Android packed 15893 что это – Исследователи создали эксплоит для получения root-доступа к Android-смартфонам с помощью уязвимости Rowhammer

HEUR: Trojan.AndroidOS - что это за вирус, как удалить

Иногда, при обычном использовании программ пользователь сталкивается с непредвиденными трудностями. В некоторых случаях это всплывающие окна о возможной угрозе со стороны сторонних файлов. Данный материал расскажет об опасном семействе вирусов «HEUR: Trojan», о которых часто сигнализирует Сбербанк Онлайн. Мы покажем как удалить зловреды AndroidOS.Agent.EB, AndroidOS.Dropper, Downloader.Script.Generic, Win32.Generic, Win32.Banker и другие подобные.

Что это за вирусы?

Семейство HEUR: Trojan – наиболее опасное из современных вирусов на Андроид, iOS и Windows, которое отличается расширенным функционалом, глубоким проникновением, а значит — увеличенным уровнем угрозы для пользователя.

AndroidOS-обнаруженный-Касперским

AndroidOS обнаруженный Касперским

Данные зловреды пробираются в системные файлы смартфона или PC, клонируясь с небывалой скоростью, также может маскироваться под обычные файлы, процессы и безобидные приложения.

К сожалению, ввиду эволюции вредоносного ПО не всегда антивирусы могут предупредить владельца об угрозе скачиваемого файла или посещаемой страницы, что и обуславливает распространение подобной «инфекции». Современные системы защищены правами Администратора, однако и этот момент вирусы способны обходить.

Из популярных «возможностей» HEUR:Trojan выделяют:

  1. Рассылка сообщений на платные номера, подтверждение платных подписок для вытягивания средств с баланса счёта.
  2. Воровство личных данных, в том числе паролей от финансовых ресурсов, номеров банковских карт со всеми вытекающими.
  3. Проникновение непосредственно в программы интернет-банкинга, электронных кошельков для беспрепятственного перевода средств на сторонние счета.

Звучит довольно ужасающе, не правда ли? Радует одно – эту вариацию вируса уже распознаёт большинство антивирусных программ Kaspersky, ESET, Dr.WEB, NOD, AVAST и другие.

Защита Сбербанк Онлайн, к примеру, уже при входе в систему идентифицирует попытку проникновения, предлагая удалить вирус. Однако, радоваться раньше времени не стоит – такое удаление не приведёт к полному уничтожению вируса.

HEUR:Trojan.AndroidOS обнаруженный Сбербанком Онлайн

Trojan.AndroidOS выявленный Сбербанком Онлайн

Если говорить, про возможные причины появления зловредов, то здесь всё просто – банальная неосторожность в сети:

  1. Скачивание пиратских версий игр, иных apk-файлов на смартфон со сторонних ресурсов.
  2. Посещение сомнительных web-сайтов с множеством картинок, gif-изображений и гиперссылок. В таком случае, скачивание вируса может быть активировано случайным нажатием, в фоновом режиме.
  3. Обмен файлами с уже заражёнными пользователями – посредством Bluetooth, Облака и подобных сервисов.
  4. Переход по ссылкам в присылаемом спаме на почту или в SMS.

Из популярных вариаций HEUR:Trojan выделяют:

  • AndroidOS.Agent.EB или Androidos.Boogr.Gsh – устанавливает в систему специальную утилиту, внедряющую рекламу во все иные приложения. Используется для монетизации за счёт подобных показов.
  • Downloader.AndroidOS.Agent – СМС-вирус, используемый для платных подписок и отправки сообщений на тарифицируемые номера.
  • Script.Generic.Miner.Gen – продажа трафика пользователя, скачивание и перенаправление файлов (значительно замедляет и интернет-соединение).

Также существует тип Win32.Generic – это файл, находящийся под подозрением вирусной системы. К такому типу могут относится даже официальные приложения, в коде которых обнаружены отслеживающие или перехватывающие информацию скрипты.

Как удалить HEUR:Trojan.AndroidOS и подобные ему?

Базового предложения «Удалить» от того же Сбербанка, как уже упоминалось, недостаточно — но не стоит переживать о сложности проводимых манипуляций. Для решения проблемы подойдёт стандартные сканеры от Dr.Web, AVG или Kaspersky. Версии этих программ есть как для ПК, так и для мобильных OS.

Следуем простейшим инструкциям:

    1. Скачиваем любой из предложенных сканеров. Я, к примеру, для своего Xiaomi использую Касперский.
    2. Также хорошо зарекомендовал себя Dr.Web для смартфонов, так как его базы данных постоянно обновляются и он находит новейшие угрозы.
    3. С их помощью запускайте сканирование всех файлов, включая системные процессы.
    4. Обязательно снесите левые приложения, которые вы не используете, либо они загружены не из Маркета.
    5. Включите опцию «Защита Play Market». Активируйте-опцию-защиты-в-Маркете

      Активируйте опцию защиты в Маркете

Далее – просто выбираем «Удалить» для всех подозрительных пунктов. Это более эффективно, нежели «Лечить» файлы, так как вирус может успеть распространиться в другие отсеки системы. Если в доступе вам отказано, тогда:

  1. Открывайте «Настройки» -> «Конфиденциальность» -> «Администраторы устройства». Снимите галочки со всего лишнего и снова запускайте проверку.
  2. При обнаружении угроз — показывается путь к опасному файлу. Можете вручную его открыть и стереть из системы. Total Commander позволяет с таким справится очень быстро. Касперский-показывает-путь

    Касперский показывает путь

  3. Есть спец. утилита Titanium BackUp. С её помощью можно банально заморозить вирусный процесс.

