Ako napísať program pre vírus Android. Vírusy v systéme Android OS. Ako zabrániť vírusovej infekcii zariadení so systémom Android

Vírusy môžu byť dvoch typov:

1. Falošný - používa sa názov a ikona známej aplikácie, vo vnútri však iba škodlivý kód. Väčšina vírusov je tohto typu.

2. Trójsky kôň - škodlivý kód sa pridáva do bežnej aplikácie, ktorá s ňou spolupracuje.

Čo môžu vírusy

1. Ukradnutie peňazí zo SIM karty: zavolajte alebo pošlite SMS s prémiovými sadzbami, kým sa na SIM karte nevyčerpajú peniaze.

2. Ukradnite informácie: pošlite heslá z online bánk, podrobnosti o bankovej karte alebo osobné súbory podvodníkom, vo svojom mene pošlite správy s virálnymi odkazmi na čísla z vášho adresára.

3. Blokovanie zariadenia pred normálnou prevádzkou: Zobrazte banner ransomvéru, ktorý zabráni použitiu zariadenia.

4. Využite silu svojho zariadenia: zobrazujte skryté reklamy alebo ťažte kryptomeny.

Ako sa vírusy dostávajú na smartphone alebo tablet

Podvodníci maskujú vírusy ako neškodné aplikácie a súbory: prehliadače, prehrávače, hry, navigátory, knihy, antivírusy. Potom ich distribuujú:

1. Na weboch pre dospelých, weboch s hacknutými aplikáciami a pirátskymi filmami, torrent trackeroch atď.

Napríklad hľadáte na internete nejaké hry alebo programy a ocitnete sa na fóre. Niekto nechal potrebný odkaz a všetci mu ďakujú.

Fórum a komentátori nie sú v skutočnosti skutoční.

Alebo prejdite na web s pirátskymi filmami a televíznymi seriálmi, zobrazí sa správa. Hovorí o tom, že smartphone / tablet je napadnutý vírusmi alebo je nejaký program veľmi zastaraný. Dokonca sa stane, že zariadenie začne vibrovať alebo vydávať čudné zvuky.

V skutočnosti to tak nie je a so zariadením je všetko v poriadku.

2. Prostredníctvom SMS, MMS a e-mailu

Spravidla ide o SMS od „dievčat z zoznamovacích webov“, z bezplatných inzertných serverov, listy od „notárov z Nemecka“, správy o výhre v lotérii.

Pozor, zázraky sa nekonajú. Vo väčšine prípadov ide o podvodníkov.

Všetky tieto správy majú spoločný cieľ - prinútiť vás kliknúť na odkaz, aby sa vírus stiahol do vášho zariadenia.

Ako vírusy infikujú smartphone alebo tablet

Aby vírus začal fungovať, nestačí ho stiahnuť - musíte si ho tiež nainštalovať. Vírusy sa zvyčajne sťahujú do priečinka Stiahnutie a vyzerajú ako inštalačné súbory aplikácií s príponou „apk“.

Ak kliknete na vírus, zobrazí sa zoznam povolení. Povolenia sú akcie, ktoré môže aplikácia vykonať po inštalácii.

Ak kliknete na Inštalovať, vírus sa nainštaluje a začne pracovať.

Ako rozpoznať vírus od bežnej aplikácie

Väčšinu vírusov píšu neprofesionáli, ktorí sa chcú rýchlo a bez problémov dostať k peniazom. Preto sú štandardnými znakmi takýchto vírusov povolenia na odosielanie správ alebo hovorov. Po nainštalovaní takéhoto vírusu bude v tichosti odosielať SMS alebo volať na mýto.

Porovnajme skutočné aplikácie a vírusy. Antivírus Dr.Web:

Povolenia pôvodného antivírusu z Obchodu Play

Povolenia vírusu, ktorý sa vydáva za antivírus

Yandex Navigator:

Povolenia pôvodného navigátora z Obchodu Play

Povolenia vírusu, ktorý sa vydáva za navigátora

Talking Tom Game 2:

Uznesenia pôvodnej hry Zväzok 2 z Obchodu Play

Povolenia vírusu, ktorý sa vydáva za hru Zväzok 2

Samozrejme, nie všetky aplikácie vyžadujúce prístup k hovorom a správam sú vírusy. A nie všetky vírusy požadujú prístup k plateným funkciám.

Ak chcú podvodníci fotografovať vaším fotoaparátom, budete potrebovať prístup k fotoaparátu a internetu.
Ak sú vaše súbory povinné, vyžiadajú si prístup k pamäti a internetu.
Ak chcú zablokovať obrazovku bannerom, požiadajú o práva správcu.
A niektoré vírusy dokonca vedia, ako skryť povolenia počas inštalácie.

Je ťažké identifikovať dobre vyrobený vírus - buď si musíte pozrieť zdrojový kód aplikácie, alebo nainštalovať vírus do zariadenia, odstrániť z neho protokoly (protokol o incidentoch) a porozumieť im. Našťastie sú takéto vírusy zriedkavé. Častejšie budete potrebovať dva orientačné body:

Ak je aplikácia stiahnutá z neznámeho webu a vyžaduje prístup k plateným funkciám, v 99% prípadov ide o vírus.

Ako chrániť váš smartphone alebo tablet pred vírusmi

1. Nainštalujte si aplikácie iba z Obchodu Play a berte ich výber vážne

Pre netrénovaného človeka je veľmi ťažké rozlíšiť vírus od bežnej aplikácie. Pre zaistenie bezpečnosti používateľov vytvoril Google špeciálny adresár s aplikáciami - Obchod Play.

Pred pridaním aplikácie do Obchodu Play Google skontroluje prítomnosť škodlivého kódu. Používatelia, ktorí si sťahujú aplikácie z Obchodu Play, sú bezpečnejší ako tí, ktorí si sťahujú aplikácie z rôznych webov a fór. Pamätajte však, že nič nie je úplne bezpečné, takže výber aplikácie berte vážne: pozorne si prečítajte povolenia a pozrite si hodnotenia.

2. Nesledujte neznáme odkazy v SMS, MMS alebo v pošte

Podvodníci sa dokonca naučili falšovať čísla a e-mailové adresy, takže správy s vírusovými odkazmi môžu pochádzať od ľudí, ktorých poznáte.

3. Nekoreňujte zariadenie ani neinštalujte neoficiálny firmvér

Ak je v zariadení root, vírus sa bude môcť zaregistrovať v systémových aplikáciách a potom ho bude môcť odstrániť iba úplné blikanie zariadenia.

4. Zakážte na svojom prístroji automatické prijímanie MMS

Podvodníci môžu automaticky sťahovať vírusy do zariadenia prostredníctvom MMS. Je to kvôli zraniteľnostiam v knižnici Stagefright.

