Как отправить телефонный вирус

Обновлено: 13.05.2024

Вирусы на смартфон Android – явление редкое, но, тем не менее, некоторые попадаются на уловки злоумышленника и даже готовы расстаться с деньгами, чтобы избавиться от вируса. В нашей статьей мы рассмотрим примеры вирусов, узнаем, как их избежать и удалить в случае заражения.

Как может выглядеть вирус

Перезагрузка и удаление баннера не помогли, он появлялся вновь.

Другой случай мне отдали планшет с неработающим браузером. Точнее он работал, но постоянно открывал какие-то лишние и ненужные вкладки с сомнительным содержанием.

Третий случай. После установки приложения из Play Market “музыка из VK”, украли пароль от “ВКонтакте” и подписали аккаунт на сотни групп. Также, разумеется, просили деньги у друзей. Причем воровали пароль два раза подряд, потому что не сразу было понятно, откуда и как воруют. Об этом случае писали.

Где избежать вируса?

· Не устанавливайте приложения из неизвестных источников, они могут содержать вредоносный код.

· Внимательно смотрите на название приложения в Play Market, оно может быть клоном официального приложения и очень сильно от него отличаться.

· Проверяйте разрешения, которые даете приложениям. Например, для чего музыкальному плееру может быть нужен ваш список контактов?

· Чаще обновляйте версию Android. Злоумышленники часто используют “дыры” в устаревшем ПО.

· Читайте отзывы о приложении перед скачкой.

Как удалить вирус?

Для начала стоит попробовать удалить его через настройки. Для этого нужно зайти в установленные приложения, найти последнее из установленных и попытаться удалить. Приложение “Музыка из VK” удалилось таким образом.

Если это не помогло, переходим к следующему пункту.

Если и это не помогло, то остался последний шаг.

Необходимо перевести смартфон или планшет в режим Recovery Mode. Для этого аппарат надо выключить и включить его с двумя зажатыми кнопками “Включение” и “Громкость+”. На большинстве девайсов это срабатывает, если нет, то нужно искать, как перевести ваш конкретный гаджет в Recovery Mode через поисковик.

Wipe data/factory reset удалит все данные со смартфона вместе с вирусом. Соответственно предварительно нужно вытащить карту MicroSD и скопировать все нужные данные и контакты.



*Оригинальная картинка, наглым образом вытащеная из ресурсов apk
[прим. apk — расширение файла установки приложения на ОС андроид]

Вступление


Нежданно-негаданно, посреди рабочего дня на мой старенький Sony Ericsson K320i приходит смс следующего содержания:

1. Подготовка


2. Установка



Устанавливаю. Ужасаюсь количеством permission (разрешений). Операционная система любезно предупреждает:










3. Вирус-приложение

Само приложение состоит из одной активити-картинки с обреченным котенком. Наверное таким образом разработчик пытался пошутить.


В этом месте, я немного забегу вперед (см. п.6) и приведу, код AndroidManifest.xml для лучшего понимания статьи.


4. Удаление?




В дальнейших разделах используется описание действий связанных с использованием бесплатных версий продуктов некоторых компаний. Целью повествования не являются жалобы на компании или предоставляемые ими услуги.

5. Dr Web против вируса







Я разочарован! Печально вздохнув, удаляю антивирусник.

UPD от 6.09.14. На данный момент антивирусник успешно опознает данный зловред под детектом Android.SmsBot.origin.165. Алгоритм удаления такой же, как и при использовании Avast (см. ниже).

5. Avast против вируса




Опять на тропу читерства меня толкают. Будем искать другое решение…

6. Реверс-инжиниринг

Послесловие

Таким образом, выполнив повторно пункт 5 данной публикации (не останавливаясь на последнем шаге), вирус версии 4.0 (согласно манифест-файлу) был побежден.

Почему не удалось напрямую из настроек убрать галочку админправ для приложения, а только используя Avast? Скорее всего, стоит очередная ловушка с переопределенным методом.

Выводы


Случаются такие дни, когда охота насорить кому-нибудь скрытно, или же вы решили создать вирус, который будет красть данные, любые данные. Вообразим себя злыми хакерами, которые решили начать действовать. Давайте познаем это необъятное искусство.

Определение вируса

История компьютерных вирусов берет свое начало в 1983 году, когда Фред Коэн использовал его впервые.

Онлайн проверка ссылки

Вирус - это вредоносный код, он направлен на захват управления вашими файлами, настройками. Создает копии самого себя, всячески захламляет персональный компьютер пользователя. Некоторые можно обнаружить сразу, когда другие скрываются в системе и паразитируют в ней. Часто их передача происходит с помощью сайтов, где размещен пиратский контент, порно-сайтов и других. Бывает, скачивание вирусов происходит при желании скачать мод или чит. Довольно просто распространить вирус, если у вас готова вирусная ссылка.

