Security Week 24: заводские бэкдоры в смартфонах Android
Прошедшая неделя вышла богатой на новости про безопасность смартфонов Android. Во многих СМИ (например, в ArsTechnica) написали о том, что Google «подтвердила» факт продажи смартфонов с предустановленным «на заводе» бэкдором. Поводом для таких заголовков стала вполне техническая статья эксперта Google Лукаша Сиверски с разбором семейства мобильных вредоносных программ Triada.
Triada известна исследователям (включая, естественно, команду Google) с 2016 года. Впервые бэкдор описали специалисты «Лаборатории Касперского» (здесь и здесь). В этих двух материалах подробно рассказывается о внедрении вредоносного кода в операционную систему (еще в версии Android 4.x), сборе и отправке данных о пользователе, а также модификации нескольких браузеров для демонстрации рекламных баннеров.
Что действительно представляет интерес в посте представителя Android Security Team, так это ответ на вопрос, как именно вредоносный код попал в прошивку телефонов. Разработчики китайских бюджетных устройств обращались к подрядчикам для разработки дополнительных фич. Через такого подрядчика в систему встраивался бэкдор.
В исследовании «Лаборатории Касперского» 2016 года описывается вариант Triada, который мог быть предустановлен на телефоны китайских производителей, но также был способен атаковать любые другие смартфоны. Triada использовала уязвимости в актуальной на тот момент версии Android 4.x. Уникальной особенностью бэкдора была способность внедрения в ключевой процесс Android, известный как Zygote.
Такой подход обеспечивал трояну практически полный контроль над устройством. Статья Android Security Team подробно описывает и еще одну деталь: для получения контроля над системными процессами Triada использовала модифицированный бинарник su. Он давал приложениям привилегии суперпользователя, только если они делали запрос с правильным паролем.
Также в посте Лукаша Сиверски рассказывается, как бэкдор отслеживал, какое приложение открывал пользователь. Если это был браузер, поверх него демонстрировалась реклама. Если открывался магазин Google Play, Triada в фоне скачивала и устанавливала приложения с собственного командного сервера.
В 2017 году компания Dr.Web в своем исследовании привела примеры зараженных «заводским» бэкдором смартфонов: Leagoo M5 Plus, Leagoo M8, Nomu S10 и S20. Недорогие (около 100 долларов) устройства продавались и в Китае, и на Западе, некоторые из них до сих пор можно найти в китайских интернет-магазинах.
В свежей статье Google раскрывает схему внедрения «заводской» версии Triada (см. изображение выше). Судя по всему, поставщики смартфонов обращались к сторонним компаниям для включения в прошивку устройства дополнительной функциональности, отсутствующей в проекте Android Open Source. Для этого подрядчику (упоминаются компании Yehuo и Blazefire) отправлялся образ системы. Он же возвращался с довеском — как легитимным (разблокировка по лицу владельца), так и вредоносным. В Google сообщили, что совместно с разработчиками устройств удалили следы бэкдора из прошивок.
Но, видимо, только этого бэкдора. 7 июня представители управления по информационной безопасности (BSI) Германии сообщили (новость) об обнаружении бэкдора Xgen2-CY в четырех бюджетных смартфонах. Модели Doogee BL7000, M-Horse Pure 1, Keecoo P11 и VKworld Mix Plus собирают информацию о пользователе и отправляют ее на командный сервер, способны без ведома пользователя устанавливать приложения и открывать страницы в браузере. Только для модели Keecoo P11 (5.7 дюйма, 4 ядра, 2 гигабайта памяти, 110 долларов на GearBest) доступна обновленная версия прошивки без бэкдора. По данным BSI, к C&C-серверам злоумышленников с немецких IP обращаются до 20 тысяч устройств.
В общем, проблема не совсем решена, и рекомендация для потребителей, наверное, будет такая: подумайте дважды, прежде чем покупать дешевый смартфон сомнительного бренда. В июле прошлого года мы цитировали статью издания Motherboard, в котором описывалась копеечная реплика iPhone X из Китая. Устройство рассылало пользовательскую информацию направо и налево. Такие поделки за пределы Китая обычно не попадают, но некоторые «международные» устройства оказываются не лучше. В то время как мы обсуждаем вопросы приватности и практику сбора данных о пользователе всеми участниками рынка, десятки тысяч людей по всему миру становятся жертвами откровенного киберкриминала.
