На текущий момент существуют сотни троянов блокирующих телефон своим всплывающим окном с требованием перевести злоумышленникам деньги.
Некоторые вредоносные программы для усиления психологического эффекта фотографируют человека фронтальной камерой и помещают эту фотографию на свой экран, выполненный в виде постановления спец.служб. Например, так поступает Android.Locker.7.origin
Ни перезагрузка аппарата, ни частое нажимание на аппаратные кнопки не помогают. Единственное, что возможно сделать неподготовленному человеку, это сбросить параметры телефона, восстановив заводские настройки.
Мы в компании «Доктор Веб», в отделе разработки антивируса под ОС Android, задумались, как помочь людям?
Решение лежало на поверхности — антивирус Dr.Web для Android при получении определённого сигнала может инициировать закрытие всех активных приложений, таким образом будет закрыт и троян-локер. После закрытия локера приложение Dr.Web выходит на передний план для проверки девайса на наличие угроз.
Осталось найти этот самый определённый сигнал. Как оказалось, задача не самая простая. Разработчики совместно с юзабилистами составили критерий: сигнал должен быть от механических элементов девайса, т.к. экран пострадавшего заблокирован.
Кандидаты
Что всегда есть в телефоне на базе ОС Android?
Кнопки изменения громкости.
Как оказалось, сигнал при нажатии на кнопки громче-тише передаётся как изменение уровня громкости, и отследить продолжительность нажатия на клавишу затруднительно. Поэтому вариант «зажмите кнопку повышения громкости на 15 сек. и получите разблокированный телефон» отпадает.
Гнездо наушников
Да, система передаёт сигнал о появлении в системе наушников.
Акселерометр
Да, мы можем получить сигнал о изменении ускорения аппарата.
Гнездо зарядки
Да, возможно получить сигнал о появлении питания от сети.
Попытка №1
Как неглупые люди, для минимизации ложных срабатываний мы решили использовать сочетание сигналов.
Для первой попытки мы выбрали комбинацию: «вставить-вытащить наушники и потрясти телефон».
Почему именно эту комбинацию? Потому что наушники обычно есть у всех, и в таком случае разблокировать телефон можно быстро и просто.
Приложение, чувствительное к такой комбинации, было собрано и отдано людям на тестирование.
Фидбек не заставил себя ждать: неудобно, пропадает музыка, прерывается телефонный разговор, на экране появляется ваш антивирус.
При разборе поведения людей мы выявили несколько вариантов поведения, при которых возникали ложные срабатывания:
— люди идут по улице, слушают музыку через наушники. При поступлении входящего звонка, человек выдёргивает наушники из аппарата и начинает разговаривать по телефону, для этого он подносит аппарат к уху. Вместо разговора он увидит антивирус на экране.
— люди втыкают наушники, запускают музыку и начинают пробежку. Музыка прерывается. Вместо плеера на экране антивирус.
Попытка №2
Став умнее, мы решили отказаться от наушников в пользу зарядки. Зарядкой человек пользуется реже наушников, думали мы. Комбинация стала выглядеть так: «вставить-вытащить зарядку и потрясти телефон».
Приложение с такой комбинацией собрали и отдали людям на тест.
Фидбек просто снёс нас шквалом негатива.
Разбор:
— USB-коннекторы делают очень плохо, они «дребезжат». Человек этого не замечает, но сигналы есть заряд, нет заряда в системе летят с частотой пулемёта.
— человек любит играть, держа телефон на зарядке! Подключил телефон к сети и прыгнул на диван поиграть.
— человек бросает телефон на стол после подключения к сети.
— бесконтактные зарядки дребезжат чаще USB-коннекторов.
— самый печальный опыт — это, конечно, поставить телефон на зарядку, открыть Карты Google и, поехав на машине, подпрыгнуть на первой же яме в дорожном покрытии и вместо карт узреть окно антивируса.
Попытка №3
Путём проб и ошибок мы пришли к третьей, финальной комбинации: зарядки, наушников и тряски.
Такая комбинация оказалась наиболее устойчивой к ложным срабатываниям.
И в таком виде существует и помогает миллионам пользователей антивируса Dr.Web для Android.