Методы воздействия вредоносных программ

Шуточный вирус

К компьютерным вирусам относится множество вредоносных программ, однако не все они способны к "размножению":

  • Черви. Заражают файлы на компьютере, это могут быть любые файлы, начиная от .exe и заканчивая загрузочными секторами. Передаются через чаты, программы для общения типа Skype, icq, через электронную почту.
  • Троянские кони, или трояны. Лишены самостоятельной способности распространяться: они попадают на компьютер жертвы благодаря их авторам и третьим лицам.
  • Руткит. Сборка различных программных утилит при проникновении на компьютер жертвы получает права суперпользователя, речь про UNIX-системы. Представляет собой многофункциональное средство для "заметания следов" при вторжении в систему с помощью снифферов, сканеров, кейлоггеров, троянских приложений. Способны заразить устройство на операционной системе Microsoft Windows. Захватывают таблицы вызовов и их функций, методы использования драйверов.
  • Вымогатели. Такие вредоносные программы препятствуют входу пользователя на устройство путем принуждения к выкупу. Последние крупные события, связанные с программами-вымогателями, - WannaCry, Petya, Cerber, Cryptoblocker и Locky. Все они требовали за возвращение доступа в систему криптовалюту биткоин.

Фальшивое обновление

  • Кейлоггер. Следит за вводом логинов и паролей на клавиатуре. Фиксирует все нажатия, а затем отсылает журнал действий на удаленный сервер, после чего злоумышленник использует эти данные на свое усмотрение.
  • Снифферы. Анализирует данные с сетевой карты, записывает логи с помощью прослушивания, подключения сниффера при разрыве канала, ответвления сниффером копии трафика, а также через анализ побочных электромагнитных излучений, атак на канальном или сетевом уровне.
  • Ботнет, или зомби-сети. Такая сеть представляет собой множество компьютеров, образующих одну сеть и зараженных вредоносной программой для получения доступа хакеру или иному злоумышленнику.
  • Эксплойты. Этот вид вредоносного программного обеспечения может быть полезным для пиратов, ведь эксплойты вызываются ошибками в процессе разработки программного обеспечения. Так злоумышленник получает доступ к программе, а дальше и к системе пользователя, если так задумал хакер. У них есть отдельная классификация по уязвимостям: нулевой день, DoS, спуфинг или XXS.

Пути распространения

Вредоносный контент может попасть на устройство разными способами:

Рассылка в социальных сетях

  • Вирусная ссылка.
  • Доступ к серверу или локальной сети, по которой будет проходить распространение вредоносного приложения.
  • Выполнение программы, зараженной вирусом.
  • Работа с приложениями пакета Microsoft Office, когда с помощью макровирусов документов вирус распространяется по всему персональному компьютеру пользователя.

Спам вирусы

Где могут прятаться вирусы

Когда вирусная ссылка сделана, а вы запустили программу, которая начинает скрытую работу на персональном компьютере, то некоторые вирусы и другие вредоносные программы способны на сокрытие своих данных в системе или в исполняемых файлах, расширение которых может быть следующего типа:

Признаки

Распространение вируса

Любое заболевание или заражение протекает в скрытой фазе или в открытой, этот принцип присущ и вредоносному программному обеспечению:

  • Устройство начало работать со сбоями, программы, которые работали раньше хорошо, вдруг стали тормозить или вылетать.
  • Медленная работа устройства.
  • Проблема с запуском операционной системы.
  • Исчезновение файлов и каталогов или изменение их содержимого.
  • Содержимое файла подвергается изменению.
  • Изменение времени модификации файлов. Можно заметить, если в папке используется вид "список", или вы посмотрите на свойство элемента.
  • Увеличение или уменьшение количества файлов на диске, и впоследствии увеличение или уменьшение объема доступной памяти.
  • Оперативной памяти становится меньше из-за работы посторонних сервисов и программ.

Троян на сайте

  • Показ шокирующих или иных изображений на экране без вмешательства пользователя.
  • Странные звуковые сигналы.

Методы защиты

Самое время подумать о способах защиты от вторжения:

  • Программные методы. К ним относятся антивирусы, файрволлы и другое защитное ПО.
  • Аппаратные методы. Защита от постороннего вмешательства к портам или файлам устройства, непосредственно при доступе к "железу".
  • Организационные методы защиты. Это дополнительные меры для сотрудников и иных лиц, которые могут иметь доступ к системе.