Рекомендуем вам более скептически относится к «бесплатным» версиям оригинальных приложений. Лучше потратить несколько долларов и купить «лицензию», нежели потом потратить десятки из-за действия вредоносных утилит, отправки платных SMS. Также после удаления рекомендую обновить пароли, включите двойную аутентификацию.

Если у вас возникли сложности, с угрозами типа AndroidOS.Agent.EB и в удалении ничего не получилось — пишите ниже в комментариях, постараемся вам помочь.

Оценка статьи:

Касперский-показывает-путь Загрузка...

Троянское приложение для Android обходит проверки Google Bouncer / ESET NOD32 corporate blog / Habr

Аналитики ESET обнаружили интересный метод скрытной атаки на пользователей Android, который содержит в себе интересную особенность. В магазине приложений Google Play нам удалось обнаружить несколько приложений, которые маскировались под легитимные, но на самом деле содержали в себе другое приложение с вредоносными функциями. Это встроенное приложение называлось
systemdata
или resourcea.

Это второе приложение скрытно сбрасывается в память устройства из первого, но спрашивает у пользователя разрешение на установку. Оно представляется в качестве инструмента для управления настройками устройства «Manage Settings». После своей установки, приложение работает как служба в фоновом режиме.

Антивирусные продукты ESET обнаруживают приложения, которые содержат в себе это дополнительное приложение как Android/TrojanDropper.Mapin. Согласно нашим данным, на долю Индии приходится наибольшее количество заражений устройств Android этим вредоносным ПО.

Вредоносная программа представляет из себя бэкдор, который получает контроль над устройством и включает его в состав ботнета. Бэкдор использует специальный внутренний таймер для отложенного исполнения своей полезной нагрузки. Таким образом, авторы могут обмануть различные автоматические системы анализа файлов, которые могут причислить файл к подозрительным из-за его поведения. В некоторых случаях, бэкдор может ждать три дня прежде чем активировать полезную нагрузку. Скорее всего, такая мера позволяет авторам обойти механизмы проверки инструмента анализа файлов Google Bouncer, используемый Google для проверки загружаемых в Play приложений.

После активации полезной нагрузки, троян запрашивает права администратора в системе и начинает взаимодействовать со своим C&C-сервером. Android/Mapin содержит в себе различные функции, например, отображение пользователю различных уведомлений, загрузка, установка и запуск других приложений, а также получение личной информации пользователя на устройстве. В то же время, основной его функцией является отображение fullscreen-рекламы на зараженном устройстве.

Векторы распространения

Вредоносные приложения были размещены в магазине приложений Google Play в конце 2013 г. и в 2014 г. Названия приложений были различными, включая, «Hill climb racing the game», «Plants vs zombies 2», «Subway suffers», «Traffic Racer», «Temple Run 2 Zombies», «Super Hero Adventure» разработчиков TopGame24h, TopGameHit и SHSH. Точные даты загрузки приложений были 24-30 ноября 2013 г. и 22 ноября 2014 г. Согласно статистике ресурса MIXRANK, приложение Plants vs zombies 2 было загружено более 10 тыс. раз перед его удалением из магазина. В то же самое время, приложения «System optimizer», «Zombie Tsunami», «tom cat talk», «Super Hero adventure», «Classic brick game», а также вышеупомянутые приложения Google Play с вредоносными возможностями, были загружены в альтернативные магазины приложений Android теми же авторами. Такой же бэкдор был обнаружен в комплекте с другими приложениями, которые были загружены в магазин разработчиком PRStudio (не путать с prStudio) в альтернативные магазины приложений со ссылками на Google Play. Данный разработчик загрузил как минимум и пять других троянских приложений в альтернативные магазины приложений: «Candy crush» или «Jewel crush», «Racing rivals», «Super maria journey», «Zombie highway killer», «Plants vs Zombies». Эти приложения все еще доступны для скачивания из этих магазинов. Перечисленные приложения были загружены пользователями сотни раз.


Рис. Значки вредоносных приложений.


Рис. Вредоносное приложение, которое получило достаточно положительных оценок.


Рис. Еще одно приложение, получившее положительные оценки.

Анализ

Существуют различные варианты исполнения вредоносной программы после того, как пользователь загрузил нелегитимное приложение. Один из вариантов предполагает, что жертве будет предложено запустить файл с вредоносной программой спустя 24 после первого исполнения загруженного приложения. Такой метод является менее подозрительным для пользователя, который считает, что запрос на запуск поступил от ОС. Другой метод подразумевает под собой выдачу мгновенного запроса пользователю. Оба варианта рассчитаны на срабатывание после изменения подключения к сети, для этого вредоносная программа регистрирует т. н. broadcast receiver в манифесте.


Рис. Регистрация т. н. broadcast receiver.

После изменения подключения, пользователю будет предложено установить «системное приложение». Само сброшенное на устройство вредоносное приложение может называться «Google Play Update» или «Manage Settings».


Рис. Вредоносное приложение маскируется под системное.

В том случае, если пользователь выбирает отмену установки, то вредоносная программа будет показывать запрос каждый раз при смене сетевого подключения. Можно предположить, что простой пользователь будет уверен в серьезности отображаемого уведомления и в какой-то момент, скорее всего, нажмет кнопку установки только чтобы избавиться от него. После запуска троян исполняется в качестве сервиса со своим зарегистрированным broadcast receiver, ожидая изменения подключения.

Когда такое изменение произойдет, троян попытается зарегистрировать себя с помощью сервиса Google Cloud Messages (GCM) для последующего получения сообщений. После этого, Android/Mapin попытается зарегистрировать зараженное устройство на сервере злоумышленников, отправляя туда такую информацию как имя пользователя, аккаунт Google, IMEI, регистрационный идентификатор (ID) и название своего пакета приложения.


Рис. Процесс регистрации устройства на сервере злоумышленников.

Для того, чтобы исключить возможность своего удаления из системы, троян требует от пользователя активировать режим администратора устройства.


Рис. Предложение пользователю об активации режима администратора устройства.

Троян сообщит на удаленный сервер об успешности активации режима администратора устройства. Как только такая операция произойдет, вредоносная программа будет показывать пользователю рекламу в полноэкранном режиме (interstitial). Такая реклама (interstitial ad) будет отображаться пользователю заново каждый раз при смене подключения. Разработка такого типа рекламы возможна с использованием легитимного AdMob SDK.


Рис. Full-screen реклама (interstitial ad).

Сетевое взаимодействие

Троян взаимодействует со своим управляющим сервером используя сервис Google Cloud Messaging (GCM). Этот сервис все чаще используется современными вредоносными программами для своих целей, через него злоумышленники могут инструктировать бот на выполнение нужных им действий.


Рис. Обрабатываемые ботом команды.

Не все функции вредоносной программы полностью реализованы в ее коде, кроме этого, не все уже реализованные функции используются. Возможно, что сама угроза все еще находится на уровне разработки и будет улучшена в будущем. Как мы уже упоминали, ее основная цель заключается в доставке агрессивной full-screen рекламы для ее отображения пользователю, маскируясь под системное приложение. Бот также может быть использован злоумышленниками для установки другого вредоносного ПО на скомпрометированное устройство.

Кроме показа рекламы, список выполняемых им вспомогательных функций достаточно обширен: изменение идентификатора publisher ID отображаемой рекламы, загрузка и запуск других приложений, отображение уведомлений пользователю, отключение режима администратора устройства, изменение адреса управляющего C&C-сервера, создание на домашнем экране Android ярлыков, которые ведут на URL-адреса загрузки приложений. После исполнения каждой задачи, полученной с помощью GCM, бот будет информировать об этом удаленный сервер с использованием протокола HTTPS.

Заключение

Троянская программа была успешно загружена в магазин Google Play, поскольку содержала в себе механизм отложенной активации вредоносных функций и, таким образом, не вызвала к себе подозрений со стороны инструмента Bouncer. Интересным вопросом является и то, почему Bouncer не специализируется на статическом анализе исполняемых файлов внутри загруженных приложений. По этим причинам троянская программа свободно распространялась пользователям через официальный магазин приложений Google для Android. Вредоносная игра «Super Hero adventure» была загружена в Play Store разработчиком SHSH. Вполне возможно, что этот разработчик загрузил больше приложений в магазин Play. В конечном счете, все они были удалены из магазина, но оставались незамеченными там в течение полутора лет. Возможно, что подобные случаи стали причиной того, что в марте 2015 г. Google объявила о том, что все приложения и обновления должны проходить проверку со стороны человека.

Лучшей практикой для поддержания своего устройства в безопасности является использование только официального магазина приложений для их загрузки. Кроме этого, необходимо уделять внимание отзывам и комментариям пользователей к размещаемым там приложениям. При установке приложения следует внимательно следить за запрашиваемыми приложением правами. Если вы заметили что-либо подозрительное в поведении приложения, его можно отправить в качестве образца в антивирусную лабораторию с соответствующими комментариями о причинах отправки.

Ниже представлена информация о проанализированных нами образцах вредоносной программы.

Удаление вируса на Android: пошаговая инструкция

Если ваш телефон или планшет на базе Android барахлит, есть вероятность того, что на нём вирус. Наш полезный гайд расскажет вам, как удалить вирус с Android и как избежать вредоносного ПО.

Чаще всего вирусы устанавливаются вместе с сомнительными приложениями, а самый лучший способ избежать их – скачивать приложения из Google Play.

Как только Google распознаёт небезопасное приложение, он сразу же удаляет его со всех подверженных опасности устройств. Именно это произошло в январе 2018, когда оказалось, что 60 приложений Android содержат детскую порнографию. В результате ещё одного случая в марте этого года были выявлены 7 приложений, содержащих вредоносное ПО Andr/HiddnAd-AJ, которое засыпало устройство рекламой и уведомлениями через шесть часов после установки.

Если ваше устройство было засорено вредоносным ПО, мы научим вас, как:

  1. Перевести устройство в Безопасный режим
  2. При необходимости отключить для вредоносных приложений доступ администратора
  3. Удалить приложение

Если этого сделать не удастся, должно помочь восстановление заводских настроек, хотя по понятным причинам вы предпочтёте этого избежать, если у вас нет резервной копии данных.

Перед тем, как мы начнём, стоит отметить, что ваше устройство на базе Android вряд ли заражено вирусом. Те сбои, которые вы наблюдаете, вероятнее всего являются обычной рекламой, убеждающей вас, что устройство заражено и вам необходимо установить какое-нибудь приложение, или же устройство просто медленно работает.

Если вы уверены, что вирус на вашем устройстве буйствует, читайте наши инструкции, как от него избавиться.

 

Откуда берутся вирусы на Android?

Самым популярный путь появления Android-вируса на вашем телефоне или планшете – через приложение. Действительно, все самые вредоносные программы, появлявшиеся на первых полосах в последние годы: Gunpoder, троян Ghost, Googlian и Godless попали на устройства именно таким образом. А Mazar проник через текстовое сообщение, призывавшее пользователей скачать браузер Tor.