Хотя должен отметить, когда советуешь пострадавшему выполнить такую комбинацию для снятия блокировки с телефона, человек всегда переспрашивает: «Вы не шутите?».
Нет, пользуйтесь.
Комментарии (49)
Cobolorum
29.05.2015 17:34+19А что надо делать чтобы поймать этот «троян»?
k0ldbl00d
29.05.2015 21:06+4Вы не представляете на что способны некоторые представители нашего вида! Мне как-то принесли планшет с вердиктом «тормозит» до невозможности забитый играми, приложениями и, всякими bloatware установленными с каких-то абсолютно левых источников. Когда я сказал что проще сделать сброс — попросили этого не делать «нам опять всё это ставить потом».
amarao
29.05.2015 18:16+2clockwork куда удобнее и функциональнее, и не жрёт батарейку, и не копается в файлах пользователя.
bejibx
29.05.2015 19:28Простите, вы про ClockworkMod?
amarao
30.05.2015 02:03Он самый.
bejibx
30.05.2015 11:22+2Тогда я не могу понять смысл вашего комментария. Лучше чего, доктора веба? Тогда получается все равно что сказать форд фокус лучше, чем механическая коробка передач. Лучше чем базовый Android? Ну, тут уж простите, на вкус и цвет, как говориться. Да и статья не об этом.
Lertmind
30.05.2015 14:58Смысл наверно в том, что через CWM можно удалять приложения, т. е. есть возможность разблокировки.
bejibx
01.06.2015 13:09Нет никакого смысла сравнивать стороннее приложение с альтернативной прошивкой. Если речь идёт про рекавери, то это опять же совершенно иной подход, недоступный большинству «типичных» пользователей.
achekalin
29.05.2015 18:24+9Простите, в но заметке ничего не сказано про самый главный компонент этой каши из топора: про то, что на устройсте должен стоять софт от DrWeb. Причем, увы, непонятно какой — какой-то, который умеет ждать указанную комбинацию событий.
Софт платный или бесплатный? Есть ли недорогая (лучше бесплатная) версия, которая только и делает, что разблокирует? Просто за столько лет жизни с самыми разными телефонами ничего «такого» я на них не ловил, посему покупать подписку на программу, которая даже на ПК (где батарея не проблема) особо радости не доставляет (внешне выглядит так, что антивирусы впечатлить юзера, иногда некстати вылезая и от чего-то «защищая») — на телефон как-то не хочется.
И еще — неужели нельзя поставить в телефон агента, который смирно сидит, и ничего не делает, пока я его по USB не подключу к ПК, и не сделаю что-то этакое — либо подам через вашу программу команду на лечение по этому самому кабелю, либо не залью прям всю программу для лечения телефона?bejibx
29.05.2015 19:26+1Если у вас на телефоне включена отладка по usb, то вы и так без всякого стороннего софта сможете убить это окно через android debug bridge. К сожалению, вариантов для стороннего приложения общаться с компом через usb в Android на сколько мне известно не предусмотрено.
k0ldbl00d
29.05.2015 21:07+16Если у вас на телефоне включена отладка по usb и вы умеете пользоваться adb, то скорее всего вам и удалять будет нечего.
vagran
29.05.2015 18:31+7Он у вас что, на любое встряхивание реагирует? Почему просто нельзя было какой-то патерн с акселерометра потребовать? Типа перевернуть экраном вниз, потом вертикально, потом перевернуть вверх ногами ну и так далее. Ну или оттрясти какой-нибудь ритм (сигнал сос азбукой Морзе :) ). Очень неуклюже выглядят требования со всеми этими втыканиями-вытыканиями.
bejibx
29.05.2015 19:21+5В этом случае будет сильно кушаться батарейка, потому что процессор будет без остановки обрабатывать сигналы акселерометра. Да и точно настроить распознавание такого вот паттерна с малым процентом ложных срабатываний задача вовсе не тривиальная.
Dolios
29.05.2015 20:01+10Ни слова не сказано про то, как эта гадость проникает на телефон. Может лучше предотвратить, а не лечить постфактум?
