Смартфоны и мобильная связь до сих пор окутаны разными мифами и предрассудками. Говорят, что от телефонных разговоров образуются опухоли, во время движения сигнал связи ослабевает, а базовые станции убивают людей. В ближайшем цикле статей Yota узнает, что из этого правда, не щадя собственных сотрудников и их смартфоны.

Вредоносные программы способны списывать средства с банковской карты, извлекать личную информацию, блокировать экран и превращать смартфон в кирпич — это совсем не миф. Мы решили проверить, насколько просто заразить телефон вирусом.

Мы попробовали заразить смартфон, предварительно отключив антивирус и защитные функции. Жертвой стал Motorola Moto G3 на платформе Android 6.0.1.

Первые попытки оказались неудачными:

  • Перешли по внешним ссылкам с сайта Kinogo22.net по запросу “Смотреть Оно онлайн в хорошем качестве”- безрезультатно,
  • Скачали приколы с freesoft.ru/prikoly/download — приколы есть, вирусов нет,
  • Зашли на сайт watchmygirlfriend.gfpornbox.com и походили по ссылкам — нет вирусов (нет, это не реклама).
  • Искали бесплатные игры на сомнительных сайтах — все предложенные варианты были официальными.
  • С ссылок по запросу “Обнаженные фото звезд” тоже ничего криминального не загрузилось.
  • Спустя пару дней поиска вредоносного ПО мы получили SMS с заманчивым предложением осуществить “обмен с доплатой” и в нетерпении перешли по прикрепленной ссылке. Подключиться к сайту не удалось, “сервер не найден”.
  • Зашли на сайт с сомнительным розыгрышем. Отвечали наугад на все вопросы, выиграли. Еще бы. :) На указанный нами адрес должно было прийти письмо с подтверждением приза. Но не пришло.

Не оставляя надежд превратить устройство в кирпич, мы решили установить на телефон взломанный рут KingRoot.

Root в Андроид — это права главного администратора, которые открывают возможности для управления устройством, недоступные для обычного пользователя. Чтобы получить рут, необходимо установить специальное приложение.

Зараженный KingRoot содержит вредоносный код, который ворует данные пользователя.
И тут нас ждала неожиданность. Из всего многообразия устройств на Android, именно на наш Motorola Moto G3 эта утилита не устанавливается!



Отчаявшись, мы просим знакомых и коллег пересылать все сомнительные SMS и письма с ссылками на наш номер. После перехода по одной из ссылок мы обнаруживаем вот такое всплывающее окно:


Подтверждаем действие.

После этого открывается Playmarket с предложением установить Doctor Clean. Оно обещает ускорить работу системы, удалить ненужные файлы и экономить батарею. Но отзывы намекают, что что-то с ним не так.

Doctor Clean просит доступ ко всем доступным функциям телефона. После разрешения он устанавливает еще два приложения для “Ускорения” и “Перехода в спящий режим”. Одна из этих программ устанавливает еще два приложения.

На следующий день мы получаем рекламу, закрывающую весь экран. Каждый раз после разблокировки экрана мы видим очередной красочный баннер. Для того, чтобы ответить на входящий звонок нам приходится искать крестик, сворачивающий рекламу. Вместе с этим смартфон начинает работать медленнее. Периодически экран блокировки перестает реагировать на прикосновения. Возобновлять работу помогает перезагрузка устройства.




После этого установили “Антивирус Касперского”, но он ничего не обнаружил. Тем временем, телефон начинает сильно тормозить. Антишпион Malwarebytes' Anti-Malware нашел пять проблем. Все странные приложения удалили.

Оказалось, что установить вредоносное ПО на телефон не так-то легко: система, встроенные приложения безопасности и антивирусы успешно его распознают и старательно оберегают нас. Чтобы заразить телефон, нужно тщательно игнорировать все предупреждения системы и заранее отключить защитные функции.

Раньше скачать вредоносные приложения было проще. Сейчас все приложения в PlayMarket и AppStore проходят аудит. Для того, чтобы установить неофициальное приложение, придется отключить в настройках функцию скачивания только из доверенных источников.

Как понять, что на смартфоне вирус?

SMS, сообщения в почте и мессенджерах с сомнительными ссылками.
Они маскируются под предложения о работе, письма из полиции, оповещения от антивируса, распродажи в интернет-магазинах и так далее. В тексте каждого из них есть непонятная ссылка, на которую необходимо перейти, чтобы узнать «подробности».
Нажали на ссылку – вирус начал скачиваться.

Скачивание нелицензионных программ и сомнительных приложений.
Вместе с ними на телефон часто устанавливается сопутствующее вредоносное ПО.

Общественный Wi-Fi.
Через незащищенные точки доступа Wi-Fi вирусы перехватывают личную информацию пользователей для доступа к личным аккаунтам и системным данным смартфона.

Сайты и форумы со всплывающими окнами и баннерами.
Они предлагают «скачать быстро и без регистрации» что угодно, перейдя по ссылке.
Часто баннеры выглядят как «предупреждения от МВД» или уведомления «Ваш телефон заражен вирусом!». Их цель – посеять панику у пользователя, чтобы он сразу перешел по ссылке, перевел деньги на счет вымогателя или ввел пароль от личного аккаунта.

Зараженные флеш-накопители.
Иногда вредоносное ПО под видом приложения сохраняется на карту памяти. Когда вы вставляете старую флешку в новый смартфон, то заражаете его.

Насколько это быстро?

Сами вирусы весят немного. В зависимости от скорости интернет-соединения, «зараза» попадает в телефон за промежуток от пары секунд до 5 минут.
Что произойдет, если вирус все-таки проникнет в устройство? К примеру, вы соглашаетесь обновить браузер Chrome, забыв о том, что не устанавливали его.

Что происходит дальше

Как понять, что телефон заражен:

  • Быстро кончаются деньги на телефоне. При этом в детализации отображены SMS, которые вы не отправляли и звонки, которых не совершали.
  • Трафик расходуют непонятные приложения.
  • Скорость работы смартфона падает, он нагревается, быстро разряжается, приложения «глючат» и не открываются. Вредоносные программы действуют в фоновом режиме, заставляя устройство работать с удвоенной силой.

Весь экран закрывает баннер с непристойным содержимым, рекламой или требованием денег. Но изредка пользователям «везет» и на баннере изображены котики.

Где искать вредоносное ПО и как отличить его от нормального приложения?

Чаще всего они маскируются под обычные приложения с расширением .apk и сохраняются в папку Download.

Стоит насторожиться, если при установке незнакомое приложение запрашивает доступ к платным функциям и ограничению доступа:

  • Просмотр и отправка SMS,
  • Телефонные вызовы,
  • Доступ к привязанным банковским картам,
  • Получение прав администратора.
  • Если приложение скачано не из официального магазина и просит доступ к конфиденциальным данным – будьте уверены, это вирус.

Комментарии (20)


  1. nikitasius
    23.10.2017 15:54

    Что это за фигня у вас?


    1. Yota4All Автор
      23.10.2017 16:18

      Здравствуйте! Подскажите, пожалуйста, что именно Вы имеете в виду?


      1. nikitasius
        24.10.2017 17:09

        Жертвой стал Motorola Moto G3 на платформе Android 6.0.1.

        Делайте тест и на другие версии андроида, коих как собак нерезанных. Не все обновляются, а те, кто кликают на говноссылки и подавно. Автоапдейт может не пройти в силу множества причин (место-клик юзера, глюк, "прошивка от друга айтишника" и т.д.).


        решили установить на телефон взломанный рут KingRoot.

        А почему не дефакто supersu?


        Какой смысл в статье, в которой все тесты свелить к одной версии андроида и к "давайте-ка поставим таки заразу с root и дадим ей рут права, заразиться ли?". Вы серьезно?
        Видимо да :facepalm:


        Дальше текст-вода про блаблабла, вирусы синие и красные, от 3 до 5 минут чтобы сварить яйца или заразить смартфон.


        Материал уровня журнала "Кройки и шитья".


      1. nikitasius
        24.10.2017 17:13

        Сделали бы ревью на https://www.cvedetails.com/vulnerability-list/vendor_id-1224/product_id-19997/version_id-188440/Google-Android-6.0.1.html ейбогу. С практическими тестами самых горячих.


