harmful_grumpy (harmfulgrumpy) wrote,
harmful_grumpy
harmfulgrumpy

Category:

Android-вирус "С первым апреля" - один из 13 тысяч

Оригинал взят у ammosov в Android-вирус "С первым апреля"
В ночь с 31 марта на 1 апреля 2016 г. и последующие дни владельцы Андроид-смартфонов начали все чаще и чаще постить на форумы вопросы: что за проблема на них напала? На экране фиктивная поисковая строка пытается запустить что-то. Поверх кнопок внизу экрана размещается наглая реклама. Браузер сам открывает десятки вкладок с голыми азиатками. На телефон ставятся какие-то левые приложения. А сам телефон тормозит до полного зависания, перегружается раз в две минуты и тянет что-то из сети как безумный. В настройках безопасности у всех, кто туда смог забраться, фигурирует включенная и заблокированная "установка из неизвестных источников" - выключишь ее, выйдешь из меню, войдешь снова - она снова включена. Установка мальварь-хантеров (Malwarebytes, Avast, Trend Micro etc) тоже блокируется.

Казалось бы, понятно - не шарься по порносайтам, не ставь дрянь из неизвестных источников, не поймаешь мальварь. Но штука в том, что это произошло даже у админов-параноиков, которые сами под андроид профессионально пишут и пермишшены каждой установки сперва читают с лупой. В конец концов проблему изолировали до смартфонов формы Jiayu (noname OEM T-Mobile) и стали решать переустановкой нового образа под ноль. Но через полчаса после этого в телефоне снова начинали по одному возникать новые приложения и "установка из неизвестных" опять включена. Что за чертовщина, призадумались специалисты, куда ж этот мальвар себя прописал, в какие защищенные глубины?

Так вот, загадка оказалась проще. Безобразничал в системе давно известный мальвар father.rickety (у некоторых обнаружились еще и его аналоги com.android.fallen и другие похожие) . А попал он туда 26 марта с обновлением Android до 4.4.4 - в заводской прошивке Jiayu. То ли неизвестный инженер на фабрике, то ли сами владельцы фабрики решили подзаработать на продаже рекламки и установок (левые установки служат для накрутки рейтинга в Google Play). И как на часах вышло 1 апреля - мальвар и пошел куролесить. Не факт, что это была шутка удаленного оператора - скорее, цель практическая, если алгоритмы "продвижения приложений в топ" на помесячную оплату настроены.

Мальвар Father.Rickety встает с правами рута, с пермишенами менять любые настройки, ставить приложения, работать в фоновом режиме и к тому же с флагом "критическое системное приложение". Поэтому ловит его только многоминутный скан с флагом "проверять все системные приложения", по счастью, любой хороший антивирус его видит. Если вы успеете поставить и запустить его за то время, что пройдет между переустановкой системы и выходом мальваря на полную мощность.

Ну, а сносит этот мальвар только рут-деинсталлятор System App Safe Remover. Зато сносит с гарантией - под корень. Он же сносит и прочие блоатвари, которые в новую прошивку внесены открыто. Конечно, после чистки все разрешения на рут надо снова отключить руками. Надо будет - приложение их попросит снова, уходя, гасите рут.

Вот так оно бывает. Лучший хак банка - с участием сотрудников банка. Лучший взлом сети - с паролем ее админа. А лучший бэкдор - в официальном апдейте.
_________________________________________________________

Нас уже утешили, что количество Android-вирусов увеличилось на 40% за 2015 год, обнаружили немного - 13 783 штучки. Успокоенно заметили, что за то же время на iOS было обнаружено только 9 % вирусов. Причем эксперты компании Symantec Korea обрадовали позитивной новостью, что в будущем количество вирусов для ОС от Google будет увеличиваться в геометрической прогрессии.  http://www.plusworld.ru/daily/kolichestvo-android-virusov-uvelichilos-na-40-za-god/
Tags: комп, программы, развлечения, юмор
Subscribe

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 0 comments