Возьмём случай с Loapi, устанавливаемым не из Google Play. Троян Loapi – это новая угроза, которая устанавливается через антивирусные приложения, предназначенные якобы для защиты устройства. Это может привести к такой нагрузке на ваше устройство, что оно перегреется и аккумулятор не выдержит; он также может отправлять текстовые сообщения от вашего имени, подписываться на платные услуги без вашего ведома, разрешать злоумышленникам выполнять HTTP-запросы для DDoS-атак и даёт им доступ к криптовалюте Monero.

Skygofree – ещё один пример вредоносного ПО на Android. Оно представляет собой шпионское ПО, устанавливаемое на ваше устройство после перехода по ссылке на фейковые веб-сайты, якобы являющиеся официальными сайтами известных брендов, таких как мобильные операторы.

Android-вирусы имеют различные цели, некоторые из которых запускают вредоносные процессы на вашем устройстве, некоторые крадут вашу личную информацию, а другие загружают дополнительное программное обеспечение, которое не всегда является вредоносным само по себе. Но какие бы процессы они не запускали, вы вряд ли захотите, чтобы вирус оставался на вашем устройстве.

 

 

Как избежать вирусов и вредоносного ПО на Android

• Если вы не уверены в источнике на 100%, не устанавливайте приложения не из Google Play: эта функция должна быть отключена по умолчанию, но, чтобы убедиться в этом, откройте меню «Настройки» вашего телефона или планшета, перейдите в «Безопасность», затем убедитесь, что опция «Неизвестные источники» отключена. Если вы устанавливаете приложение вне Google Play, вы должны быть абсолютно уверены, что устанавливаете его из легального и проверенного источника, а не с поддельного веб-сайта.

Избегайте приложений-клонов: в 99% случаев загружать приложения из Google Play безопасно, но вредоносный код может находиться внутри приложений. Избегайте загрузки подозрительного ПО, которое, вероятно, клонирует приложения от неизвестных разработчиков, или приложений, функции которых не совпадают с заявленными в описании.

• Проверьте права доступа к приложениям: независимо от того, откуда вы устанавливаете приложение, проверьте, есть ли у него необходимые разрешения перед тем, как нажать «Установить». Никогда не предоставляйте приложениям права администратора устройства, это сделает невозможным его удаление. И действительно ли видеопроигрывателю необходим доступ к вашим контактам? Вы также можете проверить отзывы в интернете и просмотреть веб-сайт разработчика, чтобы узнать, является ли приложение подлинным или вредоносной подделкой.

• Постоянно обновляйте Android: Последняя версия операционной системы Android не обязательно будет доступна для вашего телефона или планшета, но вы должны убедиться, чтобы ваша версия была максимально актуальной. 

К сожалению, даже если вы обновите ПО на своём Android-устройстве, может оказаться, что оно не так актуально, как вы думаете. Лаборатории по исследованию безопасности опубликовали результаты углубленного исследования, в котором утверждается, что несколько крупных компаний-поставщиков виновны в том, что они объявили о появлении новых необходимых патчей, когда таковых на самом деле не было.

Среди самых злостных нарушителей Alps, TCL, Oppo и ZTE, у которых отсутствовали четыре или более заявленных к выпуску критических и высоконадежных патчей. За ними с двумя-четырьмя нарушениями идут HTC, BlackBerry, Asus, Fairphone, LG, Huawei и Lenovo. Пару нарушений значится также за OnePlus, Wiko, Xiaomi, Nokia, Motorola и Honor. В первых рядах всего с одним пропущенным патчем или вообще без нарушений находятся Google, ZUK, LeEco, Samsung, Sony и BQ.

• Установите антивирусное приложение: вовсе не обязательно устанавливать антивирус на Android, но это может обеспечить вам душевное спокойствие, если вы переживаете, что ваше устройство может быть заражено. Кроме того, антивирусные приложения часто имеют и другие полезные функции. Учтите, что антивирус Android иногда сообщает о ложных вирусах, но если вы знаете, что приложение в порядке, просто не обращайте на это внимания. 

 

 

Как избавиться от вируса на Android

Переведите свой телефон или планшет в безопасный режим. Это предотвратит работу приложений от сторонних разработчиков и вредоносного ПО. На многих устройствах для перезапуска в безопасном режиме нужно нажать кнопку питания, чтобы получить доступ к параметрам отключения питания, затем нажать и удерживать кнопку «Выключение».

Если это не работает на вашем устройстве, вбейте запрос в Google «Как перевести [ваше имя модели] в безопасный режим» и следовать инструкциям.

Когда устройство будет переведено в безопасный режим, вы увидите кнопку «Безопасный режим» в левом нижнем углу экрана. Откройте меню «Настройки» и выберите «Приложения», затем перейдите во вкладку «Загружено».

Скорее всего, вы сразу заметите, что ваше устройство работает не так, как обычно, сможете без труда вычислить новое вредоносное приложение.

Если вы не знаете, какое приложение заразило ваш телефон или планшет на базе Android, проверьте, нет ли в списке загруженных приложений чего-то странного или того, что вы не устанавливали.

Нажмите на подозрительное приложение, откройте страницу с информацией о приложении и нажмите «Удалить». В большинстве случаев этого будет достаточно, чтобы избавиться от вируса, но иногда опция «Удалить» бывает недоступна. Это происходит, когда вирус предоставляет себе права администратора.

Выйдете из Меню приложений, нажмите «Настройки»-«Безопасность/ Конфиденциальность» -«Администраторы устройства». Там вы найдёте список приложений, имеющих права администратора. Просто снимите галочку рядом с приложением, которое хотите удалить, затем выберите «Деактивировать» во всплывающем окне.

Теперь вы можете вернуться в Меню приложений и удалить вредоносное приложение. Когда вирус удалён, всё, что нужно сделать – это перезагрузить устройство и отключить Безопасный режим.

Теперь, когда устройство работает исправно, самое время сделать резервное копирование всех важных данных и установить антивирусное приложение для Android, чтобы защититься от вирусов в будущем.

Android.DownLoader3737 – что это? Как удалить опасный вирус?

Сегодня поговорим о занимательной программе на смартфоне Android.DownLoader3737. На первый взгляд кажется что это встроенная программа или загрузчик на телефоне. Это далеко не так и под видом полезной утилиты скрывается вирус.

Android.DownLoader3737 – это вирус, который так же выполняет загрузку и установку сторонних приложений и модулей. Может заразить устройство путем установки утилиты AdupsFota либо «вклеен» в игры и программы скачанные на сторонних ресурсах помимо Play Маркет и других официальных источников. Так же был замечен в некоторых версиях прошивок смартфонов Blackview.

Заражение Android.DownLoader3737 и последствия

Сам по себе Android.DownLoader3737 может показаться безобидным загрузчиком, но на деле это опасное приложения для смартфона! Кроме того он может дополнительно подгружать модули с червями, троянами и бэкдорами. Вирус может тихонько работать в фоновом режиме, скрывая свое нахождение в телефоне. Что примечательно может отключить передачу данных по Wi-Fi и использовать протокол 3G или 4G. Часть трафика идет в Китай, что позволяет судить о его происхождении.
Если у вас установлено приложение AdupsFota – посмотрите в файловой системе эти пути: /system/app/AdupsFota/AdupsFota.apk и /system/app/AdupsFota/oat/ram/AdupsFota.odex. Вспомните, что вы скачивали на устройство, возможно программу или мод для игры.

Путь к Android.DownLoader3737

Путь к Android.DownLoader3737

Ярким примером последствия вируса служит появление рекламы и баннеров на рабочем столе Андроид. Так же после заражения могут быть дополнительно загружены другие зловреды и рекламные модули: Android.HiddenAds.251.origin, который лежит в /system/priv-app/GYBeautySnap_V1.2. И Android.RemoteCode.136.origin, его ищите тут: /system/priv-app/SoundRecorder/ . Android.RemoteCode.136.origin более опасен, поскольку разрешает удаленное управление Андроидом и выполнение кода.

Дополнительные угрозы на смартфоне

Дополнительные угрозы на смартфоне

Как удалить Android.DownLoader3737?

Вирус Android.DownLoader3737 не новый, несмотря на разновидности его модификаций. Его сигнатуры есть во многих антивирусных программах для Андроид. Для его удаления понадобиться установить одну из них и полностью проверить: внутреннюю память смартфона, память на флеш накопителе, загрузочную область и оперативную память на телефоне. Для удаления трояна установите последнюю версию Антивирус Dr.Web Light или Kaspersky Internet Security: Антивирус и Защита из Play Маркет. Это лидеры в создании антивирусного софта и приложений.

Важно! Если у вас смартфон моделей Blackview, скорее всего угроза попала в устройство вместе с прошивкой смартфона. Тогда вам понадобиться наличие Root прав на телефоне. Без рут прав придется установить новую версию прошифки. Устанавливайте официальную или кастомную версию. Взять можно с сайта 4PDA в этой ветке.

Как защититься от вирусов?

Первая защита – ваша внимательность, посещайте только проверенные и официальные сайты, не загружайте неизвестные файлы. То же касается даже музыки и видеоклипов – вместо них может быть вирус с именем музыка из tik tok.mp3.apk.

  1. Если прошиваете смартфон – ставьте официальную прошивку или с сайта 4PDA.
  2. Для загрузки приложений и игр используйте Play Маркет, GetApps от Xiaomi или Яндекс.Store.
  3. Установите Касперсикй Internet Security или Dr.Web Light.
  4. Хотя бы раз в неделю погоняйте память смартфона и флешку антивирусами.
  5. Обновляйте антивирусные базы или дайте приложениям доступ на самообновление.

Заключение

Приведенные выше советы подойдут не только для удаления Android.DownLoader3737, но и помогут в борьбе с большинством вирусов, троянов, бэкдоров, Malware и рекламными опасностями. Если вы столкнулись с трудностями при удалении – напишите нам в комментариях к этой странице и мы дополним нашу статью.

Извлечение аппаратного ключа полнодисковой защиты в телефонах Android на процессорах Qualcomm

Эксплоит опубликован на Github


Компания Google начала внедрять полное шифрование диска (Full Disk Encryption, FDE) по умолчанию с версии Android 5.0 Lollipop. В первое время, когда шифрование реализовали в устройствах Nexus 6, многие пользователи жаловались на снижение производительности при чтении и записи данных на накопитель, но с версии Android 6.0 эту проблему вроде бы решили.

Полное шифрование диска защищает всю информацию на телефоне даже в том случае, если устройство попало в руки правоохранительных органов или других злоумышленников.

При включенном шифровании любая информация на телефоне автоматически на лету шифруется ключом AES перед записью на носитель. И наоборот, при считывании информации она автоматически расшифровываются этим ключом.

На устройствах iOS 9 этот ключ является производной функцией от пользовательского пароля и уникального 256-битного аппаратного ключа, зашитого в смартфон на заводе. Взломать шифрование такого уровня с помощью брутфорса не может даже ФБР, как известно из недавней истории со смартфоном стрелка из Сан-Бернардино, из-за которого ФБР и Apple дошли до суда. В итоге ФБР всё-таки сумело взломать телефон с помощью неизвестной 0day-уязвимости. Как можно понять из слов главы госструктуры, за обход защиты ФБР пришлось заплатить хакерам более миллиона долларов.


Полное шифрование диска в iOS

Таким образом, брутфорс FDE возможен только с использованием конкретного аппаратного устройства. Это значительно затрудняет проведение атаки. В обычном случае можно было бы создать миллион копий и распараллелить брутфорс в облачном сервисе, что позволяет очень быстро подобрать 99% реальных паролей. Но в данном случае приходится ограничиваться единственным устройством, на котором Apple добавляет ещё и дополнительные помехи — задержки между попытками ввода пароля, ограничение на максимальное количество попыток и т.д. Вот почему для спецслужб исключительно важно найти способ извлечения аппаратного UID, тогда брутфорс пароля становится банальной технической задачей.

Полное шифрование диска в Android 5.0+ реализовано несколько иначе, чем в iOS 9, и подробно описано в блоге Николая Еленкова и в официальной документации Android.

Здесь ключ шифрования тоже является производной функцией от обычно слабого пользовательского пароля, но также от случайным образом сгенерированного 128-битного мастер-ключа (Device Encryption Key — DEK) и случайно сгенерированной 128-битной соли. Поле генерации DEK защищается с помощью тщательно продуманной схемы, в которой используются введённые пользователем значения — пинкод/пароль/паттерн (графический ключ) для входа. Затем зашифрованный DEK помещается в специальное зашифрованное хранилище под названием crypto footer. Все эти уровни шифрования нужно преодолеть, прежде чем расшифровать DEK, а затем любую информацию, записанную на накопителе.

Как и в случае с iOS 9, в операционной системе Android реализована привязка схемы шифрования к конкретному аппаратному обеспечению, чтобы не допустить брутфорса на копиях операционной системы. Функцию аппаратной привязки выполняет специальное аппаратное хранилище — KeyMaster, которое работает в особом окружении Trusted Execution Environment (TEE), полностью независимом от операционной системы Android. Защищённость ключей в окружении KeyMaster имеет важнейшее значение. Только это защищает систему полного шифрования диска от проведения эффективного брутфорса в параллельных потоках на копиях ОС.

В устройствах Android изолированное окружение никогда не выдаёт свой собственный ключ наружу в «небезопасную» среду. Наоборот, модуль KeyMaster получает из небезопасной среды «блоб ключа» (key blob), расшифровывает хранящийся там ключ — и отдаёт его обратно. Другими словами, работа системы шифрования возможна только непосредственно на аппаратном устройстве, но не в виртуальной среде на другом компьютере.

В общем весь процесс схематично можно изобразить на такой диаграмме, которую приводит Николай Еленков.

Защиту окружения KeyMaster и выполнение команд на выделенном безопасном процессоре обеспечивает защищённая среда, предоставленная производителем оборудования. В Случае с Qualcomm это среда QSEE (Qualcomm Secure Execution Environment). Она допускает к исполнению на выделенном процессоре только отдельные маленькие приложения, которые называются «трастлеты» (trustlets). Один из таких трастлетов — KeyMaster. В исходном коде Android есть инструкции для обращения к приложению KeyMaster. На самом деле трастлет поддерживает всего четыре инструкции:

 * Commands supported
 */
enum  keymaster_cmd_t {
    /*
     * List the commands supportedin by the hardware.
     */
    KEYMASTER_GENERATE_KEYPAIR = 0x00000001,
    KEYMASTER_IMPORT_KEYPAIR = 0x00000002,
    KEYMASTER_SIGN_DATA = 0x00000003,
    KEYMASTER_VERIFY_DATA = 0x00000004,
};

KeyMaster работает в точности как описано выше: он получает блоб ключа, вычисляет подпись и помещает её в буфер.

И вот теперь мы подошли именно к тому этапу, на котором действует новый эксплоит, который появился в открытом доступе 30 июня (репозиторий на Github). Эксплоит использует недавно найденные уязвимости CVE-2015-6639 и CVE-2016-2431.

Автор эксплоита, специалист по безопасности Гал Беньямини (Gal Beniamini) написал поддельную версию приложения QSEE и с помощью вышеупомянутых уязвимостей сумел загрузить её в защищённое окружение, тем самым осуществив повышение полномочий и взломав защиту окружения QSEE, которое участвует в процессе генерации ключа для шифрования диска.

Таким образом, гипотетический злоумышленник может «подделать» аппаратную составляющую ключа шифрования и осуществить брутфорс остальных компонентов, обойдя защиту Android на количество повторных попыток. Остаётся только подобрать перебором пользовательский пинкод/пароль.

Кстати говоря, для того редкого случая, когда пользователь установил для шифрования по-настоящему сложный пароль с высокой энтропией и его не удаётся подобрать брутфорсом за приемлемое время, есть запасной план. Если взломать шифрование действительно крайне необходимо, то можно найти точно такой же телефон, той же модели, с такими же царапинами и защитным корпусом — и запрограммировать его на отправку пароля, как только жертва введёт его. Этот поддельный аппарат подкладывается жертве вместо оригинального. Чтобы избежать раскрытия и одновременно устранить риск введения жертвой неправильного пароля с первой попытки, телефон должен быть запрограммирован на то, что никакой введённый пароль он не принимает как правильный.

Но это уже крайний случай, конечно. Обычные пинкоды и пароли на самом деле подобрать довольно просто, если нет аппаратных ограничений на брутфорс.

Есть интересный момент. Защищённую среду на мобильных устройствах устанавливает не сама компания Qualcomm, а OEM-производители. Они могут сотрудничать с правоохранительными органами той страны, в юрисдикции которой находятся, и выполнять требования судебных запросов. Соответственно, если подобная криптографическая схема будет реализована российским производителем, то информация на смартфоне будет рассекречена по запросу российского суда.

И ещё один интересный момент. Несмотря на то, что Гал Беньямини несколько месяцев обсуждал данные уязвимости с Qualcomm и Google, исправить их не так просто — здесь недостаточно программного апгрейда (для двух уязвимостей патчи для Android вышли в январе и мае), а может понадобиться аппаратный апгрейд. Дело в том, что если злоумышленник получит устройство, то теоретически может откатить программный апгрейд, вернуть аппарат на уязвимую версию и провести атаку.

Как уже говорилось выше, код эксплоита опубликован на Github. Вот схема его работы.

Гал Беньямини написал несколько скриптов на Python, которые упрощают брутфорс после срабатывания эксплоита. В комментариях к его блогозаписи коллеги выразили желание помочь в портировании скрипта на мощнейшую платформу для брутфорса hashcat/oclHashcat.

Беньямини предполагает, что компания Google вместе с OEM-сборщиками выработают новую абсолютно надёжную схему аппаратно-программного шифрования, которую даже теоретически невозможно будет взломать.

Будем надеется, что такую схему реализуют на новом поколении Android-устройств.

Исследователи создали эксплоит для получения root-доступа к Android-смартфонам с помощью уязвимости Rowhammer

Международная группа исследователей из Австрии, Нидерландов и США, информационной безопасности разработала атаку, позволяющую получить root-доступ к большому количеству Android-устройств, пишет издание Ars Tehnica. Для этого эксплуатируется техника Rowhammer, позволяющая осуществлять манипуляции с данными, хранящимися в ячейках памяти. При этом, ранее считалось, что атаки с использованием уязвимости Rowhammer имеют ограниченные перспективы реального применения — новый эксплойт демонстрирует, что ей подвержено гораздо больше устройств, чем предполагалось (включая и работающие на ARM-чипах).

Исследователи создали специальное приложение-эксплойт Drammer, которое не требует для работы никаких особенных прав и не использует никаких Android-уязвимостей. Атака осуществляется с помощью уязвимости аппаратного обеспечения — аналогично описанной техники Rowhammer он «простукивает» биты памяти устройства, изменяя важные данные. Это позволяет получать root-доступ к гаджетам производства компаний LG, Motorola, Samsung, OnePlus и, возможно, других вендоров.

В чем проблема


Техника, Rowhammer была описана в одном из наших предыдущих материалов:
Память DDR представляет собой массив разбитых на блоки строк и столбцов. К ним обращаются различные приложения и операционная система. В каждом крупном участке памяти предусмотрена своя «песочница», получать доступ к которой может лишь определенный процесс или приложение.

Если запустить софт, который будет сотни и тысячи раз за долю секунды обращаться к конкретным строкам в таких участках («простукивая» их, как молотком — отсюда и название hammering), то в следствии определенных физических явлений, это может повлиять на соседний участок памяти. Это может привести к изменению значений битов в нем с нулей на единицы и наоборот.

Получив возможность влиять на содержание даже заблокированных областей памяти, злоумышленники могут осуществлять атаки, приводящие к повышению привилегий вплоть до административных. Соответственно, возможен запуск зловредного кода или перехват действий пользователей или программ.


Один из создателей эксплойта для атак на Android-смартфоны, исследователь по имени Виктор ван дер Веен (Victor van der Veen): «До недавнего времени мы даже не могли подумать о подобных багах железа, и софт никогда не писали так, чтобы их учитывать. Теперь мы можем использовать эти дыры безопасности для того, чтобы взламывать смартфоны и планшеты с высоким уровнем надежности и без необходимости использования уязвимостей программного обеспечения. И нет никакой возможности быстро выпустить патч, решающий проблему».

На данный момент с помощью Drammer root-доступ удалось получить к следующим устройствам: Nexus 4, Nexus 5 и G4 от LG, Moto G модели от 2013 и 2014 годов от Motorola, Galaxy S4 и Galaxy S5 от Samsung, а также One от OnePlus. В некоторых случаях не всегда удавалось добиться должного постоянства результатов — к примеру, получить root-доступ удалось лишь для 12 из 15 моделей Nexus 5, в случае Galaxy S5 скомпрометирован был один из двух испытываемых смартфонов.

Исследователи до конца не понимают, почему так происходит, но предполагают, что дело может быть в разном «возрасте» тестируемых устройств — более активное или длительное использование может приводить к «износу» ячеек памяти. Кроме того, возможно, чипы памяти от определенных производителей более устойчивы к уязвимости Rowhammer, чем другие, а разные поколения одного и того же смартфона могут использовать разные чипы.

Демонстрация работы


Исследователи опубликовали два демонстрационных видео работы Drammer для получения root-доступа на LG Nexus 5. На видео смартфон подключен к компьютеру по USB, однако для осуществления атаки это не обязательно.

Представленный на первом видео смартфон работает под управлением Android 6.0.1 с установленными патчами безопасности от 5 октября. Начиная примерно с 0:15 приложение начинает «простукивать» память и между 0:30 и 0:50 эксплойт добавляет новые записи в таблицу страниц памяти. На отметке 0:50 Drammer получает root-доступ и открывает шелл, дающий полный контроль над устройством.

На втором видео Drammer используется в связке с кодом, эксплуатирующим уязвимость Stagefright — она остается неисправленной на многих устройствах. В итоге атака позволяет получить контроль над ядром ОС. На видео можно увидеть, что эксплоит Stagefright также открывает шелл, однако по-прежнему имеет лишь ограниченные права и, к примеру, не может получить доступ к SD-карточки смартфона. В свою очередь, запущенный позже Drammer получает root-доступ (начиная с 3:30 на видео).