Как найти список вирусных ссылок? Благодаря Интернету можно скачать сервисы, например, от Dr.Web. Или воспользоваться специальным сервисом для показа всех возможных вредных ссылок. Там есть список на вирусные ссылки. Остается выбрать наиболее подходящий вариант.

Вирусная ссылка

Не забывайте, что использование вирусных программ преследуется по закону!

Приступаем к самому главному действию - к созданию вирусных ссылок и выяснению способов их распространения.

Введение

Три кита мобильных SoC

Существует три основных производителя систем-на-чипе для кнопочных звонилок:



RDA Microelectronics



Spreadtrum



Mediatek

Архитектура

Стандарты

Более не выпускаются, но всё ещё продаются.
Компания куплена Spreadtrum.

Ребрендированы в Unisoc, но продолжают выпускать чипы под старым брендом.

Имеют линейки для смартфонов, кнопочных телефонов, IoT, встраиваемых устройств, и т.д.

Каждый производитель чипов предоставляет свой SDK для разработки прошивок на его основе. SDK разных производителей разительно отличаются и, как правило, пишутся под конкретную линейку чипов и задачу. Функции конечного устройства также зависят от операционной системы: SDK может быть интегрирован в ОС реального времени через HAL .

Не обязательно покупать десятки и сотни телефонов для проведения полноценного тестирования: достаточно купить несколько моделей разных производителей SoC и с разными операционными системами.

Что я купил и что получил


Были куплены почти случайные телефоны, ориентируясь по визуальной составляющей интерфейса на фотографиях и в видеообзорах и немногочисленной информации о SoC в интернете:

Inoi 101 (RDA8826/SC6533, 600₽)

DEXP SD2810 (SC6531E, 699₽)

Itel it2160 (MT6261, 799₽)

Irbis SF63 (SC6531DA, 750₽)

F+ Flip 3 (SC6531DA, 1499₽)

Довольно быстро я осознал, что с телефонами что-то не так…


Классификация нежелательных функций

Вредоносную активность телефонов можно разделить на три категории:

Методы обнаружения и анализа вредоносной активности

Детализация расходов мобильного оператора

Детализация расходов мобильного оператора

Анализ прошивки телефона — затратный метод, требующий глубоких познаний в устройстве телефона и способах обратной разработки ПО, зато позволяющий детально проанализировать вредоносные функции прошивки, а также избавиться от них.

Анализ прошивки состоит из трёх этапов:

Получение дампа из телефона или поиска и скачивания прошивки в интернете

Распаковки сжатых частей прошивки при необходимости

Исследования кода прошивки вручную

Для снятия прошивки я воспользовался взломанной версией Miracle Box. Чтобы модификации, сделанные крякерами, нельзя было легко посмотреть путём сравнения оригинального и измененного файла, на взломанную версию навешан Enigma Protector, прямо поверх VMProtect, который используется в оригинальном ПО. Из-за этого программа запускается около минуты и тормозит на отрисовке кнопок и компонентов при переключении вкладок.
Взломщики не озаботились отключением интернет-функций программы, что позволило авторам выявлять использование взломанной версии и, по всей видимости, выполнять произвольный код на компьютере пользователя: в окне лога появляются устрашающие надписи о сборе и отправке всех сохранённых паролей на сервер.

Miracle Box (cracked)

Miracle Box (cracked)

Преимущество подобного ПО в полной автоматизации процесса: программа сама определит конкретную модель процессора, адрес флеш-памяти и её размер. Некоторые боксы содержат встроенные эксплоиты для обхода Secure Boot и других подобных защит.

Существуют и альтернативные варианты получения дампов. Для чипов Mediatek можно воспользоваться официальной программой MTK Flash Tool, в которой есть функция чтения произвольного адреса памяти, а для RDA можно воспользоваться готовым скриптом, позволяющим прочитать в т.ч. оперативную память.
Официальное ПО для Spreadtrum: SPD Flash Tool / ResearchDownload.

Базовая станция 2G — удобный и лёгкий в настройке метод массового практического анализа вредоносной активности без предварительной подготовки каждого устройства, однако требующий значительных капитальных затрат на покупку SDR-оборудования.
Метод даёт доступ ко всему сетевому трафику GSM/GPRS, с возможностью его просмотра и модификации на лету.

bladeRF x115 ($650)

Raspberry Pi 400 ($100)

Открытое и бесплатное ПО базовой станции YateBTS

Wireshark для анализа GSM и интернет-трафика

BladeRF питается от USB и не требует никакой дополнительной обвязки. Достаточно обычной дипольной антенны для начала работы.
YateBTS автономно реализует все компоненты GSM-стека, благодаря чему устанавливается и настраивается буквально за 30 минут. Отлично подходит для подобных исследований!