Ak chcete zakázať automatické načítanie MMS, vyberte: Správy → Možnosti → Nastavenia → (Pokročilé) → MMS → Automatické načítanie (Automatické načítanie) → Zakázať.

5. Nepripájajte si bankovú službu „Autoplatba“ (automatické doplnenie zostatku telefónneho čísla, keď klesne na určitú sumu)

Ak sa do zariadenia náhle dostane vírus a odošle SMS na prémiové čísla, zostatok na SIM karte sa doplní, kým sa peniaze na karte nevyčerpajú. V takom prípade sú správy z banky zvyčajne blokované.

Tip: Ak chcete dostávať správy od bánk a iných dôležitých odosielateľov, zakúpte si samostatné číslo, ktoré nikto nebude poznať, a jednoduchý telefón.

Ako pochopiť, že sa na smartfóne alebo tablete objavil vírus

Neexistujú žiadne definitívne znaky, všetko závisí od vírusu. Niektoré sú viditeľné ihneď po inštalácii (objaví sa banner a prístup k zariadeniu je zablokovaný), iné sa nemusia dlho rozdávať. Vo väčšine prípadov sú to príznaky:

Objavujú sa veľké účty za SMS alebo hovory;
Zobrazí sa banner s požiadavkou na zaplatenie podvodníkom, ktorý neumožňuje použitie zariadenia;
Objavujú sa neznáme programy;
Batéria sa začne veľmi rýchlo vybiť;
Internetový prenos rýchlo spotrebúvajú nepochopiteľné aplikácie;
Zariadenie začne silno spomaľovať.

Ako odstrániť vírus, ak sa otvorí ponuka

Ako odstrániť vírus, ak sa ponuka neotvorí (banner ransomware)

Ak sa na obrazovke zobrazí banner ransomvéru, ktorý vám bráni v použití zariadenia:

Neprevádzajte peniaze na podvodníkov - aj tak vaše zariadenie neodomknú.

Vytiahnite SIM kartu, aby sa peniaze neodpísali z účtu.

Spustite zariadenie v núdzovom režime.

Ak banner v bezpečnom režime zmizne, zakážte administrátorské práva pre všetky aplikácie.

Ak banner stále existuje, prejdite na krok 11.

Skontrolujte všetky nainštalované aplikácie a odinštalujte neznáme.

Reštartujte zariadenie. Zariadenie sa zavedie v normálnom režime, nemal by tam byť banner.

Ak sa po reštartovaní banner zobrazí, prejdite na krok 11.

Stiahnite si dôveryhodný antivírus cez Wi-Fi z Obchodu Play.

Zariadenie vírusov a mechanizmy antivírusu fungujú každý deň, takže nie je možné poradiť s konkrétnym antivírusom. Zamerajte sa na hodnotenie od ostatných používateľov a recenzie. Podľa autora dobré antivírusy: Eset, Kaspersky a Dr. Web.

Skontrolujte svoje zariadenie antivírusom a odstráňte všetky nájdené vírusy.

Odstráňte antivírus, ktorý ste nainštalovali.

Stiahnite si ďalší antivírus a znova skontrolujte zariadenie.

Ak predchádzajúce možnosti nefungujú, resetujte zariadenie.

Ak sa nemôžete z vírusu zotaviť sami, obráťte sa na servisné stredisko spoločnosti Samsung.

Potrebujem antivírus v systéme Android

Ak ste začínajúcim používateľom a nedôverujete svojim schopnostiam, potrebujete ich. Ale iba jeden.

Ak zariadenie používate opatrne a dodržiavate bezpečnostné pravidlá, nemusíte si inštalovať antivírus.

Prvá experimentálna vzorka plnohodnotného trójskeho koňa pre Android bola predstavená v lete roku 2010 na konferencii DEF CON 18. Odvtedy uplynuli už viac ako štyri roky a za tento čas počet vírusov pre mobilný operačný systém od spoločnosti Google tisíckrát vzrástol a spoločnosti Google sa podarilo prísť s desiatkami rôznych metód. čeliť hrozbám. V tomto článku podrobne preskúmame svet malwaru pre Android a vysledujeme konfrontáciu medzi vyhľadávacím gigantom a hackermi.

BC, alebo ako napísať vírus za 15 minút

Prvé pokusy o vytvorenie škodlivého softvéru pre Android a dokázanie zlyhania mobilnej platformy Google z bezpečnostného hľadiska začali zverejnením prvých predbežných verzií Android SDK v roku 2007. Mladí študenti napísali softvér, ktorý na čítanie SMS používal štandardné funkcie smartfónov, a výskumné tímy ako Blitz Force Massada predviedli „30 útokových vektorov na Androide“, ktoré ukazujú, ako je možné štandardné Android API používať na škodlivé účely.

Bol to čas hračiek, ktoré sa nedali nazvať skutočným malvérom, nehovoriac o vírusoch. Sem-tam sa objavili aplikácie ako Mobile Spy od Retina-X Studios, ktoré vám umožňujú vzdialene čítať textové správy, históriu hovorov, prezerať fotografie, videá a určovať súradnice vášho smartphonu. Našli sa aj rôzne falošné aplikácie, napríklad neoficiálny klient nájdený na trhu v januári 2010 pre rôzne banky, ktoré sa k ničomu nepripojili, ale jednoducho odobrali čísla kreditných kariet zadané samotným používateľom.

Skutočný trójan bol viac-menej implementovaný až v roku 2010 bezpečnostnou spoločnosťou Trustwave, ktorá ho predviedla na DEF CON 18. Ameriku však neobjavili; Trójsky kôň bol iba štandardný modul jadra Linuxu, ktorý zachytával systémové volania write (), read (), open () a close () a tiež vytvoril reverzný shell pre volanie z konkrétneho čísla. Celá táto funkcionalita umožňovala diaľkové pripojenie k smartfónu a tajné využitie jeho schopností na vlastné účely vrátane čítania dôverných informácií.

Inštalácia rootkitu si vyžadovala fyzický prístup k zariadeniu, právam root a smartfónu HTC Legend (modul bol kompatibilný iba s jeho jadrom), takže nemohlo ísť o nijaké praktické použitie rootkitu. Dôkaz o koncepcii, ktorý dokázal iba to, že jadro systému Linux v smartfóne zostáva jadrom systému Linux.

Skutočný trójsky kôň sa vo voľnej prírode (nie na trhu) našiel až v auguste 2010. Je pravda, že v našom časopise vôbec nešlo o typ trójskeho koňa, o ktorom sa bežne píše, ale iba o SMS trójskeho koňa, čo je v skutočnosti bežná aplikácia, ktorá odosiela SMS na prémiové čísla bez vedomia používateľa. Hračka, ktorú dobrý programátor napíše za pol hodinu, ale veľmi nebezpečná, ak sa dostane k bežnému používateľovi.

Trójsky kôň, ktorý dostal meno Trojan-SMS.AndroidOS.FakePlayer.a, sa vydával za videoprehrávač pod nekomplikovaným názvom Movie Player a ikonou štandardného prehrávača Windows. Aplikácia vyžadovala právo na prístup k pamäťovej karte, odosielanie SMS a prijímanie údajov o smartfóne, ktoré systém nahlásil pred inštaláciou. Pokiaľ to všetko používateľovi neprekážalo a súhlasil s inštaláciou a spustil aplikáciu, tá visela v pozadí a začala posielať SMS na čísla 3353 a 3354, každé stálo päť dolárov. Tieto čísla, mimochodom, boli platné iba na území Ruska, takže nie je ťažké uhádnuť korene autora tohto „diela“.

V októbri bol zistený ďalší typ trójskeho koňa SMS. Malvér tentoraz použil smartphone na to, aby nevyprázdnil peňaženku obete, ale ukradol jej dôverné údaje. Po inštalácii a spustení išiel trójsky kôň do pozadia a všetky prichádzajúce SMS preposielal na iné číslo. Výsledkom bolo, že sa útočník mohol nielen zmocniť rôznych dôverných informácií o používateľovi, ale aj obísť dvojstupňové autentifikačné systémy, ktoré na zadanie vyžadujú nielen používateľské meno a heslo, ale aj jednorazový kód zaslaný na číslo mobilného telefónu.

Je zaujímavé, že telefónne číslo útočníka nebolo pevne zakódované do kódu trójskych koní, ale bolo nakonfigurované na diaľku. Na jeho zmenu bolo potrebné zaslať špeciálne navrhnutú SMS na číslo obete, ktoré obsahovalo telefónne číslo a heslo. Heslo bolo možné zmeniť pomocou inej SMS, predvolená kombinácia bola red4life.

Geinimi a všetci-všetci-všetci

Prvý skutočne profesionálne napísaný a anti-analytický malware pre Android bol objavený až v decembri 2010 spoločnosťou Lookout. Trojan, menom Geinimi, sa kvalitatívne líšil od všetkého, čo bolo napísané skôr, a mal nasledujúce jedinečné vlastnosti:

Distribúcia ako súčasť legálneho softvéru. Na rozdiel od všetkých ostatných škodlivých programov, ktoré sa vydávali iba za skutočné programy a hry, bol Geinimi v skutočnosti zabudovaný do skutočných hier. V rôznych dobách sa trójsky kôň nachádzal v aplikáciách ako Monkey Jump 2, President Versus Aliens, City Defense a Baseball Superstars 2010, ktoré boli rozptýlené po miestnych trhoch v Číne a rôznych sledovačoch torrentov. Funkčnosť pôvodnej aplikácie bola plne zachovaná, takže používateľ o infekcii smartfónu ani len netušil.
Dvojitá ochrana proti analýze. Trójsky kôň prešiel cez obfuscator, čo sťažilo analýzu a všetka komunikácia so vzdialeným serverom bola šifrovaná (spravodlivo treba povedať, že bol použitý chybný algoritmus DES s kľúčom 12345678).
Schopnosť použiť na organizáciu botnetu. V kóde Geinimi sa našlo viac ako 20 riadiacich príkazov, ktoré umožňovali vykonávať také operácie ako inštalácia a odinštalovanie aplikácií (aj keď to vyžadovalo povolenie používateľa), získanie zoznamu všetkých nainštalovaných programov alebo spustenie aplikácií.

Všeobecne platí, že Geinimi nasledoval nasledujúci algoritmus. Po spustení infikovanej aplikácie bola vytvorená služba na pozadí, ktorá zhromažďovala osobné údaje: súradnice zariadenia, čísla IMEI a IMSI. Potom sa s intervalom jednej minúty pokúsil skontaktovať s jedným z desiatich vzdialených serverov (www.widifu.com, www.udaore.com, www.frijd.com a ďalších), kde boli prenesené všetky zhromaždené informácie a kde boli zhromaždené príkazy na vzdialené spustenie.

Spoločnosť Geinimi bola priekopníkom plnohodnotných trójskych koní pre Android a po svojej prvej detekcii sa na internete čoraz častejšie začal objavovať malware s podobnými alebo podobnými funkciami. Čoskoro sa našla modifikácia Geinimi s názvom ADRD, trójsky kôň Android.Pjapps a mnoho ďalších. Všetky z nich boli distribuované prostredníctvom rôznych webov, sledovačov torrentov, čínskych neoficiálnych obchodov, takže sa pred nimi môžete chrániť jednoduchou inštaláciou aplikácií z neznámych zdrojov. Všetko sa však zmenilo, keď bol objavený trójsky kôň DroidDream, ktorý bol distribuovaný ako súčasť viac ako 50 aplikácií zverejnených v oficiálnom obchode Android Market.

DroidDream a začiatok zápasu o udržanie čistoty trhu

V marci 2011 informoval užívateľ Lompolo na reddite, že na trhu s Androidom sa našlo niekoľko desiatok škodlivých aplikácií, ktoré zverejnila osoba s prezývkou Myournet. Napriek priemernosti samotného trójskeho koňa, ako aj už známej metóde distribúcie založenej na vstrekovaní kódu do legitímnej aplikácie, prítomnosť malvéru na trhu, ako aj predpoklad, že využíva rageagainstthecage exploit na získanie koreňových práv na zariadenie, rýchlo vyvolali záujem o novinky používatelia a zamestnanci rôznych bezpečnostných spoločností. Za pár dní sa pôvodný zoznam dvoch desiatok aplikácií rozšíril na 56 a medzi ľuďmi, ktorí ho publikovali (alebo robotmi, kto vie), sa našli Kingmall2010 a we20090202.

Samotný DroidDream bol veľmi podobný funkcionalite ako zjednodušené Geinimi, ale nebol jeho variáciou. Zhromaždil tiež informácie o smartfóne, poslal ich na vzdialený server (http://184.105.245.17:8080/GMServer/GMServlet) a ako odpoveď dostal riadiace príkazy. Navyše obsahovala aj ďalšiu aplikáciu skrytú v adresári assets / sqlite.db vo vnútri súboru APK a nainštalovanú v systéme pod názvom DownloadProvidersManager.apk. Je zrejmé, že to bola ochrana pred vymazaním.

Celkovo sa infikovaným aplikáciám podarilo nainštalovať od 50 do 200 tisíc používateľov, kým bezpečnostný tím Google nezareagoval na správu a neodstránil z trhu všetky nájdené kópie škodlivého softvéru a účty používateľov, ktorí ich zverejnili. Na trhu sa navyše objavila aplikácia Android Market Security Tool, pomocou ktorej mohol používateľ vyčistiť smartphone od infekcie. Ale ani tu to nebolo bez rozpakov. Doslova o dva dni neskôr spoločnosť Symantec objavila na internete infikovanú verziu tejto aplikácie, ktorá obsahovala ďalšieho trójskeho koňa, ktorý neskôr dostal meno Fake10086 na selektívne blokovanie SMS z čísla 10086.

Skutočnosť, že malware prenikol na Android Market (a po tom, čo sa na trhu našlo niekoľko ďalších vírusov), prinútila spoločnosť Google vážne premýšľať o bezpečnosti svojho úložiska aplikácií, a keďže neboli zvyknutí robiť nič manuálne, začiatkom roka 2012 spustili službu Bouncer, ktorá testované aplikácie na bezpečnosť spustením vo virtuálnom stroji. Úlohou vyhadzovača bolo vykonať viacnásobné spustenie softvéru, simulovať prácu používateľa s aplikáciou a analyzovať stav systému pred a po práci s aplikáciou. Pokiaľ si softvér neumožňoval nijaké čudné a podozrivé akcie, potom bol uvedený na trh, inak bola publikácia zablokovaná.

Podľa spoločnosti Google okamžite po spustení aplikácie Bouncer znížil počet škodlivého softvéru na trhu o 40%. Neskôr sa však ukázalo, že je možné ho ľahko obísť analýzou niektorých charakteristík systému, ako je napríklad e-mailová adresa vlastníka „smartphonu“, verzia OS atď., A potom vytvorí aplikáciu, ktorá po detekcii bude konať absolútne legálne a špinavú prácu bude robiť iba na skutočnom smartfóne. Google s najväčšou pravdepodobnosťou už vyvinul systém na potlačenie detekcie vyhadzovačov (napríklad generovaním jedinečných virtuálnych prostredí pre každú aplikáciu).

Zeus v mobile

Pred piatimi rokmi začal trójsky kôň menom Zeus svoj víťazný pochod naprieč počítačmi používateľov. Vďaka sofistikovanému dizajnu a pokročilým maskovacím technikám, ktoré neskutočne sťažovali jeho detekciu, sa dokázal rozšíriť na milióny strojov po celom svete a vytvoriť jeden z najväčších botnetov v histórii; len v USA bolo zaznamenaných viac ako tri a pol milióna prípadov infekcie.

Hlavnou úlohou Zeusu bolo zorganizovať útok typu „man-in-the-browser“, to znamená pomocou techník keyloggingu a grabovania formulárov na zachytenie informácií o súkromných používateľoch a ich odoslanie na vzdialené servery. Počas svojej práce dokázal Zeus ukradnúť státisíce prihlásení a hesiel z populárnych služieb (Facebook, Yahoo !, hi5, metroFLOG, Sonico, Netlog) a samozrejme z mnohých online bánk.

Vývojár Zeus rýchlo zareagoval na vznik dvojfaktorových autentifikačných systémov a v roku 2010 vydal aplikácie pre Symbian a BlackBerry, ktorých úlohou bolo zachytiť autentifikačné SMS správy jednorazovými autorizačnými kódmi a potom ich odoslať na rovnaké vzdialené servery. V polovici roku 2012 sa podobná aplikácia objavila aj pre Android.

Jeho prvá verzia bola veľmi primitívna a údajne išlo o bezpečnostnú aplikáciu, ktorá po spustení zobrazí overovací kód a zavrie sa. Výsledkom je, že proces služby, ktorý zachytáva SMS a odosiela ich na vzdialený server, visí na pozadí. Následné verzie systému Zeus pre Android tiež získali systém diaľkového ovládania pomocou správ od konkrétneho čísla, vírus však tentokrát nepoužíval žiadne pokročilé metódy maskovania ani šírenia.

Napriek tomu bola mobilná verzia Zeusu stále schopná robiť v médiách poriadny šum, ale ako vidíte, trójsky kôň bol veľmi preceňovaný.

Prvý IRC robot

V polovici januára 2012 zamestnanci spoločnosti Kaspersky Lab oznámili, že bol objavený vôbec prvý robot IRC s Androidom. Aplikácia bola distribuovaná vo forme inštalačného súboru APK s veľkosťou niečo cez 5 MB a vydávala sa za hru Madden NFL 12. Zaujímavým rozdielom medzi týmto trójskym koňom a ostatnými bol fakt, že v skutočnosti celá jeho logika fungovania spočívala v natívnych aplikáciách systému Linux, ktoré však zažiaril v štandardnom okne Správcu úloh systému Android a tiež použil lokálny exploit na získanie oprávnení root.

Počas spustenia aplikácia vytvorila adresár /data/data/com.android.bot/files, do ktorého umiestnila tri súbory: header01.png, footer01.png, border01.png, a potom na ne nastavila vykonávací bit a spustila prvý súbor - exploit Perník, ktorý zakorení vaše zariadenie. Ak bol nainštalovaný už zakorenený firmvér, aplikácia sa pokúsila získať oprávnenie root pravidelnými prostriedkami, v dôsledku čoho bol používateľ vyzvaný na zvýšenie oprávnení (prípad, keď je zakorenený smartphone bezpečnejší ako uzamknutý).

Ak sa oprávnenia root podarilo úspešne získať pomocou ktorejkoľvek z týchto dvoch metód, bol spustený druhý súbor, ktorý obsahoval SMS Trojan - modifikáciu známeho Foncy SMS Trojan. Trójsky kôň zistil, či karta SIM patrí do krajiny, a začal odosielať správy na krátke platené číslo, pričom blokoval všetky odpovede. Ďalej sme spustili súbor border01.png, ktorý obsahoval kód pre IRC robota. Pripojil sa k IRC serveru s IP adresou 199,68. . a zaregistrovaný na kanáli #andros pod náhodnou prezývkou. Všetky správy odoslané robotovi sa v konzole vykonávali ako bežné príkazy systému Linux.

Podľa vyhlásenia zamestnancov spoločnosti Kaspersky Lab išlo o prvú aplikáciu tohto druhu pre Android. Podľa ich názoru však bolo jeho nebezpečenstvo malé, pretože bol distribuovaný iba na sivých trhoch a zneužitie fungovalo iba v skorých verziách Androidu 2.3.

Prvý polymorfný trójsky kôň

Vo februári 2012 spoločnosť Symantec oznámila, že objavila prvého polymorfného trójskeho koňa pre platformu Android, ktorý v tom čase nemohol nájsť iný mobilný antivírus ako ten jeho (prekvapenie). Trójsky kôň s názvom Android.Opfake bol distribuovaný prostredníctvom rôznych webových stránok, hlavne v Rusku a SNŠ, ako bezplatná verzia populárnej aplikácie alebo hry.

Bolo to iba podmienene polymorfné, pretože trójsky kôň sa zmenil na strane servera. Zakaždým, keď sa súbor nahral, \u200b\u200bobsah súboru APK sa upravil pomocou rôznych metód, ako napríklad úpravou dátových súborov vrátane nevyžiadaných súborov v balíku aplikácie a zmenou názvov súborov. To všetko sťažovalo detekciu mobilnými antivírusmi, ktoré v tom čase používali primitívne techniky identifikácie, ako napríklad kontrola kontrolných súčtov a kontrola konkrétnych súborov v balíku.

Po zasiahnutí smartfónu obete a jeho spustení získal trójsky kôň zoznam telekomunikačných operátorov, zaplatil krátke čísla zo súboru res / raw / data.db (ktorý existoval v ktorejkoľvek verzii trójskeho koňa) a začal posielať SMS. Trójsky kôň navyše otvoril v prehliadači webovú stránku obsahujúcu odkazy na iný malware. Je zaujímavé, že správy sa zmenili aj pri každej novej mutácii trójskeho koňa, čo znemožňovalo blokovanie určitých typov správ na strane operátora.

Vírus matriošky

O týždeň skôr, konkrétne 1. februára 2012, zverejnil Viktor Chebushev na svojej webovej stránke poznámku o detekcii nového typu vírusu šíriaceho sa v obchode Google Play. Vírus sa maskoval za aplikáciu Superclean, ktorá podľa vývojárov dokáže vyčistiť pamäť zariadenia a zlepšiť tak výkon smartfónu alebo tabletu. V tom čase už mala aplikácia od 1000 do 5 000 inštalácií a dobré hodnotenie 4,5 hviezdičky.

Ako sa ukázalo, program Superclean vykonal čistenie pamäte, ale urobil to jednoduchým reštartom všetkých aplikácií na pozadí iba s piatimi riadkami Javy. Pri tejto „zložitej“ úlohe sa skončila užitočná akcia aplikácie a najzaujímavejšie sa začalo ďalej. Pri analýze kódu zamestnanec spoločnosti Kaspersky Lab zistil, že po spustení aplikácie sa pripojil na vzdialený server a na pamäťovú kartu načítal tri súbory: autorun.inf, folder.ico a svchosts.exe.

Prvé dva automaticky zmenili smartphone pripojený k USB portu počítača na bootovateľnú jednotku USB flash, z ktorej bol spustený súbor svchosts.exe. Samotný Svchosts.exe sa ukázal byť backdoor Backdoor.MSIL.Ssucl.a, ktorý počúva mikrofón počítača a odosiela všetky prijaté údaje s jeho pomocou na vzdialený server.

Rozlišovacia vlastnosť Trójskeho koňa bola v tom čase tiež najpôsobivejšou sadou funkcií zo všetkých mobilných malvérov pre Android. Na príkaz operátora mohol posielať správy bez vedomia používateľa, zapínať a vypínať Wi-Fi, zhromažďovať informácie o zariadení, otvárať ľubovoľné odkazy v prehliadači, odosielať obsah SD karty na vzdialený server, posielať SMS správy a vykonávať mnoho ďalších operácií.

Ďalšia odpoveď Google alebo vynútená kontrola všetkých aplikácií

Do konca roku 2012 už bola situácia s malvérom pre Android natoľko napätá, že Google sa rozhodol urobiť ďalší dramatický krok. V septembri bola zakúpená online služba VirusTotal na vyhľadávanie vírusov bez väčšej publicity a 29. októbra bol uvedený na trh Android 4.2, ktorého jednou z noviniek bolo automatické skenovanie vírusov pomocou akejkoľvek aplikácie nainštalovanej mimo Google Play prostredníctvom vzdialenej služby.

Je ťažké povedať, či Google na túto úlohu použil zakúpený program VirusTotal alebo či má vlastnú overovaciu službu. Na to, aby ste si uvedomili, že program VirusTotal bol použitý na ochranu systému Android pred vírusmi, však nemusíte byť zamestnancom spoločnosti Google.

Najpokročilejší trójsky kôň

V júni tohto roku zamestnanci spoločnosti Kaspersky Lab objavili najsofistikovanejší a technicky najpokročilejší trójsky kôň pre Android zo všetkých, s ktorými sa predtým stretli. Trójsky kôň dostal meno Backdoor.AndroidOS.Obad.a. Bola to nezávislá aplikácia, ktorá nebola zabudovaná do legitímneho softvéru a zjavne sa distribuovala pod rúškom známych aplikácií.

Po tom, čo používateľ súhlasil s dlhým zoznamom povolení, inštalácie a spustenia, požiadal o práva správcu zariadenia (nehovoríme o roote, ale o vlastnom bezpečnostnom systéme Androidu), ktoré boli potrebné iba na dve veci: samosvornosť obrazovky a ochrana pred vymazaním. Posledný trójsky kôň bol obzvlášť sofistikovaný. Použitím doteraz neznámej chyby v Androide sa odstránil zo zoznamu aplikácií s oprávneniami správcu, čo mu znemožnilo pripraviť tieto práva a v dôsledku toho vymazať.

Trójsky kôň potom skontroloval práva root v systéme a pri ďalšom pripojení k sieti Wi-Fi odoslal informácie o zariadení na vzdialený server. Informácie boli typické pre tento druh aplikácie a zahŕňali telefónne číslo, IMEI, MAC adresy a podobné informácie. Ako odpoveď dostal zoznam príkazov na vykonanie a vložil ich do databázy s poznámkou o čase vykonania. Diaľkové príkazy môžu byť: kontrola rovnováhy, odosielanie správ, prepnutie do režimu proxy prenosu, sťahovanie a inštalácia aplikácií, odosielanie súborov cez Bluetooth, otvorenie shellu a iné. Navyše vždy, keď sa pripojil k inému zariadeniu s modrým zubom, skopíroval sa do tohto zariadenia.

Pokus o analýzu trójskeho koňa odhalil použitie rôznych anti-analytických techník. Trójsky kôň najskôr zneužil predtým neznámu chybu v nástroji dex2jar, kvôli ktorej bola dekompilácia kódu Trójana nesprávna. Po druhé, trójsky kôň využil ďalšiu neznámu chybu systému Android, ktorá mu umožnila vytvoriť súbor Manifest.xml, ktorý obsahuje meta informácie o aplikácii spôsobom, ktorý by porušoval štandardy spoločnosti Google, ale pri spustení aplikácie by sa s ňou zaobchádzalo správne. Z tohto dôvodu veľa analytických nástrojov jednoducho nefungovalo.

Ak bolo možné trojským kódom rozbaliť a dekompilovať obchádzanie týchto obmedzení, bolo ďalej potrebné zaoberať sa viacúrovňovým šifrovacím systémom, ktorý chránil všetky textové údaje a názvy metód pred analýzou (boli to tiež reťazce a boli vyvolané odrazom). Je zaujímavé, že kľúčom pre prvú šifrovaciu vrstvu bol riadok z domovskej stránky facebook.com, ktorý znemožňoval analyzovať fungovanie trójskeho koňa v „sterilnej miestnosti“ bez pripojenia na internet (aj keď obmedzenie je samozrejme možné obísť pomocou proxy servera).

INFO

Ako jedna z metód polymorfizmu v trójskych koňoch nájdených spoločnosťou Symantec bola použitá fotografia rovnakého svedka z Fryazina zahrnutá do rôznych súborov.

závery

V súčasnosti pre Android existujú tisíce vírusov a niektoré z nich skutočne zaujímajú výskumníkov ako príklady dobrého programovania a znalostí architektúry Android. Nemali by ste sa ich však báť. Autor tohto článku používa smartfóny s Androidom už viac ako šesť rokov bez antivírusového softvéru a nikdy na nich nezachytil infekciu. Hlavná vec je čítať povolenia aplikácií a inštalovať ich iba z trhu.

Začnime „čerstvým“ - trojicu dnes môžeme považovať za najnovší a „nepriestrelný“ vírus pre smartfóny. Objavili ho až v marci 2017.

Je jedinečný svojou blízkosťou ku klasickým vírusom, a nie ransomwarovým trójskym koňom, ako to býva v prípade systému Android. Stále to musíte zvládnuť vyzdvihnúť z „neoverených zdrojov“, ale potom začne oveľa veselší „akčný film“:

Triada je vírus, ktorý nielenže chuligán v systéme, ale vklinuje sa do svojich životne dôležitých oblastí

Triada sa zapne po nainštalovaní a povolení napríklad pre sťahovanie vašej obľúbenej hudby z VKontakte. Potom program tajne zistí model vášho smartfónu, verziu firmvéru a systému Android, množstvo voľného miesta na diskoch a zoznam nainštalovaných aplikácií. A pošle toto informácie na internete na ich servery. Existuje obrovské množstvo týchto serverov, sú rozptýlené v rôznych krajinách, to znamená, že nebude fungovať ani to, aby sme na serveri s malvérom usporiadali „masku“.
V reakcii na Triadu prijíma pokyny (vyložene individuálny prístup k pacientovi!), ako sa najlepšie skryť konkrétne v tejto verzii systému Android a tento smartphone je zakomponovaný do každej (!) nainštalovaných aplikácií a preberá kontrolu nad komponentmi systému skryť sa v zozname nainštalovaných aplikácií a spustených procesov. Samostatná časť vírusu v systéme potom „zakrýva“ svoje stopy - už nefunguje ako samostatná aplikácia, ale koordinuje svoje akcie pomocou častí infikovaného systému.
Hotovo, systém je dobytý! Od tohto okamihu sa smartphone zmení na „bábku“, ktorá útočníkom vydáva povely na diaľku a prijíma informácie na ktoromkoľvek z dostupných serverov. Teraz Triada koná primitívne - zisťuje podrobnosti o vašej bankovej karte, vyberá z nej peniaze, získava kódy potrebné na platbu z prichádzajúcich SMS, „čerpá“ falošné čísla o zostatku majiteľovi.

Ale so schopnosťou „vykuchať“ ktorúkoľvek nainštalovanú aplikáciu alebo nainštalovať novú na diaľku, sú to iba „kvety“ - zvláštnosťou „Triády“ je, že ide o modulárny vírus, bude na ňu možné naskrutkovať rôzne typy vzdialených trikov.

Ako vidíte, vírusy pre Android nie sú iba primitívne „váš telefón je zamknutý, máte sto dolárov“, ktorých sa môžete zbaviť odstránením aplikácie. A ak je v nových verziách systému Android prinajmenšom komplikovaný prístup k získaniu root a vo fáze vyžadovania práv aplikáciou vidíte niečo podozrivé, potom sú staré verzie (Android 4.4, 4.3 a staršie) proti novej infekcii absolútne bezbranné - iba úplné blikanie ušetrí.

Marcher

Takzvaný „bankový malware“ bol vyvinutý ešte v roku 2013, ale jeho „najlepšia hodina“ prišla až v lete 2016. Známe pre dobré maskovanie a takpovediac „internacionalizmus“.

Marcher je jednoduchý trójsky kôň, ktorý nerobí nič nadprirodzené, ale pomocou kontextových okien jednoducho nahradzuje stránky služieb veľkého počtu bánk. Mechanizmus je nasledovný:

Trójsky kôň vstupuje do systému spolu s infikovanou aplikáciou. Vrchol popularity Marchera padol na „čerstvo ukradnuté“ verzie Super Mario Run od Nintenda. Ak si nepamätáte, toto je taký super prešibaný „bežec“ od tvorcov Pokemon GO!
Vyhľadáva bankové aplikácie na smartfóne a aplikácie online obchodu vyberajú „medzery“ podľa toho, ktorú banku používate.
Odošle „návnadu“ do smartfónu - správa v oznamovacej opone s ikonou banky / obchodu a správa v štýle „Na váš účet bolo prijatých N rubľov“ / „75% zľavový kupón na akýkoľvek produkt práve dnes!“.
Majiteľ smartphone klikne na notifikáciu. Potom sa otvorí trójsky kôň presná kópia, stránka 1 v 1 podobná tej, ktorú ste zvyknutí vidieť v oficiálnej aplikácii. A povie niečo v štýle „pripojenie k sieti je prerušené, znova zadajte podrobnosti o bankovej karte.“
Majiteľ smartphone zadá údaje o bankovej karte. Tu denyuzhki ahoj!

"Priateľ, zabudol som číslo tvojej karty." Nemôžeš mi to pripomenúť? “

Trójsky kôň takýmto jednoduchým spôsobom predstieral proces nákupu leteniek, nákupu tovaru v internetových obchodoch a softvéru v službe Google Play a fungovania bankových aplikácií. Pod distribúciu sa dostali používatelia bankových kariet v Nemecku, Francúzsku, Poľsku, Turecku, USA, Austrálii, Španielsku, Rakúsku a Veľkej Británii. Spočiatku sa vírus „zostril“ v \u200b\u200bsystéme Android 6.x, smartphony pod kontrolou iných verzií sa ukázali byť oveľa menšie.

Loki

Dokonca ani samotár, ale celá kaskáda chameleónskych trójskych koní, ktorá nie je taká drsná ako Triada, ale rovnako bolestivá pre operačný systém. Antivírusoví špecialisti upozornili na malvér začiatkom roku 2016 a malware začal hromadne prenikať do inteligentných telefónov už v decembri 2016.

Loki je taká organizovaná lúpež vo vašom smartfóne

Malvér koná tak rýchlo a hladko, že mu chcete dať standing ovation. Stačí sa pozrieť na tento „viacnásobný prechod“:

Prvý trójsky kôň vstupuje do systému s bezpečnou aplikáciou a začína s ňou. Potom okamžite „žiada posilnenie“, to znamená, že stiahne druhého trójskeho koňa zo svojich zdrojov a nainštaluje ho s množstvom nástrojov na získanie práv root. Monitoruje systém, čaká na vypnutie displeja používateľom smartfónu a v tomto režime extrahuje root. Potom uvedie na trh svojho „kolegu“.
Druhý trójsky kôň zachytáva práva root, získava prístup k systémovému oddielu / („továrenské“ súbory firmvéru, ktoré sa ukladajú aj po obnovení), vybalí zo seba ďalších pár trójskych koní a vloží ich do „nehorľavých“ systémových oddielov.
Tretí trójsky kôň ožíva práve v tejto sekcii / systéme, v ktorom nahrádza časť systému zodpovednú za načítanie a odstraňuje štandardné „vnútornosti“ pre Android. Ak majiteľ zázrakom odstráni všetky predchádzajúce vírusy a dostane sa k tretiemu Lokimu, jeho odstránením firmvér smartfónu „zomrie“.
V tom čase štvrtý z trójskych kaskád koná z chráneného systémového priečinka, odkiaľ sťahuje ďalší balík vírusov, „roztočí“ reklamy alebo jednoducho podvádza čítače sťahovania aplikácií / návštev stránok na infikovanom smartfóne. Blokuje sťahovanie a inštaláciu antivírusov, zlepšuje jeho ochranu.

Stopy tejto násilnej činnosti nie je možné „vykořeniť“ z mozgu smartfónu, takže infekciu Loki je možné „vyliečiť“ iba úplným blikaním so stratou všetkých údajov.

Faketoken

Ak predchádzajúci trójsky kôň zámerne koná na dôvtipu, takže používateľ smartfónu nevie o infekcii až do poslednej chvíle, potom je Faketoken vo svojom prístupe jednoduchý a priamy, ako skúsený gopnik - vyžaduje mu udelenie práva na akékoľvek kroky so smartfónom, a ak vlastník odmietne, do hry vstúpi algoritmus "Hej, nechápeš?" Potom sa budem opakovať! “

Najprv je používateľ nútený udeliť správcovi vírusové práva

Inštalácia máš na mysli pripútanosť obvyklou skratkou z nejakej stránky vasyapupkinsuperwarez.net. Spustíte to a potom vás začnú „mučiť“.
Trójsky kôň otvorí okno systému so žiadosťou o práva správcu. V najlepších demokratických tradíciách má vlastník smartfónu dve možnosti - umožniť trójskemu koňovi prístup do systému alebo ho nepovoliť. Ale v prípade neúspechu sa Faketoken znovu otvorí okno s požiadavkou na systémové práva , a bude to robiť neustále, kým sa používateľ smartfónu nevzdá.
Potom sa trójsky kôň pomocou rovnakej termorektálnej kryptoanalýzy extrahuje vyskakovacie zobrazovacie práva a náhradu za štandardnú aplikáciu na odosielanie SMS.
Po úspechu v dobývaní Trójanov komunikuje so svojím serverom C&C na internete a odtiaľ stiahne šablóny fráz v 77 jazykoch, ktoré potom vydierajú používateľa mobilného telefónu.
Potom sa pomocou pripravených fráz začne Faketoken v systéme vysrať správy na celú obrazovku v štýle „potvrďte meno a heslo svojho účtu v Gmaile“ a „teraz v Google Play je potrebné zviazať kartu, zadajte požadované údaje“. Až do trpkého konca, samozrejme.
Trójsky kôň v systéme, posiela a prijíma SMS, telefonuje, sťahuje aplikácie. A nakoniec - uzamkne obrazovku, šifruje všetky súbory vo vnútornej pamäti a na microSD a požaduje výkupné.

Bezbožný

Trójsky kôň Godless nezaujme ani takpovediac funkčnosťou, ale maskovaním - jeho prítomnosť v aplikáciách dlho nespoznával ani vychvaľovaný antivírusový systém v službe Google Play. Výsledok je trochu predvídateľný - malware napadol viac ako 850 000 smartfónov po celom svete a takmer polovica z nich patrí obyvateľom Indie, čo, zdá sa, naznačuje pôvod Trojana.

Stiahnete si baterku z Google Play - zachytíte neodstrániteľný vírus pomocou šifrovania a práv root

Funkčnosť trójskeho koňa sa v porovnaní s mnohými kolegami v roku 2016 málo líši, nový je iba začiatok:

Stiahnutie používateľov smartfónov aplikácia z Google Play , zapne ho, v dôsledku čoho sa trójsky kôň spustí spolu s aplikáciou. Len si nemyslite, že je niečo zlé na kontrole Google, pretože tento „balík“ neobsahuje škodlivý kód - trójsky kôň si škodlivý kód stiahne pri prvom spustení.
Pre začiatočníkov Godless extrakty na smartphone koreňové práva , zadarmo bez SMS. S pomocou približne rovnakej sady nástrojov ako v týchto, napríklad váš Towelroot. Trójsky kôň vykonáva také operácie, keď je vypnutá obrazovka.
Potom sa drzý trójsky kôň odošle do priečinka / system (odkiaľ je) sa nedá odstrániť bez blikania) a šifruje sa pomocou kľúča AES.
S úplnými bezbožnými prístupovými právami začína kúsok po kúsku ukradnúť osobné údaje používateľov zo smartphonov a inštalovať aplikácie tretích strán. V počiatočných verziách trójsky kôň mimochodom skryl používateľovi štandardnú službu Google Play a nahradil ju „paródiou“, prostredníctvom ktorej ukradol používateľské meno a heslo z účtu.

Medzi aplikácie, na ktoré bol Godless najčastejšie „naskrutkovaný“, patrili početné „baterky“ a klony slávnych hier pre Android. červy , trójske kone , adware (dotieravé reklamy) a „Hororové príbehy“ , ale takmer nikoho nezaujímajú také jemnosti. Rovnako ako vírusy - sú to vírusy.

Rozdiely medzi „stupňami radosti“ sú tieto:

Vírus - škodlivý program, ktorý neviditeľne preniká do počítača kvôli zraniteľnosti systému. A čo je najdôležitejšie, nezapája sa do sabotáže, ale infikuje ďalšie súbory v systéme. V prípade systému Android by takýto malware musel preniknúť po banálnom kliknutí na reklamu alebo navštíviť webovú stránku a potom sám pre seba „prepísať“ Gmail, VKontakte a ďalšie aplikácie, aby po odstránení pôvodného vírusu mohli infikované aplikácie naďalej vykonávať špinavú prácu.
Červ - robí zlý skutok a tvrdo, nemilosrdne sa všetkými prostriedkami šíri všetkými komunikačnými kanálmi. Na počítačoch sa červy odosielali prostredníctvom e-mailu, okamžitých správ, miestnych sietí, flash diskov - to znamená, že sa klonovali tým najhanebnejším spôsobom.
Trójsky kôň nikdy neklepete na systém zvonku - škodlivý program si nainštalujete a spustíte sami. Stáva sa to preto, že trójske kone nahrádzajú bežné, známe a známe aplikácie a niekedy sú jednoducho „všité“ do plne funkčných programov. To znamená, že si kúpite, stiahnete užitočný program - a získate škodlivý ako darček!
„Scareware“ - aplikácie, ktoré vyvolávajú paniku: „Panebože, máte celý svoj smartphone vo vírusoch a aplikácie na odpočúvanie spravodajskými službami celého sveta! Stiahnite si náš antivírus a zistite celú pravdu! “ Stiahnite si, spustite, vykonajte takzvanú kontrolu, po ktorej program povie: „Strašné množstvo vírusov v systéme! Ak vírusy neodstránite, váš telefón zomrie, ale tu musíte sem a tu zadať údaje o svojej bankovej karte. “ Takéto kúzlo je často ignorované všetkými antivírusmi, pretože v systéme nič nezasekáva a neukradne - jednoducho klame kupujúceho a pýta peniaze.

Dnes je OS Android umiestnený ako jeden z najpopulárnejších operačných systémov - beží na ňom viac ako 70% zariadení po celom svete.

Dôvodom je jeho dostupnosť: výrobca používa otvorený zdrojový kód na „ostrenie“ mnohých gadgetov a umožňuje nezávisle meniť vzhľad shellu, blysnúť smartphone, prijímať atď.

Túto túžbu po personalizácii nakoniec prebrali útočníci, výsledkom čoho bolo obrovské množstvo škodlivého softvéru prenikajúceho do otvoreného zdrojového kódu a prenášajúcich opraty kontroly do zlých rúk.

Ako dostanete vírus?

Android sa považuje za pomerne bezpečný operačný systém. Nie nadarmo prišli inteligentní ľudia s Google Play - väčšina softvéru je filtrovaná na vírusy, ktoré chránia používateľa pred neoprávneným uvedením. Odstránením zákazu inštalácie z neznámych zdrojov môžete vlastnými rukami otvoriť prístup k systému zariadenia pochybným aplikáciám.

Väčšina škodlivého softvéru sa do systému v podstate dostane stiahnutím softvéru zo služieb hostenia súborov tretích strán, napríklad keď sa majiteľ smartfónu pokúsi kúpiť platenú aplikáciu alebo program, ktorý nie je k dispozícii na Google Play zadarmo. Vírus môžete „vyzdvihnúť“ aj zadaním telefónneho čísla na rôznych stránkach: dostanete sa tak do databázy zločincov, po ktorej začnú do vášho telefónu prichádzať správy s podivnými odkazmi, po ktorých sa malvér automaticky stiahne do zariadenia a poškodí jeho majiteľa.

Aké vírusy existujú?

Klasické trójske kone... Rovnako starý ako svet, ale stále úspešne fungujúci. Ich hlavným účelom je odcudzenie osobných údajov používateľa: kontakty, osobná korešpondencia, prihlasovacie údaje / heslá z webových stránok a čísla bankových kariet. Takýto útok môžete získať prostredníctvom pochybnej aplikácie a kliknutím na krátky odkaz zo správy SMS, ktorá je každému známa, napríklad „Dostali ste fotografiu, pozrite sa sem“.

V poslednej dobe sú tieto vírusy čoraz viac naladené na hackovanie aplikácií ako Mobile Bank, pretože tak môžu útočníci prevádzať všetky peniaze obete na ich účet.

Vírusy, ktoré umožňujú získať práva root... V okamihu, keď je smartphone infikovaný týmto vírusom, útočníci získajú práva správcu. Od tohto okamihu majú prístup k akýmkoľvek vzdialeným akciám so zariadením: odosielanie SMS v mene používateľa, uskutočňovanie hovorov, kontrola činnosti zariadenia, inštalácia softvéru, všetkých prístupových kódov, hesiel atď.

Posielanie platených SMS správ... Svojho času boli veľmi populárne na webových serveroch obsahujúcich bezplatné aplikácie. Hneď ako si vlastník zariadenia stiahne program, z jeho čísla sa automaticky odošlú správy na platené krátke čísla. Alebo sa voliteľne automaticky predplatí nejaký neexistujúci obsah, za ktorého údajné použitie zaplatí vlastník zariadenia 20 až 60 rubľov. denne.

Spravidla platí, že hoci je dôvod rýchlej straty finančných prostriedkov preukázaný, používateľ bude mať čas na to, aby prišiel o slušnú sumu.

„Odposluch vírusov“... Tento druh softvéru je určený na zaznamenávanie všetkých telefónnych rozhovorov používateľa. Niektoré poddruhy sú nakonfigurované na selektívne načítanie dôležitých informácií z týchto rozhovorov: telefónne čísla, bankové účty a kreditné karty, prihlasovacie údaje, heslá a ďalšie dôverné informácie.

Aplikačné reklamné moduly... Pravdepodobne si každý všimol, že pri práci s niektorými aplikáciami sa v strede obrazovky náhle vysunul dotieravý reklamný banner. V niektorých prípadoch po kliknutí na ňu tvorca dostane určitú sumu z účtu používateľa. Väčšinou je takáto propagácia jednorazová a neznamená pravidelnú stratu finančných prostriedkov, aj keď niekedy majiteľ smartfónu dostane balík paralelných vírusov.

Ako nechytiť vírus?

V rámci ochrany pred rôznymi škodlivými programami by majitelia smartfónov s Androidom mali odmietnuť inštalovať softvér z neoverených zdrojov, používať antivírusový softvér a byť pravidelne opatrní.