользовательского контента. Причем именно соцсеть в данном случае преобладает — существует целый ряд сообществ, распространяющих этот троян через простые ссылки на загрузку какого‑либо контента.

Как выяснилось, и тематика, и стиль ведения, и даже оформление таких групп во «ВКонтакте» имеют немало сходств. Более того, они выглядят как копии друг друга, да и администратором является один и тот же пользователь. Представитель «ВКонтакте» Георгий Лобушкин подтвердил, что служба поддержки действительно регистрировала случаи заражения через некоторые сообщества, все они теперь заблокированы.

Сама схема распространения предельно проста — мобильный троянец маскируется под популярное приложение, которое пользователь загружает в обход официального магазина Google Play. К примеру, представители «Лаборатории Касперского» поймали Podec в виде известной многим игры Minecraft — Pocket Edition. После запуска такое приложение запросит права администратора устройства, обезопасив себя от дальнейшего удаления. Пользователи редко вчитываются в требования при установке и не глядя подтверждают все запросы, как и с лицензионными соглашениями, где лишь бы галочку поставить и подтвердить.

Получив привилегированный доступ к устройству, троян, дабы не вызвать особых подозрений и предоставить пользователю, по сути, то, что он и хотел, начинает загрузку легитимного приложения. Когда обладатель устройства получает заветную игру или программу, вирус начинает заметать следы — он прекращает заметную активность и заменяет свой ярлык ярлыком оригинального ПО. Финальный штрих — кнопка удаления вредоносного приложения становится неактивна. Попытка снятия привилегий приводит к блокировке экрана или даже перезагрузке устройства.

Управление поведением трояна происходит с помощью удаленных серверов, которые после обращения вируса присылают ему SMS‑сообщения с командами. При этом доменные имена таких центров управления и весь трафик шифруются. В общем, разработчики потрудились на славу и сделали по‑настоящему опасный и неуловимый троян. Он способен не только собирать информацию об устройстве и отсылать сообщения, но и удалять приложения по команде, инициировать платные подписки, встраивать рекламу, выполнять DDoS‑атаки, устанавливать фильтры на звонки и сообщения и даже осуществлять исходящие вызовы. Все это — без вашего ведома и каких‑либо запросов на подтверждение.

Дабы избежать подобных угроз, как минимум необходимо скачивать игры и программы только из официальных магазинов приложений, то есть из Google Play. Особенно это стоит помнить тем, у кого к аккаунтам привязаны пластиковые карты и вообще хранится какая‑либо конфиденциальная информация. Финансовый риск в данном случае намного превосходит цену за легитимное приложение.

Узнать более подробную информацию о трояне Podec можно на специальной странице сайта SecureList «Лаборатории Касперского».

Заметили ошибку? Выделите её и нажмите Ctrl+Enter или сообщите здесь.

Источник

Какие вирусы можно подхватить в соцсети Вконтакте?

Соцсети давно стали неотъемлемой составляющей жизни современного человека. Но если на Западе наиболее популярной «социалкой» является Фейсбук, то в России и на всём постсоветском пространстве пальму первенства удерживает Вконтакте. Данная сеть отличается удобством, обилием полезных функций. Но подобно любой другой сети она таит в себе и некоторые опасности для вашего компьютера в виде всевозможных вирусов. Расмотрим вирусы в соцсети Вконтакте, а вернее два наиболее опасных и распространённых из них.

Вирусы в соцсети Вконтакте

Вирус под видом бесплатных ключей

Trojan.MulDroup7.26387 появился ещё в 2017 году, но и в 2021-ом нередко в ВК можно натолкнуться на него. Он имеет вид рекламных сообщений с предложением бесплатных ключей для активации популярного антивируса Dr.Web. Как правило, в них содержится ссылка на ресурс RGhost. Перейдя по ней вы увидите предложение скачать файл .rar в 26 Kb. Избавиться от такого спама оперативно возможно не всегда, из-за чего многие юзеры попадаются на эту уловку.

Скачанный архив содержит исполняемый файл имеющий вид стандартного документа .txt. Из-за этого антивирус долгое время не может идентифицировать трояна. Обнаружить его удаётся только после обновления вирусной базы антивирусной программы.

После запуска содержащего вредоносное ПО файла вирус устанавливает связь с собственным сервером и запускает передачу на него данных об устройстве. С помощью этого трояна киберпреступники могут также:

• Изменять обои на рабочем столе;
• Выводить на экран ПК жертвы сообщение с определённым текстом;
• Переустанавливать опции на клавишах мыши;
• Воспроизводить звуковые сообщения посредством голосового сентезатора.