      1. nikitasius
        24.10.2017 17:18

        Например: CVE-2017-0597


        An elevation of privilege vulnerability in Audioserver could enable a local malicious application to execute arbitrary code within the context of a privileged process. This issue is rated as High because it could be used to gain local access to elevated capabilities, which are not normally accessible to a third-party application. Product: Android. Versions: 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2. Android ID: A-34749571.

        diff


  1. rt3879439
    23.10.2017 16:18

    KingRoot содержит вредоносный код, который ворует данные пользователя.

    Пруф?


    1. Yota4All Автор
      23.10.2017 16:32

      Добрый день! Сам по себе Kingroot ничего плохого в себе не несет, и мы ничего против него не имеем.

      Не оставляя надежд превратить устройство в кирпич, мы решили установить на телефон взломанный рут KingRoot.
      Зараженный KingRoot содержит вредоносный код
      Ссылку на скачивание зараженной программы мы получили из внутреннего источника. Мы ждали, что с баланса начнут исчезать средства, но на эту модель телефона утилита не установилась.


    1. ClearAirTurbulence
      23.10.2017 18:13

      Kingroot, как минимум, ставит PUP, который назойливо предлагает что-то почистить и оптимизировать. Ну и фиг его знает, что он там ещё делает — может, сливает данные потихоньку в китайский КГБ, но это уже сугубо мои предположения.


  1. yarosroman
    23.10.2017 17:06

    Что за бред про флеш носители, вставил старую флеш в новый телефон и все? Как произойдет заражение?


    1. Yota4All Автор
      23.10.2017 21:13

      Здравствуйте! Если вставить в новый смартфон зараженную флеш-карту, велика вероятность, что вредоносное ПО перенесется на него.
      Зараженное приложение не всегда содержит в себе вредоносный код – троян скачивается при первом запуске.


      1. yarosroman
        23.10.2017 21:28

        Ваша компетенция в этом вопросе оставляет желать лучшего. Это вам не autorun в Windows. Под андроид необходимо установить вручную apk, перенесеное на карту памяти приложение не будет работать в другом телефоне, автозапуска каких либо приложений с карты в андроид нет. под Ios, чтобы поставить приложение, надо «root» делать. Так как по вашему запуск приложения произойдет?


        1. Yota4All Автор
          24.10.2017 10:36

          Мы не утверждаем, что приложение с вредоносным кодом запустится само по себе, находясь на флешке. Чтобы вирус начал действовать, нужно установить и открыть приложение. Подразумевается, что пользователь не знает о том, что приложение заражено.


  1. autuna
    24.10.2017 08:31

    Мило. Правда, если следовать по вашей логике, то телефоны Xiaomi идут с завода заражёнными вирусами. Ибо показывают рекламу во весь экран. :-)
    По крайней мере Redmi 3s точно.


    1. yarosroman
      24.10.2017 11:16
      +1

      Redmi 4x, такого не наблюдаю, у меня для вас неприятные новости, у вас зараза сидит.


    1. Ugrum
      24.10.2017 11:20
      +1

      Самопальная прошивка от дядюшки Ляо?


    1. Yota4All Автор
      24.10.2017 11:34

      Здравствуйте! Логика у нас несколько иная – мы рассматриваем те случаи, когда реклама появляется от вирусов, а не как-то наоборот (если у Вас каким-то образом реклама по умолчанию есть в стоковой прошивке).

      Мы описали все наши действия поэтапно, прежде чем получили баннеры с рекламой, в нашем случае это рекламный вирус, очевидно.


  1. teecat
    24.10.2017 15:47

    Насколько быстро можно заразить телефон вирусом

    Крайне сложно это сделать. Для Андроида вирусов по слухам вообще нет. Одни трояны

    Сейчас все приложения в PlayMarket и AppStore проходят аудит.

    Вот только регулярно в магазинах находятся трояны

    Как-то уж больно все оптимистично у вас, зачем только вирусописатели сотнями в день новые трояны для Андроида штампуют?


  1. iig
    24.10.2017 17:36

    Итак, зловред сам себя с PlayMarket не установит, надо предпринять некие действия. Кэп, как всегда, на высоте.


  1. dinisoft
    24.10.2017 17:47

    Уважаемый оператор, лучше займитесь тарифами, т.к. писать совсем не ваше.


  1. dns78
    25.10.2017 10:00

    Статья — хорошая лакмусовая бумажка текущего уровня хабра.