- SMS-вирус под ОС Android или «Привет 🙂 Тебе фото…»
- Вступление
- 1. Подготовка
- 2. Установка
- 3. Вирус-приложение
- 4. Удаление?
- 5. Dr Web против вируса
- 5. Avast против вируса
- 6. Реверс-инжиниринг
- Послесловие
- Выводы
- Переход по этой ссылке вызовет краш почти любого смартфона
- Linux для хакера
- Переход по этой ссылке вызовет краш почти любого смартфона
- Linux для хакера
- 5 самых опасных вирусов, которые могут уничтожить твой телефон
- Triada
- Marcher
SMS-вирус под ОС Android или «Привет 🙂 Тебе фото…»
*Оригинальная картинка, наглым образом вытащеная из ресурсов apk
[прим. apk — расширение файла установки приложения на ОС андроид]
Вступление
привет [смайлик] тебе фото https:// m**o*an.ru/oujr/380688086*6*
1. Подготовка
Поверхностно поискав в интернете информацию, было установлено, что ссылка в смс сообщении является ничем иным, как адресом на загрузку apk файла. А apk файл — вирусом «Trojan.SMSSend», заражающий мобильные устройства под управлением ОС Android. Главные задачи данного «зловреда» — перехватывать управление устройством и использовать его в своих целях: блокировка исходящих вызовов, отправка сообщений «с приветом» и другие мелкие пакости.
Перейдя по ссылке из браузера я благополучно получил ответ «403 Forbidden».
Понятно, значит, стоит фильтр по браузеру. Что ж, буду проверять «на кошках», как говорится.
Недолго думая, решил «положить на алтарь науки» свой планшет Samsung Galaxy Tab 2. Сделав бэкап, со спокойной совестью нажал на кнопку «Общий сброс». На всякий случай убедился, что на sim-карте нет денег и приступил к установке.
2. Установка
Захожу в настройки, в пункте меню «Неизвестные устройства», убираю галочку «Разрешить установку приложений из других источников, кроме Play Маркет».
Перейдя по ссылке из смс-сообщения, получил предупреждение браузера, следующего характера:
Соглашаюсь и нажимаю кнопку «Продолжить». Скачалось приложение F0T0_ALB0M.apk:
Устанавливаю. Ужасаюсь количеством permission (разрешений). Операционная система любезно предупреждает:
Это приложение может нанести вред устройству
Но я же не ищу легких путей, поэтому, «скрепя сердце», ставлю галочку «Я понимаю, что это приложение может нанести вред».
Когда приложение запрашивает права администратора, понимаю, что это последний этап. Нажимаю «Отмена», но диалог появляется снова. Эх, была не была, буду идти до конца, и нажимаю «Включить».
3. Вирус-приложение
Само приложение состоит из одной активити-картинки с обреченным котенком. Наверное таким образом разработчик пытался пошутить.
В этом месте, я немного забегу вперед (см. п.6) и приведу, код AndroidManifest.xml для лучшего понимания статьи.
В диспетчере приложений наш «зловред» гордо именуется «Google Play».
4. Удаление?
Благополучно заразив устройство, перехожу к фазе лечения. Сначала пробую удалить приложение. Захожу в «Диспетчер приложений» и вижу, что все кнопки заблокированы.
Понятно, значит, у приложения имеются права администратора и так просто удалить его не получится. Не беда, сейчас я их уберу. Захожу в пункт меню «Безопасность»->«Администраторы устройства» и убираю галочку напротив приложения.
Но, нет, не тут то было. Устройство благополучно переходит в настройки управления WiFi и зависает. Пришлось «прибивать» окно настроек.
Дальше хотелось решить вопрос «на корню», так сказать, и воспользоваться общим сбросом системы. Ну да, легко мне выбирать такой вариант — мои личные данные в бэкапе хранятся.
А как же обычные пользователи? У которых «внезапно» любимый телефон заразился вирусом. Они ведь даже исходящего вызова знакомому «тыжпрограммисту» не сделают. В общем, читерство это, не буду так делать.
Итог: штатными средствами нейтрализовать угрозу не удалось. Подключаем «тяжелую артиллерию».
5. Dr Web против вируса
Памятуя про хорошую лечащую утилиту «Dr.Web CureIt!», решил бороться с зловредом с помощью аналога под Android. Захожу на официальный сайт и качаю бесплатную версию антивирусника «Dr.Web для Android Light 9».
Устанавливаю, по WiFi обновляю сигнатуры.
Запускаю быструю проверку ― ничего.
Запускаю полную проверку ― тоже ничего.
Я разочарован! Печально вздохнув, удаляю антивирусник.
UPD от 6.09.14. На данный момент антивирусник успешно опознает данный зловред под детектом Android.SmsBot.origin.165. Алгоритм удаления такой же, как и при использовании Avast (см. ниже).
5. Avast против вируса
Скачиваю и устанавливаю версию «Avast-Mobile-Security-v3-0-7700».
При старте запускается экспресс-сканирование, которое никаких вирусов в системе не находит.
Ну и ладно, мозг подсказал очередную идею: вот есть какой-то пункт меню «Управление приложениями», а что если…
Да, действительно загрузился список приложений в системе.
Пункта «Удалить» нет. Поэтому, пробую остановить приложение. Остановилось.
Жду 2-3 секунды, приложение снова в работе.
Ладно, попробую с другой стороны. Запускаю принудительную проверку системы. О_о, обнаружено вредоносное ПО. Нажимаю «Устранить все» [прим. как-то это звучит в духе Дарта Вейдера или Далеков]. Avast сообщает, что удалить приложение не может, а нужно сначала отобрать права администратора у приложения. Появляется системный диалог:
Удалить все данные с устройства и вернуть заводские настройки? Нажмите «Да» если согласны, или «Нет» для отмены
И сразу же, поверх этого диалогового окна открывается «злополучное» окно настроек wi-fi. Нажимаю «Возврат», снова открываются настройки. Хорошо, хоть окно настроек не зависает.
Опять на тропу читерства меня толкают. Будем искать другое решение…
6. Реверс-инжиниринг
Посмотрим в исходный код приложения, благо на Android это не такая большая проблема. Много всего интересного…
Например, в классе SystemService указан url сайта lamour.byethost5.com (дизайн-студия).
Но больше всего мне понравился класс AdminReceiver, который является наследником системного класса DeviceAdminReceiver.
В этом классе есть переопределенный метод onDisableRequested, который срабатывает при отключении админполномочий для данного приложения. Полностью заблокировать кнопки в системном диалоге нельзя, поэтому разработчик вируса пошел на хитрость, он изменил текст сообщения на «Удалить все данные с устройства и вернуть заводские настройки? Нажмите «Да» если согласны, или «Нет» для отмены» и обильно прикрыл сверху назойливым окном настроек.
Бинго. Значит теперь я смело смогу нажать в данном диалоговом окне «Удалить» и планшет будет «здоров».
Послесловие
Таким образом, выполнив повторно пункт 5 данной публикации (не останавливаясь на последнем шаге), вирус версии 4.0 (согласно манифест-файлу) был побежден.
Почему не удалось напрямую из настроек убрать галочку админправ для приложения, а только используя Avast? Скорее всего, стоит очередная ловушка с переопределенным методом.
Выводы
Разработчики вирусов находят все новые лазейки.
Но, так или иначе, браузер и операционная система стали лучше защищать пользователей.
Мне необходимо было нажать 2 подтверждения и поставить галочку в настройках «Неизвестные устройства».
Источник
Переход по этой ссылке вызовет краш почти любого смартфона
Linux для хакера
По социальным сетям и форумам со скоростью лесного пожара распространяется новая пранкерская ссылка. Посещение сайта crashsafari.com (по ссылке лучше НЕ переходить) гарантировано отправит в нокаут устройство, работающее на базе iOS, и почти наверняка вызовет такую же реакцию у Android-аппаратов.
Большинство мобильных устройств впадают в кому благодаря всего четырем строкам кода. На сайте crashsafari.com работает простой скрипт, добавляющий тысячи символов в секунду в строку поиска браузера, что быстро приводит к перегрузке памяти, перегреву аппарата и принудительной перезагрузке.
Вопреки названию сайта, подшутить таким образом можно не только над пользователями дефолтного браузера iOS — Safari. Большинство устройств на базе Android тоже начнут перегреваться после перехода по ссылке. Уже через 15-20 секунд аппарат практически перестанет реагировать на какие-либо команды. Завершение работы Chrome может устранить проблему, однако чаще приходится производить полную перезагрузку устройства.
Сайт также влияет на обычные компьютеры и ноутбуки, особенно не слишком мощные. Дескопные версии браузеров Chrome и Safari при посещении crashsafari.com зависают или аварийно завершают свою работу. Впрочем, в этом случае к перезагрузке устройства посещение сайта не приведет, так как стационарные компьютеры лучше справляются с проблемой перегрева.
Данные WhoIs указывают на то, что домен crashsafari.com был зарегистрирован еще 29 апреля 2015 года, однако его владелец неизвестен.
В данный момент наблюдаются некоторые трудности с доступом к сайту. Судя по всему, crashsafari.com просто не выдерживает неожиданной популярности.