Однако наиболее опасной функцией является встроенный кейлоггер, способный запоминать нажатия кнопок, а потом отправлять их на сервер злоумышленников. Таким образом, они смогут получить доступ к аккаунтам и банковским картам и электронным кошелькам жертвы.

Чтобы не попасть в ловушку киберворов, необхожимо быть осмотрительным и не нажимать на сомнительные ссылки, предлагающие какие-то блага бесплатно. Ведь все знают, где обычно бывает бесплатный сыр.

Ложная валидация аккаунта — Вирусы в соцсети Вконтакте

Если при попытке зайти на свою страницу в ВК вы видите окно с сообщением, в котором вам предлагается ввести свой телефон для подтверждения того, что вы являетесь реальной личностью, то можете не сомневаться в том, что ваш ПК подвергся вирусной атаке. Вводить свои данные нельзя, равно как и отправлять какие либо СМСки со своего телефона. Это сообщение выглядит следующим образом:

Но следует отметить, что в ВК действительно необходимо подтвердить свою личность путём введения телефонного номера, указанного вами при регистрации. После этого на данный телефон придёт СМС с кодом подтверждения, который потом надо будет ввести на ресурсе. Но во время настоящей валидации вам не надо отправлять каких либо SMS. Не забывайте об этом! Если от вас требуют оправить сообщение СМС – значит на вашем ПК 100-процентно есть вирус, избавиться от которого можно двумя способами, речь о которых пойдёт далее.

Способ 1. Вручную

Первым делом следует скачать и запустить Process Explorer. В перечне процессов отыщите lsass.exe и щёлкните по нему мышкой, чтобы открыть путь к данному файлу. Если искомый файл располагается не в папке Виндовс Систем 32, то следует запомнить путь, выделить левой клавишей мыши и нажать на красный крестик вверху. Так вы сможете избавиться от вредоносного процесса. Затем зайдите в папку, к которой запомнили путь и удалите вирусный файл с ЖД. Затем замените файл, располагающийся в системной папке Виндовс на http://support.kaspersky.ru/downloads/hosts/hosts . После исправления файла активируйте командную строчку: Пуск, Выполнение. Введите cmd и кликните «Ок». В чёрном окне введите сначала команду «route –f», а потом «ipconfig / flushdns». При этом после введения каждой команды необходимо нажимать на «Энтер». Перезагрузите ПК.

Способ 2. Посредством Curelt

Эта программка способна не только уничтожить вирусы в соцсети Вконтакте, но и устранить последствия его деятельности. Она выявляет изменения в файле hosts.

Источник

SMS-вирус под ОС Android или «Привет 🙂 Тебе фото…»

*Оригинальная картинка, наглым образом вытащеная из ресурсов apk
[прим. apk — расширение файла установки приложения на ОС андроид]

Вступление

привет [смайлик] тебе фото https:// m**o*an.ru/oujr/380688086*6*

1. Подготовка

Поверхностно поискав в интернете информацию, было установлено, что ссылка в смс сообщении является ничем иным, как адресом на загрузку apk файла. А apk файл — вирусом «Trojan.SMSSend», заражающий мобильные устройства под управлением ОС Android. Главные задачи данного «зловреда» — перехватывать управление устройством и использовать его в своих целях: блокировка исходящих вызовов, отправка сообщений «с приветом» и другие мелкие пакости.

Перейдя по ссылке из браузера я благополучно получил ответ «403 Forbidden».

Понятно, значит, стоит фильтр по браузеру. Что ж, буду проверять «на кошках», как говорится.

Недолго думая, решил «положить на алтарь науки» свой планшет Samsung Galaxy Tab 2. Сделав бэкап, со спокойной совестью нажал на кнопку «Общий сброс». На всякий случай убедился, что на sim-карте нет денег и приступил к установке.

2. Установка

Захожу в настройки, в пункте меню «Неизвестные устройства», убираю галочку «Разрешить установку приложений из других источников, кроме Play Маркет».
Перейдя по ссылке из смс-сообщения, получил предупреждение браузера, следующего характера:

Соглашаюсь и нажимаю кнопку «Продолжить». Скачалось приложение F0T0_ALB0M.apk:

Устанавливаю. Ужасаюсь количеством permission (разрешений). Операционная система любезно предупреждает:

Это приложение может нанести вред устройству

Но я же не ищу легких путей, поэтому, «скрепя сердце», ставлю галочку «Я понимаю, что это приложение может нанести вред».

Когда приложение запрашивает права администратора, понимаю, что это последний этап. Нажимаю «Отмена», но диалог появляется снова. Эх, была не была, буду идти до конца, и нажимаю «Включить».

3. Вирус-приложение

Само приложение состоит из одной активити-картинки с обреченным котенком. Наверное таким образом разработчик пытался пошутить.

В этом месте, я немного забегу вперед (см. п.6) и приведу, код AndroidManifest.xml для лучшего понимания статьи.

В диспетчере приложений наш «зловред» гордо именуется «Google Play».

4. Удаление?

Благополучно заразив устройство, перехожу к фазе лечения. Сначала пробую удалить приложение. Захожу в «Диспетчер приложений» и вижу, что все кнопки заблокированы.

Понятно, значит, у приложения имеются права администратора и так просто удалить его не получится. Не беда, сейчас я их уберу. Захожу в пункт меню «Безопасность»->«Администраторы устройства» и убираю галочку напротив приложения.

Но, нет, не тут то было. Устройство благополучно переходит в настройки управления WiFi и зависает. Пришлось «прибивать» окно настроек.

Дальше хотелось решить вопрос «на корню», так сказать, и воспользоваться общим сбросом системы. Ну да, легко мне выбирать такой вариант — мои личные данные в бэкапе хранятся.

А как же обычные пользователи? У которых «внезапно» любимый телефон заразился вирусом. Они ведь даже исходящего вызова знакомому «тыжпрограммисту» не сделают. В общем, читерство это, не буду так делать.

Итог: штатными средствами нейтрализовать угрозу не удалось. Подключаем «тяжелую артиллерию».

5. Dr Web против вируса

Памятуя про хорошую лечащую утилиту «Dr.Web CureIt!», решил бороться с зловредом с помощью аналога под Android. Захожу на официальный сайт и качаю бесплатную версию антивирусника «Dr.Web для Android Light 9».
Устанавливаю, по WiFi обновляю сигнатуры.
Запускаю быструю проверку ― ничего.
Запускаю полную проверку ― тоже ничего.

Я разочарован! Печально вздохнув, удаляю антивирусник.

UPD от 6.09.14. На данный момент антивирусник успешно опознает данный зловред под детектом Android.SmsBot.origin.165. Алгоритм удаления такой же, как и при использовании Avast (см. ниже).

5. Avast против вируса

Скачиваю и устанавливаю версию «Avast-Mobile-Security-v3-0-7700».
При старте запускается экспресс-сканирование, которое никаких вирусов в системе не находит.

Ну и ладно, мозг подсказал очередную идею: вот есть какой-то пункт меню «Управление приложениями», а что если…
Да, действительно загрузился список приложений в системе.

Пункта «Удалить» нет. Поэтому, пробую остановить приложение. Остановилось.
Жду 2-3 секунды, приложение снова в работе.

Ладно, попробую с другой стороны. Запускаю принудительную проверку системы. О_о, обнаружено вредоносное ПО. Нажимаю «Устранить все» [прим. как-то это звучит в духе Дарта Вейдера или Далеков]. Avast сообщает, что удалить приложение не может, а нужно сначала отобрать права администратора у приложения. Появляется системный диалог:

Удалить все данные с устройства и вернуть заводские настройки? Нажмите «Да» если согласны, или «Нет» для отмены

И сразу же, поверх этого диалогового окна открывается «злополучное» окно настроек wi-fi. Нажимаю «Возврат», снова открываются настройки. Хорошо, хоть окно настроек не зависает.

Опять на тропу читерства меня толкают. Будем искать другое решение…

6. Реверс-инжиниринг

Посмотрим в исходный код приложения, благо на Android это не такая большая проблема. Много всего интересного…
Например, в классе SystemService указан url сайта lamour.byethost5.com (дизайн-студия).
Но больше всего мне понравился класс AdminReceiver, который является наследником системного класса DeviceAdminReceiver.
В этом классе есть переопределенный метод onDisableRequested, который срабатывает при отключении админполномочий для данного приложения. Полностью заблокировать кнопки в системном диалоге нельзя, поэтому разработчик вируса пошел на хитрость, он изменил текст сообщения на «Удалить все данные с устройства и вернуть заводские настройки? Нажмите «Да» если согласны, или «Нет» для отмены» и обильно прикрыл сверху назойливым окном настроек.

Бинго. Значит теперь я смело смогу нажать в данном диалоговом окне «Удалить» и планшет будет «здоров».

Послесловие

Таким образом, выполнив повторно пункт 5 данной публикации (не останавливаясь на последнем шаге), вирус версии 4.0 (согласно манифест-файлу) был побежден.

Почему не удалось напрямую из настроек убрать галочку админправ для приложения, а только используя Avast? Скорее всего, стоит очередная ловушка с переопределенным методом.

Выводы

Разработчики вирусов находят все новые лазейки.
Но, так или иначе, браузер и операционная система стали лучше защищать пользователей.
Мне необходимо было нажать 2 подтверждения и поставить галочку в настройках «Неизвестные устройства».

Источник