Почему именно эту комбинацию? Потому что наушники обычно есть у всех
Это кто вам такое сказал?bejibx
30.05.2015 11:18+2Любой зловред на Android устанавливается самим пользователем, устанавливающим не пойми что не пойми откуда.
Dolios
30.05.2015 12:03Спасибо, как-то так и думал.
Софт с помоек обычно ставят, когда жаба душит за него платить. При этом нужен антивирус, который стоит $50. Что-то я профита не вижу. Воистину, скупой платит дважды, тупой трижды, а дурак всю жизнь :)bejibx
30.05.2015 12:08Да можно даже не платить, достаточно скачивать эти самые поломаные версии из доверенных источников. Форум 4pda, например не сочтите за рекламу. Хотя тут все таки появляется определенная доля риска.
Dolios
30.05.2015 14:18-2В жизни каждого мужчины наступает момент, когда чистые носки проще купить :)
А если серьезно, я и раньше покупал софт, но с появлением таких сервисов, как gog, steam, andrion market, google music, etc. лично я осознал, что вот вообще не хочу приплясывать с бубном, искать кряки и т.д. Пользоваться легальным стало проще и, самое главное, дешевле (если учесть, что время чего-то да стоит).
Остался последний бастион копирастического маразма — кино. Хотя, в последнее время стали заметны попытки производителей кино и сериалов включить мозги и впрыгнуть в уходящий поезд.
23rd
30.05.2015 14:31+1С музыкой тоже не всё так хорошо. Google music не позволяет скачивать песни, flac не предоставляет, оплата только через карту. Зачем так жить.
Dolios
30.05.2015 14:48Я не говорю, что все прекрасно. Но уже, по крайней мере, хорошо.
>Google music не позволяет скачивать песни
Зато позволяет закачивать :) И позволяет скачивать для прослушивания оффлайн. Конечно, хотелось бы просто скачать купленную музыку в нужном формате, но тут пока правоторговцы держат оборону, вы правы.
>flac не предоставляет
Он реально нужен, по делу, а не для понтов, полутора гикам которые имеют дорогую аппаратуру и уши, способные почувствовать разницу. Подавляющее большинство людей слушают музыку с телефона на улице и в метро в наушниках за $50, в лучшем случае. Но зачем-то эти странные люди качают flac (это не в ваш огород камень, я не знаю, что и на чем вы слушаете, я про явление как таковое).
>оплата только через карту.
Вот тут, если честно, претензии я не понимаю. Они принимают оплату деньгами. Я знаю, что существуют любители фантиков, типа вебманей, но сам к ним не отношусь и, более того, являюсь их противником (но это тема другой дискуссии, мы и так в оффтопике).
А к криптовалютам пока больше вопросов…bejibx
01.06.2015 13:21По поводу looseless музыки, наблюдая за её любителями, мне кажется, что для них это сродни религии, а жизнь научила меня, что покуда верующие не доставляют тебе явных неудобств, с ними лучше не связываться. Это я к тому, что давайте не будем разводить тут сами знаете что.
По поводу покупок согласен с вами, в целом всё движется в направлении удобной покупки контента, однако есть (и иногда значительные) косяки. Знаете, например, сколько на Google.Play книг Терри Пратчетта на русском языке? 2 и это даже не первые книги циклов.Dolios
01.06.2015 13:42Это я к тому, что давайте не будем разводить тут сами знаете что.
Да я вроде и не пытался. Просто высказал свое мнение по этому поводу.
Знаете, например, сколько на Google.Play книг Терри Пратчетта на русском языке?
Вы правы, еще есть куда расти. Но если говорить исключительно про софт (о чем речь изначально шла), ситуация сегодня выглядит оченьдаже неплохо. Хотя она и неидеальна.
Dolios
01.06.2015 13:45Знаете, например, сколько на Google.Play книг Терри Пратчетта на русском языке? 2 и это даже не первые книги циклов.
Эээ, я 11 вижу. Что, впрочем, тоже далеко от полного собрания сочинений.
SerafimArts
29.05.2015 20:37Думаю вот такая комбинация более простая и не настолько уж популярная, что бы мешать: «нажатие громкости вниз» + «вставить зарядку», затем «вытащить зарядку».
Есть какая-нибудь статистика, основываясь на которой вы сознательно отказались от кнопок громкости?
ad1Dima
30.05.2015 10:52Это я вам без всякой статистики скажу: телефон на зарядке играет музыку. Кабель разболтался, а вы решили сделать потише…
NeLexa
29.05.2015 23:04+1Есть же комбинация «кнопка громкости вниз + power» = скриншот.
Почему бы не попробовать сделать «кнопку громкости вверх + power»?bejibx
30.05.2015 11:14События нажатия на кнопки обрабатываются самой системой, для приложений они недоступны. К тому же указанная Вами комбинация на многих телефонах служит для принудительной перезагрузки.
ilyaplot
30.05.2015 03:14Удержание хардварной кнопки + фраза «ок, доктор». Только так защититесь от ложных срабатываний.
bejibx
30.05.2015 11:11Разработчики вынуждены использовать те события, которые доступны в системе сторонним приложениям. К сожалению, события нажатия хардварных кнопок к ним не относятся. Даже для кнопок громкости это события изменения громкости, а не нажатия на кнопку. Ждать определенной фразы конечно безотказный вариант, но представте что будет с вашей батарейкой, если у вас в фоне будет постоянно висеть сервис, слушающий и обрабатывающий сигналы микрофона. Да и нужна библиотека распознования голоса.
Woodroof
30.05.2015 13:39Вниз, вверх, вниз, вниз, вверх, вверх? Можно ещё добавить, если этого мало.
Где человек, идущий на улице, найдёт зарядку и наушники?
И, самое главное, откуда такой софт появляется у пользователей? Конечно, вам выгодно говорить «ставьте Dr. Web», но, может, правильнее говорить «устанавливайте приложения только из Google Play»?
13i
30.05.2015 14:49+2Теперь остается ждать блокиратор экрана, который будет вырубать из памяти все остальные программы, в том числе антивирус.
KarasikovSergey
30.05.2015 21:17+4Лучший антивирус под Андроид установлен производителем и называется он выключенным состоянием опции «Неизвестные источники» в разделе Безопасность настроек ОС.
Angel2S2
01.06.2015 16:46Не всегда в нужный момент есть кабели под рукой. Ведь куда проще и надежнее на какую-то комбинацию нажатия клавиш задать действие. Например: выставить громкость на максимум, 5 раз нажать громкость -, 3 раза громкость +, 1 раз громкость -, потрясти телефон и уложиться в 10 секунд. И никаких кабелей не надо и ложные срабатывания маловероятны.
bejibx
03.06.2015 11:42Вы были бы правы если бы в Android были события изменения громкости. Существует вариант отслеживать эти события, но он требует от приложения постоянно висеть в фоне, что неприемлемо.
Angel2S2
03.06.2015 12:32Из статьи
Кнопки изменения громкости.
У меня сложилось впечатление, что изменение громкости — это широковещательное сообщение.
Как оказалось, сигнал при нажатии на кнопки громче-тише передаётся как изменение уровня громкости, и отследить продолжительность нажатия на клавишу затруднительно. Поэтому вариант «зажмите кнопку повышения громкости на 15 сек. и получите разблокированный телефон» отпадает.bejibx
03.06.2015 14:01На сколько мне известно в Android нет широковещательного сообщения для события изменения громкости, так что открытым остаётся вопрос как вообще планировалось реализовать этот вариант.
Eklykti
01.06.2015 17:19+2А вот скажите.
Имеем стандартный встроенный андроидовский блокировщик, требующий ввести пароль или нарисовать паттерн по точкам. Телефон заблокирован, но на нём стоит этот ваш докторвеб.
Теперь вы оставляете телефон на столе и идёте в сортир. Из-за соседнего стола вылазит Вася Пупкин, берёт ваш телефон, подключает и вынимает усб-зарядник от ноута, подключает и вынимает наушники, трясёт — и стандартный вполне легальный блокировщик тоже пропадает и вместо него появляется ваш антивирус, который достаточно просто закрыть, и можно читать переписку хозяина телефона и лазить по его файлам, а потом залочить и тихо и незаметно положить телефон на место? Или не так?
alexxxst
В ролике мухи на го… но налетели?