Хитрые пользователи в основном применяют для распространения пранкерской ссылки сервисы сокращения URL. По последним данным статистики Google, по одной из таких ссылок перешли уже почти 500 000 раз.
Источник
Переход по этой ссылке вызовет краш почти любого смартфона
Linux для хакера
По социальным сетям и форумам со скоростью лесного пожара распространяется новая пранкерская ссылка. Посещение сайта crashsafari.com (по ссылке лучше НЕ переходить) гарантировано отправит в нокаут устройство, работающее на базе iOS, и почти наверняка вызовет такую же реакцию у Android-аппаратов.
Большинство мобильных устройств впадают в кому благодаря всего четырем строкам кода. На сайте crashsafari.com работает простой скрипт, добавляющий тысячи символов в секунду в строку поиска браузера, что быстро приводит к перегрузке памяти, перегреву аппарата и принудительной перезагрузке.
Вопреки названию сайта, подшутить таким образом можно не только над пользователями дефолтного браузера iOS — Safari. Большинство устройств на базе Android тоже начнут перегреваться после перехода по ссылке. Уже через 15-20 секунд аппарат практически перестанет реагировать на какие-либо команды. Завершение работы Chrome может устранить проблему, однако чаще приходится производить полную перезагрузку устройства.
Сайт также влияет на обычные компьютеры и ноутбуки, особенно не слишком мощные. Дескопные версии браузеров Chrome и Safari при посещении crashsafari.com зависают или аварийно завершают свою работу. Впрочем, в этом случае к перезагрузке устройства посещение сайта не приведет, так как стационарные компьютеры лучше справляются с проблемой перегрева.
Данные WhoIs указывают на то, что домен crashsafari.com был зарегистрирован еще 29 апреля 2015 года, однако его владелец неизвестен.
В данный момент наблюдаются некоторые трудности с доступом к сайту. Судя по всему, crashsafari.com просто не выдерживает неожиданной популярности.
Хитрые пользователи в основном применяют для распространения пранкерской ссылки сервисы сокращения URL. По последним данным статистики Google, по одной из таких ссылок перешли уже почти 500 000 раз.
Источник
5 самых опасных вирусов, которые могут уничтожить твой телефон
Береги свой смартфон!
Недавно мы писали, что знаменитый вирус WhatsApp Gold вернулся и доставил немало проблем пользователям. И это удивительно, ведь заразить телефон вирусом труднее, чем компьютер. Создатели мобильных устройств регулярно выпускают антивирусные обновления , а приложения проходят многоуровневую проверку. Но мошенники находят новые способы обходить защиту, а юзеры скачивают игры в обход официальных магазинов.
Мы расскажем о самых опасных вирусах и поможем защитить от них твой телефон.
Triada
Триаду можно смело назвать одним из самых мощных вирусов для смартфонов. Он не только хулиганит в системе, но и проникает в особо важные участки мобильного устройства.
Как это происходит? Триада включается, когда ты даешь разрешение – например, скачать любимую музыку из соцсетей. Она втихаря выясняет модель смартфона, объем памяти, какие приложения у тебя есть и отправляет все полученные данные на свои серверы. Затем вирус получает инструкции, как лучше себя спрятать , в какое приложение ей вклиниться.
В конце концов, оно берет под контроль твой телефон, и тот превращается в марионетку в руках опытных мошенников.
Триада сегодня может выяснить данные банковской карты и списать деньги. Главная опасность вируса — им можно «заразиться» на большом расстоянии. Спасти свой мобильник ты можешь с помощью полной перепрошивки. Если хочешь защитить его, лучше заранее установить антивирус.
Marcher
Marcher называют «банковским зловредом» . Он был разработан еще в 2013 году, но пика популярности достиг только в 2016. Вирус не творит ничего сверхъестественного – просто подменяет собой служебные страницы банков с помощью всплывающих окон.
Механизм работы следующий:
- Marcher проникает в систему вместе с зараженным приложением;
- ищет банковские программы и приложения с интернет-магазинами;
- делает «заготовки» в соответствии с банком, которым ты пользуешься;
- отправляет сообщение а-ля «на ваш счет поступило N рублей» или «купон на скидку 75% для любого товара только сегодня!»;
- владелец кликает на сообщения и открывает точную копию официального приложения и видит «соединение с сетью прервано, повторите ввод данных банковской карты»;
- вот тут-то денюжки и тю-тю!
Таким нехитрым способом Marcher подделывал процесс покупки авиабилетов, товаров в интернет-магазинах и работу банковских приложений. Жертвами стали пользователи Германии, Франции, США, Польши, Турции, Австралии, Великобритании.
Чтобы с тобой подобное не повторялось, рекомендуем скачивать банковские приложения только из официальных магазинов , как PlayMarket или AppStore.
Источник