Disclaimer: Мнения, изложенные в этом дайджесте, могут не всегда совпадать с официальной позицией «Лаборатории Касперского». Дорогая редакция вообще рекомендует относиться к любым мнениям со здоровым скептицизмом.
Android Backdoor Origin — как удалить и чем опасен вирус?
В прошлом году был обнаружен новый вирус под названием Android Backdoor Origin, который установлен по умолчанию в операционной системе Android некоторых смартфонов.
Сотрудники антивирусного программного обеспечения Dr. Web поделились подробностями о новом трояне, а также информацией о том, что необходимо сделать, чтобы удалить Android Backdoor Origin.
Что такое Android Backdoor Origin?
Вирус, который получил полное название Android.Backdoor.114.origin, был обнаружен в середине сентября прошлого года. Сотрудники Dr.Web связались с производителями смартфонов, чтобы они приняли меры по удалению трояна в официальной прошивке. Тем не менее, некоторые устройства все еще заражены.
По словам сотрудников Dr.Web, вредоносная программа была обнаружена внутри планшета Oysters T104 HVi 3G под видом приложения GoogleQuickSearchBox.apk. Должны отметить, что данное приложение поставляется с предварительно установленной версией Android.
Чем опасен Android Backdoor Origin?
Android Backdoor Origin является довольно опасным вирусом, который имеет права суперпользователя. В частности, главная задача трояна заключается в передачи данных об устройстве, а также самом владельце смартфона.
Android Backdoor Origin может получить практически любую информацию, например, MAC адрес устройства, номер модели, список приложений, установленных на устройстве, версию операционной системы и многое другое.
После того, как злоумышленник получил необходимые данные от вируса, он может отправить дополнительные команды, чтобы получить какую-либо выгоду или навредить владельцу устройства.
Как удалить Android Backdoor Origin?
В большинстве случаев, вирус на Android распространяется под видом поддельного приложения, которое пользователь может загрузить с Google Play Store. Вы можете прочитать, как определить поддельное приложение.
Однако, Android Backdoor Origin находится в системе Android еще до того, как пользователь включил его. Иными словами, если вы обнаружили вирус Android Backdoor Origin на своем устройстве, это не ваша вина. Обратитесь к производителю смартфона, чтобы решить проблему.
Если вы хотите удалить Android Backdoor Origin самостоятельно, тогда поищите в интернете, как переустановить прошивку. Используйте только проверенную прошивку, которая получила много положительных отзывов от других пользователей.
Если вы не знаете, как переустанавливать прошивку, тогда обратитесь к специалистам, которые помогут вам сделать это, тем самым удалить Android Backdoor Origin.
Как удалить неудаляемый вирус на Android – лучшие способы
Как узнать, что смартфон заражен вирусом, и как удалить неудаляемый вирус на Android через системные настройки или через компьютер.
Как удалить неудаляемый вирус на Андроиде
Сталкивались ли вы с такой ситуацией, когда на вашем Android-смартфоне появился вирус, обнаруженный антивирусной программой, но его удаление невозможно? Сразу начинаете паниковать и переживать, что зловредный объект удалит сейчас все ваши данные или спровоцирует неполадки в работе системы.
На самом деле не все так страшно. Но и запускать лечение своего мобильного гаджета тоже нельзя. Такой неудаляемый вирус называется системным, то есть он зарылся в заводские папки устройства и программа очистки просто не может его оттуда извлечь, чтобы не повредить рабочие файлы.
Однако, есть проверенные и эффективные способы, как удалить неудаляемый вирус на Андроиде. Именно о них мы и поговорим в этой статье. Бояться и расстраиваться нет смысла, все решаемо и исправимо без вреда рабочим функциям вашего смартфона. А для того, чтобы избежать заражения вирусами и безопасно серфить в интернете, используйте бесплатный VPN для Google Chrome.
Как понять, что телефон заражен
Конечно? не всегда вы сможете вычислить вирус самостоятельно или понять, что он присутствует в системе. Но, если работа устройства замедлена, или возникают подозрительные оповещения, или происходит какое-то перенаправление звонков, или телефонные счета вдруг увеличились… Значит пора задуматься о том, что ваш смартфон заражён зловредом.
Определить неисправность работы и наличие серьезных системных вирусов в гаджетах на Android можно по следующим признакам:
Как вирусы попадают в Android
Прежде чем разбираться, как удалять вирусы с Android, важно понимать, как эти вредоносные объекты попадают в систему устройства. Обычно это происходит двумя способами:
Как удалить вирус из Android
Теперь мы подошли к самому важному вопросу — как удалить вирус, который не удаляется. Если ваш смартфон продолжает работать, тогда проще всего запустить антивирус и очистить устройство от вредоносного содержимого. Однако, такой способ эффективнее не более чем в 30-40% случаев, ведь многие вирусы «сопротивляются» процедуре удаления.
В зависимости от ситуации, характерной для вашего гаджета, применяется своя схема действий борьбы с вирусом. Ситуации следующие:
В первом и во втором случае необходимо запустить безопасный режим, поскольку именно в нем вирусы становятся неактивными и их можно легко удалить. Как это сделать для вашего смартфона вы можете найти в интернете, но обычно это делается следующим образом:
В третьем случае вам придётся удалить вирус через компьютер. Для этого нужно подключить смартфон к компьютеру через USB-кабель и выбрать режим накопителя. После этого запустить проверку на вирусы через контекстное меню для обоих дисков: внутренней памяти телефона и SD-карты.
Как удалить вирус, который не удаляется
Если все описанные выше методы не помогают избавиться от вирусов, тогда необходимо применить радикальные меры очистки:
Вы можете использовать любой из перечисленных вариантов.
Как избежать заражения вирусом
Чтобы не подхватить вирус, старайтесь придерживаться следующих рекомендаций:
Заключение
От заражения вирусами гаджета никто не застрахован, более того, до определенного момента вы можете и не подозревать, что у вас установлена вредоносная программа. Следуйте рекомендациям, описанным в данной статье, и старайтесь всегда пользоваться только проверенными и безопасными программами.
Спасибо, что читаете! Подписывайтесь на мои каналы в Telegram, Яндекс.Мессенджере и Яндекс.Дзен. Только там последние обновления блога и новости мира информационных технологий.
Респект за пост! Спасибо за работу!
Хотите больше постов? Узнавать новости технологий? Читать обзоры на гаджеты? Для всего этого, а также для продвижения сайта, покупки нового дизайна и оплаты хостинга, мне необходима помощь от вас, преданные и благодарные читатели. Подробнее о донатах читайте на специальной странице.
Заранее спасибо! Все собранные средства будут пущены на развитие сайта. Поддержка проекта является подарком владельцу сайта.
Android Backdoor 114, 183 Origin – как удалить со смартфона или планшета опасный вирус
Мы продолжаем публикацию материалов о вредоносном программном обеспечении и способах «лечения» заражённого устройства. Дело в том, что сейчас все чаще можно наблюдать картину, когда «троянец» уже предустановлен на телефон (планшет) в качестве одного из системных приложений. Как правило, их вредоносное воздействие осуществляется незаметно для владельца устройства.
Одним из таких «героев» и является Android.BackDoor – серия троянцев, которые заражают Андроид-устройства (об одном зловреде из этого семейства мы уже рассказывали на нашем сайте). Такие приложения предназначены для выполнения команд, поступающих от злоумышленников – будь то открывание URL, отправка СМС сообщений, сбор информации или загрузка опасных программ.
Что такое Android Backdoor 114 и 183
Android Backdoor 114 origin – одно из самых вредоносных приложений, появившееся совсем недавно. В прошлом году аналитики «Доктор Веб» впервые столкнулись с этой проблемой. Внедряясь в прошивку телефона (планшета), он стал головной болью тысяч пользователей, ведь стандартные способы борьбы здесь зачастую бессильны.
Бэкдор распространяется при помощи:
В одном из последних сообщений о заражении, упоминается предустановленное приложение GoogleQuickSearchBox.apk, обнаруженное на планшете Oysters T104 HVi 3G.
Замечено, что троянец Android Backdoor 213 origin может транспортировать рассматриваемый бэкдор. При этом он удаляет одно из оригинальных приложений, находящихся в системном каталоге, а на его место устанавливается измененная версия, в которой находится Android Backdoor 114 origin.
На что же способно вредоносное приложение? Оно может собирать с зараженного объекта различную информацию и отправлять полученные данные на специальный (управляющий) сервер.
Стоит упомянуть, что спектр собираемой информации достаточно широк (зависит от модификации).
Злоумышленникам открывается доступ к следующим данным:
Основная же задумка мошенников состоит в том, чтобы обеспечить возможность активации такой опции, как «Установка приложений из неизвестного источника» и незаметная загрузка, а так же неконтролируемое удаление и установка программ.
В результате даже соблюдение всех мер безопасности не спасает владельца зараженного телефона. Бэкдор сумеет изменить необходимые настройки, чтобы загружать всевозможные вредоносные, нежелательные или рекламные приложения.
Например, Android Backdoor 183 origin – характеризуется установкой Time service и Monkey test, которые восстанавливаются после удаления с Андроид. Известен путь к этому приложению: /system/app/providerdown.
Android Backdoor 114 Origin – как удалить
Специалисты утверждают, что стандартные способы не принесут никакого результата. Тогда как удалить Android Backdoor Origin, представляющийся системным файлом? Для этого понадобится:
Общие рекомендации по лечению таковы:
Установить любое антивирусное приложение (к примеру, Dr.Web или avast! Mobile Security) и провести полное сканирование планшета (телефона), чтобы узнать путь, подлежащий удалению (в случае с Backdoor 114 это, скорее всего, будет /system/app/HTMLViewer.apk/).
Получить полные Root-права (поскольку мы будем иметь дело с системными приложениями);
найти и удалить вредоносный файл по адресу, который указал антивирус с помощью файлового менеджера, работающего с рут (Root Explorer (File Manager).
Ещё есть возможность (для лицензионных пользователей) – обратиться в службу тех. поддержки того же «Доктор Веб» с просьбой получить утилиту очистки.
Надеемся, что по прочтении этого материала вам удалось нейтрализовать вредоноса, однако владельцам Андроид стоит постоянно быть начеку и выполнять периодически антивирусное сканирование своего устройства, что позволит вовремя выявить и обезвредить опасные программы. Если же вирус обнаружен непосредственно в прошивке, лучше обратиться к производителю телефона (планшета) с просьбой о замене (обновлении) образа ОС.
«Доктор Веб» предупредил о новой версии кибершпиона в Google Play
Вирусные аналитики «Доктор Вэб» обнаружили новую версию опасного кибершпиона в сервисе Google Play. Об этом говорится в сообщении компании, поступившем в РБК. Речь идет о новой версии бэкдора Android.Backdoor.735.origin, который выполняет команды злоумышленников и предназначен для кибершпионажа.
Эта вредоносная программа постоянно активна в фоновом режиме и может запускаться не только через значок или ярлык, но и автоматически при старте системы, а также по команде злоумышленников, предупреждают аналитики. «Под угрозой могут находиться СМС-переписка, данные о контактах из телефонной книги, история вызовов», — сказано в сообщении.
В компании уточнили, что предупредили Google о трояне и корпорация оперативно удалила его из Google Play.
В «Лаборатории Касперского» РБК сообщили, что пользователи чаще всего сталкиваются с заражением мобильных устройств вредоносным ПО, скачивая приложения на неофициальных ресурсах.
«Однако действительно и в официальных магазинах, в частности в Google Play, находят зловредов. К сожалению, в 2019 году такие случаи участились. Например, в первом квартале на этой площадке «Лабораторией Касперского» были обнаружены троянцы, которые крали учетные данные для доступа в приложения банков Бразилии, а в третьем квартале мы обнаружили вредоносное приложение, которое в конечном итоге позволяло оформлять на номера пользователей платные подписки. В настоящее время эти приложения удалены из Google Play», — сказал антивирусный эксперт «Лаборатории Касперского» Виктор Чебышев.
В целом, по его словам, в третьем квартале 2019 года выявлен рост числа мобильных угроз по сравнению, например, со вторым кварталом этого же года.