Телефоны

Inoi 101

Inoi 101

Этот телефон не содержит вредоносных функций. Присутствуют типичные нежелательные вещи вроде меню СМС-подписок и платные игры, но устройство не выполняет какие-либо действия самовольно или скрытно.

Itel it2160

Itel it2160

Идентификатор базовой станции (LAC/TAC)

Идентификатор базовой станции позволяет определить местоположение телефона с точностью до ≈5 километров.

F+ Flip 3

Не содержит браузера, не выходит в интернет.

Декомпиляция прошивки выявляет наличие других номеров телефонов для ряда стран: +92313568243 для Пакистана (PLMN 410), +8804445600006 для Бангладеша (PLMN 470), 18049479956 для Азербайджана и Казахстана (PLMN 400, 401), +9156767215 для Индии (PLMN 404, 405).

В тексте СМС помимо IMEI и IMSI передаются три константы, по всей видимости означающие модель телефона и номер партии (дату производства):

На 4pda были обнаружены архивы прошивок от нескольких моделей фирмы BQ, которые очень похожи на прошивки F+. Судя по всему, это не перепакованный архив прошивки от OEM-производителя, содержащий помимо самой прошивки еще и файлы, необходимые для её отладки. В частности, в архивах содержится прошивка в виде .elf-файла, без сжатых секций, с отладочными символами.

Открыв .elf-файл в IDA, мы можем увидеть оригинальные названия функций и переменных.


Функция отправки СМС называется gmb_sms_sales_send_sms_ext, где gmb — вероятно, gmobi — поставщик сервиса смс-подписок.

Я попытался получить подробности об этой функциональности у производителя. С компанией F+ состоялся следующий диалог:

На просьбу выложить обновлённую версию прошивки в открытый доступ получил отказ и игнорирование дальнейших вопросов.

DEXP SD2810

DEXP SD2810 от российского бренда сети магазинов DNS.
Опасный телефон, расходующий деньги мобильного счёта.

02.01.2019, мы приобрели телефон Dexp SD2810 [. ] в день покупки мы вставили сим-карты и спустя 2 часа со счёта произошло списание денежных в размере 50 рублей. По детализации я увидел, что была отправка смс на номер 4446 и заказан какой-то развлекательный контент [. ]

15.01.2019 и 02.02.2019 также были отправлены смс на этот же номер 4446 и списано по 50 р. за каждую.

DEXP не ответил на запрос о вредоносной функциональности.

Irbis SF63

Irbis SF63

Модель SF63 от российского OEM-поставщика Irbis.
Опасный телефон, использующий номер вашего телефона в коммерческих целях, для регистрации сторонних лиц в интернет-сервисах.

Началось все 24 октября 2020 года. [. ] телефон радостно прислал мне уведомление, что новый контакт зарегистрировался в телеграм. Сон как рукой сняло ибо в телеграме зарегистрировалась бабушка моей девушки.

Результаты

4 из 5 телефонов содержат незадекларированную функциональность, из них:


Кто виноват?

Прежде всего виноват бренд, под которым продаются телефоны. Бренд заказывает разработку самого устройства и прошивки для него у OEM-производителя, но не проверяет конечное устройство на наличие незадекларированных возможностей. По какой-то причине, многие бренды не выкладывают прошивку на сайт, а отправляют обновлять устройство в сервисный центр в случае проблем.
Бренды F+ и BQ отрицают проблему или умалчивают о ней.

OEM-производитель готов внедрить любой каприз бренда или производителя сторонних модулей, за ваши же деньги.

Отсутствие в России специализированного министерства, которое бы занималось подобными проблемами. Минцифры (бывший Минсвязи) проверяют только сертификацию продукции на соответствие мировым и российским стандартам связи, но не функциональность конечного устройства.
Минцифры порекомендовало обращаться в Роспотребнадзор, перенеся проблему в плоскость продавец-покупатель.

Что делать?

Мобильных телефонов огромное количество, проверить их все невозможно.

Читайте отзывы перед покупкой: лучше купить проверенную модель, давно присутствующую на рынке, с безупречной репутацией, чем рисковать с новинками;

Отслеживайте поведение нового телефона после покупки в течение суток, по детализации оператора;

Пишите в Роспотребнадзор, ФСБ (?) и производителю, если обнаружили непонятную активность.

…а что с приёмом СМС?

Обновления

Представитель DNS прокомментировал статью, запущена отзывная кампания моделей DEXP B281 и DEXP SD2810

Читайте также: