Самый непростой вредонос почти Android

Screenshot_2013-05-29-21-23-58 Коллеги изо вирлаба написали статью по отношению бэкдоре, не без; возможностями котого ваша милость должны ознакомиться: . В своей а статье моя особа покажу, нежели грозит влияние сим вредоносом.

Но на азбука подобьем перечень особенностей равно возможностей бэкдора:

  1. Все строки DEX файла зашифрованы, а шифр обфусцирован
  2. Создатели нашли ошибку во утилите dex2jar, которая заурядно используется аналитиками на конвертирования APK-файла на JAR к анализа. Обнаруженная небезукоризненность нарушает суд конвертации Dalvik байт-кода на Java байт-код , аюшки? на итоге затрудняет динамический изучение
  3. Создатели нашли ошибку на Android , связанную не без; обработкой AndroidManifest.xml. Они модифицировали AndroidManifest.xml таким образом, сколько оный далеко не соответствовал заданному Google стандарту, а возле этом, по причине найденной уязвимости, согласно правилам обрабатывался бери смартфоне. В результате динамический разложение троянца оченно затруднен
  4. Создатели нашли покамест одну неизвестную до тех пор ошибку на Android, которая позволяет вредоносному приложению употреблять расширенными правами DeviceAdministrator, так присутствие этом блистать своим отсутствием во списке приложений, обладающих такими правами . В итоге выслать нормально приложение сейчас нельзя:

  5. Вредонос никак не имеет интерфейса да работает во фоновом режиме
  6. Отправляет SMS получи премиум-номера. Ну вновь бы
  7. Скачивает равно устанавливает получи и распишись образование прочие приложения
  8. Рассылает скаченные приложения в соответствии с Bluetooth
  9. Выполняет удаленные команды
  10. Для расшифровки собственных важных функций использует ключ, некоторый безвыгодный зашит во него, а находится во коде страницы facebook.com. То принимать сверх Интернета некто малограмотный короче передавать вредоносной активности
  11. При обнаружении подключения ко WiFi либо — либо согласно Bluetooth спирт может нате 00 секунд спутать карты отражатель равно воплотить в жизнь близкие действия. Выключение экрана ему нужно, с тем абонент на нынешний одну секунду ему далеко не помешал
  12. Запрашивает компетенция root
  13. Включает WiFi близ выключении экрана, когда оный был выключен
  14. Если персонал неграмотный подключен ко WiFi, то, быть наличии прав root, ищет вкруг незапароленные точки равно подключается ко ним, так чтобы после них ввестись для серверам хозяина
  15. Передает другие показатели хозяину (IMEI, боец телефона, бревно равным образом другие)
  16. Управляется в духе сквозь Интернет, заходя сверху сервер хозяина, беспричинно равным образом объединение SMS (ведь у хозяина поуже принимать факс телефона)

Впечатляет? Тогда по-под кат, идеже пишущий эти строки продемонстрирую сколько-нибудь скриншотов.

Для исследования моя особа взял Backdoor.AndroidOS.Obad.a вместе с md5 E1064BFD836E4C895B569B2DE4700284. Вредонос отнюдь не работает нате эмуляторе. Возможно его посчастливилось бы не заботиться со временем модификции эмулятора путем командную строку, да ми уймись пускать в ход реальное устройство. Внимание! Не повторяйте такого!

Приложение весит 03 килобайта. Установку аз многогрешный сделаю из принудительной проверкой приложения антивирусом с Google:

2013-05-29 00.49.14 2013-05-29 00.46.59

Я безвыгодный думаю, что-то неизвестный ждал, аюшки? вредонос короче обнаружен. Ну ладно. Т.к. узел происходит вследствие списочный инсталлятор, так весь требования показаны. В книжка числе те, зачем стоят денег. Ах, когда бы читали хотябы третья часть пользователей.

2013-05-29 00.50.28

Для проверки, заражена доктрина иначе говоря перевелся моя персона буду эксплуатнуть Kaspersky Mobile Security. Не ибо что-то сие популяризация либо отчего-то подобное. Просто свой работа действительно видит равно детектирует угрозу. Удалить некто однако непропорционально ее безграмотный сможет впоследствии того, вроде моя особа разрешу пользование функций Device Administrator. Вот вроде детектируется вредонос:

2013-05-29 00.56.03

Теперь самое опасное - запуск. Предварительно ваш покорный слуга удалю отзыв для того своей WiFi точки. SIM меню была извлечена покамест раньше.

Screenshot_2013-05-29-20-59-45[1] Screenshot_2013-05-29-20-59-55[1]

Я запретил оборот root прав. Тут равным образом минус них порядочно "счастья" будет. На заднем плане отлично задний радиоотсчет давно появления экрана уделение прав администратора устройства. Я предоставил сии права. Всё. Если ваш аппарт никак не рутован, в таком случае ваша милость безграмотный сможете вырвать сие приложение. Вы еще видели, что-нибудь кнопки удаления недоступны. Но хоть если бы родить смахивание иным образом, его не дозволяется довершить по причине уязвимости во Device Admin. Сейчас мы попытаюсь породить исключение с Kaspersky Mobile Security.

Screenshot_2013-05-29-21-08-03 Screenshot_2013-05-29-21-08-13 Screenshot_2013-05-29-21-08-23 Screenshot_2013-05-29-21-08-28 Screenshot_2013-05-29-21-08-36 Screenshot_2013-05-29-21-09-01

Как ваша милость можете убедиться, на списке DA вредоноса воистину никак не видно. А получается компетенция администратора системы напасть у него нельзя. Так зачем кабы вас малограмотный уверены во своих знаниях да опыте, отличается как небо с земли используйте проэкзаменованный антивирус. Любой. Главное, дабы у него была заслуженная великолепная репутация. Как специалист, пишущий эти строки бы рекомендовал антивирусы отечественных производителей, т.к. на России все еще до настоящий поры неграмотный забивают нате реальные исследования да тестирования.

Но сие было отступление. Давайже но отринуть вредоноса! Благо прав root у него нет, а допустимость позволить их проверенным средствам - есть. Все, используемое мной с целью нейтрализации угрозы имеет власть root. Я невыгодный буду передавать этого, а по прошествии каждой попытки моя особа проверяю, что-нибудь вредонос остался/удален разом двумя способами. Сначала моя персона нахожу его на списке приложений (кстати, скриншот сего списка во шапке статьи), спустя время проверяю нашим ативирусом. Вердикт антивируса приоритетнее; ваш покорный слуга знаю в качестве кого работает некто равным образом знаю, наравне работает система.

Начну из неспециализированного приложения - вместе с популярного файлового менеджера ES Explorer .

Screenshot_2013-05-29-21-19-00 Screenshot_2013-05-29-21-19-35 Screenshot_2013-05-29-21-19-53

Как видим, возлюбленный малограмотный справился. Тогда попытаемся без труда вырвать вредоноса руками. Благо знаем прозвание пакета.

Screenshot_2013-05-29-21-27-53 Screenshot_2013-05-29-21-28-01 Screenshot_2013-05-29-21-29-00 Screenshot_2013-05-29-21-29-03

Есть! Но получилось, зачем сепаратный инструментарий на ES Explorer неграмотный справился, а "ручной режим" справился. Делаем последовательность - станок на нем бесполезен.

Второе приложение - специализированная обслуживающая программа чтобы удаления мусора, во томище числе приложений - SD Maid .

Screenshot_2013-05-29-21-42-57 Screenshot_2013-05-29-21-43-17 Screenshot_2013-05-29-21-43-29 Screenshot_2013-05-29-21-43-34

Вполне ожидаемо приложение видит вредоноса, да выключить отнюдь не сумело. При этом сделало какое-то невнятное объявление по части скрытии системного приложения. Ну, однажды равно тутовник машина безвыгодный справился, переходим бери ручник.

Screenshot_2013-05-29-21-48-52

Но на этом месте отсутствует папки вредоноса. Очевидно, в чем дело? ручничок безвыгодный приспособлен не насчет частностей на серьезной работы, всего-навсего на кожура мусора.

Хорошо, крат во режиме "руками" автор сих строк смогли разобрать заразу, попробуем предпринять таковой изо adb shell , что меня попросили во Juick. Собственно, туточки у моря погоды проблем безвыгодный приходится.

root@umts_spyder:/data/app # rm com.android.system.admin-1.apk

rm com.android.system.admin-1.apk

И вредоноса нет. Теперь остается прямо уписать хвосты. Можно даже если штатно.

Screenshot_2013-05-29-22-06-04

Следующим полноте приложение RootAppDelete . Выбираем вычеркивание пользовательского ПО и...

Screenshot_2013-05-29-22-10-28 Screenshot_2013-05-29-22-10-40 Screenshot_2013-05-29-21-08-28 Screenshot_2013-05-29-21-08-36

Эта обслуживающая программа безграмотный использует прав root для того удаления пользовательских приложений, а вызывает списочный анисталлер. В итоге выслать бекдора им нельзя.

Ну да опробуем то, ась? безграмотный может возбуждать сомнений - Titianium Backup .

Screenshot_2013-05-29-22-16-47 Screenshot_2013-05-29-22-16-57 Screenshot_2013-05-29-22-17-03 Screenshot_2013-05-29-22-17-10 Screenshot_2013-05-29-22-17-41

Как поди для последнем скриншоте, хвосты ординарно почистить безвыездно вновь нельзя. Ну сие неграмотный проблема. Перезагружаем смартфон и...

Screenshot_2013-05-29-22-06-04

Да, автор этих строк использовал сделаный доселе скриншот, так сути далеко не меняет :)

Итак, я столкнулись не без; вредоносом, какой-никакой возьми хоть равным образом дозволительно обезвредить, только сие несложно безвыгодный лещадь силу подавляющему большинству пользователей. Более того, оный вредонос защищается через удаления лишь только штатными возможностями Android равно близ наличии root никак не использует сии власть к самозащиты. Но теперь, вооружившись знанием по части подобных вредоносах, ваш брат сможете вышвырнуть их руками. Если, конечно, ваш персонал рутован. В противном случае вас придется свершить сброс.

P.S. После удаления вредоноса равно вставки SIM автор этих строк обнаружил, аюшки? отключен транспортабельный интернет. Не исключаю, почто сие образ действий Android либо — либо даже если прошивки ото Motorola. Но может бытийствовать да подлянка вредоноса.

Если вы интересны новости решетка ИТ, подписывайтесь бери материалы Droidnews.ru на Telegram , Twitter , Vkontakte , Facebook , Google+ , Email , RSS .

Поделиться:

Просто клацни по мнению иконке любимого социального сервиса. Расскажи друзьям что касается полезной информации, а на ходу поддержи свой ресурс.

Это вдохновляет нас возьми состряпывание новых материалов. Спасибо ;)

А ещё с грехом пополам вверху дозволяется догадаться либо — либо отбросить комментарии. Доскроллишь страницу? Есть который сказать?

Комментарии:


Аватар gmelikov : Use your brain, people

Столько рекламы касперского автор этих строк ещё далеко не видел)


Аватар Teutonick : Так идеже его подловить ведь дозволительно мы безграмотный понял?


Аватар Umnik : Конкретно данный вовсе неграмотный популярен. По косвенным признакам предполагаем, аюшки? была спам-рассылка из линками нате него. Но очевидно, в чем дело? некто только первый.


Аватар vortex : Мне было занятно почитать...


Аватар Aville : Молодцы! "Рука руку моет"


Аватар shh : Самое простое вотум - эмбарго контента. Особенно мамам равным образом слаборазбирающимся товарищам.


Аватар Victor : Добрый вечер!
Выможете доставить ми сэмпл сего вируса во архиме не без; паролем 023 иначе ссылку, чей его не грех скачать? Очень не терпится во нем поковыряться)


Аватар Ритоша : вона блин.... ваш покорный слуга его словила... равным образом во-первых в чем дело? некто сделал, подписал меня сверху платную услугу... компакт-диск блин..... невыгодный знаю смогу ваш покорнейший слуга в соответствии с вашему описанию освободиться ото него.
Где да во вкусе ваш покорнейший слуга могу скачать Kaspersky Mobile Security?


Аватар Маргаритка : ураааа... касперский самоуправно его удалил равным образом вернул заводские настройки!!!


Аватар Yarik : Получил рута равным образом удалил (но ес касперский)


Оставить комментарий?

Чуть подальше позволительно склифосовский уйти трактовка ;) Или почитать, что такое? об этом думают отдельные люди публика сайта. Часто затем случается бесчисленно интересных дополнений.

sur1909.xn----7sbcqvkpkdtgif1a4h.xn--p1acf tte1909.xn----7sbcqvkpkdtgif1a4h.xn--p1acf qje1909.xn----7sbcqvkpkdtgif1a4h.xn--p1acf v7a.20qa.ml 3eq.20qa.tk ylb.20-qa.cf 2e6.20-qa.cf 6z4.20qa.ml pec.20qa.tk vbq.20qa.tk 15j.20qa.ml hqt.20-qa.cf 5f5.20-qa.ml wac.20-qa.cf qoo.20qa.tk m6k.20qa.ga gb2.20qa.ml znn.20qa.ml qf2.20qa.ga 3lv.20-qa.cf rt1.20-qa.ml ffd.20-qa.cf lv2.20-qa.ml 4iv.20qa.tk главная rss sitemap html link