Исследователи оповестили инженеров Google о своей работе еще в июле 2016 года, и компания присвоила уязвимости наивысший, критический статус. Кроме того, исследователи получили $4000 в рамках программы Bug Bounty. Компания оповестила своих партнеров-производителей в октябре, а выпуск обновлений планируется в ноябре. Тем не менее, разработчики предупреждают, что даже тогда hardware-уязвимость Rowhammer не будет окончательно закрыта, атакующим просто станет сложнее ее использовать.

Подробный доклад о проделанной работе будет представлен на конференции ACM Conference on Computer and Communications Security, которая проходит в эти дни в Вене. Детали обнаруженной уязвимости опубликованы на специальной информационной странице.

В прошивках десятков Android-устройств обнаружена малварь — «Хакер»

Различная bloatware может нести как потенциальную, так и совершенно реальную угрозу пользователям.Но до тех пор, пока недобросовестные субподрядчики, участвующие в создании образов ОС, будут иметь возможность зарабатывать деньги на накрутке установок приложений, искусственном повышении их рейтингов, а также на распространении рекламного ПО, в прошивках самых разных устройств будут продолжать находить всевозможных вредоносов.

Специалисты компании «Доктор Веб» обнаружили несколько троянов в прошивках десятков моделей мобильных устройств, работающих под управлением ОС Android. В основном найденная малварь располагается в системных каталогах и незаметно для пользователей загружает и устанавливает на устройство дополнительные программы.

Один из обнаруженных троянов получил идентификатор Android.DownLoader.473.origin. Он был найден в прошивках множества популярных Android-девайсов, работающих на аппаратной платформе MTK. На момент публикации троян был замечен на 26 моделях смартфонов, среди которых:

  • MegaFon Login 4 LTE
  • Irbis TZ85
  • Irbis TX97
  • Irbis TZ43
  • Bravis NB85
  • Bravis NB105
  • SUPRA M72KG
  • SUPRA M729G
  • SUPRA V2N10
  • Pixus Touch 7.85 3G
  • Itell K3300
  • General Satellite GS700
  • Digma Plane 9.7 3G
  • Nomi C07000
  • Prestigio MultiPad Wize 3021 3G
  • Prestigio MultiPad PMT5001 3G
  • Optima 10.1 3G TT1040MG
  • Marshal ME-711
  • 7 MID
  • Explay Imperium 8
  • Perfeo 9032_3G
  • Ritmix RMD-1121
  • Oysters T72HM 3G
  • Irbis tz70
  • Irbis tz56
  • Jeka JK103

Исследователи предупреждают, что, скорее всего, зараженных моделей насчитывается гораздо больше.

Android.DownLoader.473.origin – это обычный троян-загрузчик, который запускается при каждом включении устройства. Он отслеживает активность Wi-Fi-модуля и обнаружив сетевое подключение, соединяется с управляющим сервером, откуда получает конфигурационный файл с заданием. В файле содержится информация о приложении, которое малварь должна скачать. После загрузки указанной программы троян незаметно ее устанавливает.

Специалисты «Доктор Веб» пишут, что вредонос способен скачивать на зараженные устройства любое ПО. Это могут быть как безобидные, так и нежелательные или даже вредоносные приложения. К примеру, таким способом активно распространяется рекламное приложение H5GameCenter, которое проходит в вирусной базе Dr.Web под названием Adware.AdBox.1.origin. После установки это приложение отображает поверх всех работающих программ небольшое изображение коробки, которое невозможно убрать с экрана. Оно представляет собой ярлык, при нажатии на который открывается встроенный в приложение каталог ПО. Кроме того, эта нежелательная программа показывает рекламные баннеры.

Согласно жалобам пользователей на различных форумах, попытки удаления H5GameCenter ни к чему не приводят, вскоре приложение устанавливается снова, и раздражающая коробка возвращается на место. Дело в том, что Android.DownLoader.473.origin следит за состоянием H5GameCenter, и если приложение удаляют, троян устанавливает его вновь.

Еще один троян, найденный исследователями, получил идентификатор Android.Sprovider.7, и был обнаружен на смартфонах Lenovo A319 и Lenovo A6000. Малварь встроена в приложение Rambla, которое предоставляет доступ к одноименному каталогу ПО. Основная функциональность трояна сосредоточена в отдельном программном модуле Android.Sprovider.12.origin, который в зашифрованном виде хранится в ресурсах основного приложения. Каждый раз, когда пользователь выводит устройство из режима блокировки экрана, вредонос проверяет, работает ли данный вспомогательный компонент. Если он неактивен, троян извлекает его из своих ресурсов и запускает заново.

Модуль Android.Sprovider.12.origin обладает широким набором функций. Например, он может:

  • скачать apk-файл и попытаться установить его стандартным способом с запросом разрешения у пользователя;
  • запустить установленное приложение;
  • открыть в браузере заданную злоумышленниками ссылку;
  • позвонить по определенному номеру с помощью стандартного системного приложения;
  • запустить стандартное системное телефонное приложение, в котором уже будет набран определенный номер;
  • показать рекламу поверх всех приложений;
  • показать рекламу в панели уведомлений;
  • создать ярлык на домашнем экране;
  • обновить основной вредоносный модуль.

Специалисты «Доктор Веб» уже уведомили производителей зараженных устройств о возникшей проблеме. Владельцам таких девайсов рекомендуют обратиться в службу поддержки производителя, чтобы получить обновленную версию системного ПО, как только исправление будет готово.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *