вирус repsandbox что это
Virus Warning. #31
Comments
DC869 commented Feb 20, 2020
My Huawei Mat20Pro reports a Virus in this Program
apk:repSandbox[Trj]ll arep
That is not so nice.
The text was updated successfully, but these errors were encountered:
Seva-coder commented Feb 20, 2020
domkrm commented Feb 20, 2020 •
I’m pretty sure I’m not implemented any Virus 😉 I think this is because «write_secure_settings» permission too. Maybe we should provide two versions of this app, one without «GPS enable» function and one with this function.
I will also try if the permission in the manifest is needed anyway or whether it is enough to give the permission via the ADB command.
DC869 commented Feb 21, 2020
Thank you very much for the quick feedback, I am now reassured.
With such reports one is worried after all
Seva-coder commented Feb 23, 2020
DC869 commented Feb 24, 2020
The warning comes from the Huawei App «Optimizer» 
EliteSoUlTaKr commented Feb 8, 2021
I’m also getting this same error from this 3 apps even though I’ve had them for quite a while now.
Разбор вредоносной программы под Android на примере Trojan-Spy.AndroidOS.Zbot.a / Android.Smssniffer / Android/SpySMS / AndroidOS_SMSREP.B
Содержание топика можно представить в таком виде:
1. Общая информация об APK-файлах
2. Разбор вредоноса
2.1 Утилиты для разбора
2.2 Разбор
1. Информация об APK-файлах
Для того, чтобы лучше понять особенности исследования вредоносных программ под Android необходимо сначала разобраться с тем, что такое APK-файлы. Если вам это уже известно, то можете сразу переходить ко второй части.
Программы под Android распространяются в архивах. Эти архивы имеют расширение «.apk». Такие файлы не шифруются и являются совместимыми с форматом «zip», фактически являясь его подмножеством.
Так как пользовательские приложения для Android выполняются в java-машине, то APK-файлы наследуют все характерные черты JAR-файлов.
Содержимое архива обычно выглядит примерно так:
Каталог META-INF содержит:
CERT.RSA — сертификат приложения
CERT.SF — контрольные суммы файлов ресурсов (картинок, звуков и т.д.)
MANIFEST.MF — служебная информация, описывающая сам apk-файл
Каталог res содержит ресурсы — иконки в нескольких разрешениеях, описание размещения элементов на форме в xml-файле.
AndroidManifest.xml — служебная информация о приложении (версия SDK, которым приложение создавалось, версию ОС под которой приложение будет работать и т.д.). В этом файле содержатся и так называемые «permission» — разрешения, которые требуются для работы приложения (например, доступ к сети или доступ к телефонной книге).
classes.dex — исполняемый код приложения. Именно этот файл интересует нас в первую очередь
resources.arsc — таблица ресурсов. В этом файле собраны xml-описания всех ресурсов
Вот и вся краткая информация, которую нужно знать, приступая к разбору вредоносных программ под Android.
2. Разбор вредоноса
В качестве примера мы выбрали экземпляр, который детектируется разными антивирусами как:
Trojan-Spy.AndroidOS.Zbot.a
Android.Smssniffer
Android/SpySMS
AndroidOS_SMSREP.B
Итак, у нас есть файл suspicious.apk. Что же с ним делать?
2.1 Утилиты для разбора
Потребуются такие утилиты:
Все утилиты доступны для свободного скачивания и являются кроссплатформенными, так что вы сможете выполнять все действия и в Windows и в Linux.
2.2 Разбор
В самом начале, для того, чтобы лучше понять, что именно искать нужно проанализировать файл «AndroidManifest.xml» — посмотреть, какие именно разрешения-permissions требуются анализируемому приложению. Данный файл бинарный, а не обычный текстовый xml. Для того, чтобы его прочитать нужно воспользоваться консольной утилитой «aapt» из комплекта Android SDK. Она находится в каталоге «platform-tools». Так как графического интерфейса нет, то команду нужно вводить в консоли. Например, для Windows:
Разумеется, вы должны подставить свои пути. В Linux команда будет такой же с очевидными отличиями (не будет букв дисков и расширения «exe» у утилиты). Для большего удобства вывод можно перенаправить в файл:
В файле нужно найти секцию «Android manifest» и искать перечисление разрешений. В анализируемом файле это выглядит так:
«android.permission.READ_PHONE_STATE» (Raw: «android.permission.READ_PHONE_STATE»)
«android.permission.INTERNET» (Raw: «android.permission.INTERNET»)
«android.permission.» (Raw: «android.permission.RECEIVE_SMS»)
Из этой информации становится понятно, что программа может получать состояние телефона (сюда включаются, например «телефон в режиме вызова», «телефон в режиме принятия данных» полный список состояний — developer.android.com/reference/android/telephony/TelephonyManager.html, это разрешение нужно и для получения номера телефона, на котором запущена программа), работать с сетью и мониторить приход СМС. На этих аспектах и нужно сосредоточить внимание при дальнейшем анализе.
Для того, чтобы получить доступ к коду нужно выполнить два шага — преобразовать apk-файл в jar-файл и декомпилировать полученный байткод в более понятный для человека вид.
Воспользуемся конвертером «dex2jar»:
Сконвертированный файл будет находится в том же каталоге, что и оригинальный файл. К его имени будет добавлено «.dex2jar.jar», то есть в данном примере это будет «suspicious.apk.dex2jar.jar».
Этот файл можно открыть декомпилятором. Иерархия пакета в окне декомпилятора выглядит так:
На этом подготовительные шаги, поддающиеся легкому описанию, заканчиваются — дальнейший успех зависит только от вашего знания java и умения пользоваться поисковиком.
К счастью, экземпляр выбранный для примера имеет довольно скромные размеры — финальный jar всего 7,01 KB.
В программе всего шесть классов. Исключим те, которые не представляют интереса. Это класс R, в котором только перечислены идентификаторы всех ресурсов. Так же из рассмотрения можно исключить класс Config, в котором содержится конфигурация билда.
Рассмотрим подробнее оставшиеся три класса.
Activation
Этот класс срабатывает по событию onCreate, то есть сразу после старта приложения.
TelephonyManager localTelephonyManager = (TelephonyManager)getSystemService(«phone»); — создает структуру localTelephonyManager, в которую помещает данные об устройстве
str1 = localTelephonyManager.getDeviceId(); — выбирает из полученных данных идентификационный номер устройства и помещает его в строку str1
Дальше идет цикл, который делит DeviceId на кусочки по четыре цифры, вставляя между ними дефис «-«, то есть из XXXXXXXXXXXXXXXX получается XXXX-XXXX-XXXX-XXXX. Полученную строку цифр и дефисов передают в TextView с идентификатором 2131034112.
SmsReciever
Этот класс срабатывает при приходе СМС-сообщения, событие onReceive.
В задачу этого класса входит отслеживать входящие смс и в случае обнаружения запускать класс MainService, передавая ему указатель на новопришедшее сообщение.
MainService
Этот класс довольно велик, поэтому не стану приводить его целиком. Сразу после вызова запускает субкласс «SmsBlockerThread», который блокирует уведомление о поступившем СМС, чтобы пользователь не был оповещен о новом входящем СМС.
Затем входящее СМС обрабатывается таким образом:
String str1 = localSmsMessage.getOriginatingAddress(); — номер телефона-получателя (то есть номер телефона, на котором установлен троянец) помещается в переменную str1
String str2 = localSmsMessage.getMessageBody(); — тело сообщения помещается в переменную str2
Затем создаются связанные пары localBasicNameValuePair1 и localBasicNameValuePair2 в которые помещаются значения
Эти пары сохраняют в массив localArrayList, в который позже добавляют пару localBasicNameValuePair3, представляющую собой
При этом, как видите, DeviceId получается заново, а не используется то, что было получено в классе Activation.
Заканчивается все тем, что вызывается метод postRequest из последнего класса ServerSession:
В качестве параметра передается тот самый массив пар, в котором номер телефона, содержимое СМС и идентификатор устройства.
ServerSession
Этот класс имеет два метода: initUrl, который возвращает часть ссылки «(http://softthrifty.com/security.jsp)»:
и большой метод postRequest, который вызывался из класса MainService. Несмотря на размер, задача postRequest проста — отправить на сервер по ссылке, возвращаемой методом initUrl, данные, добавив пары из массива, собранного в MainService. То есть всего лишь обратиться по ссылке:
(http://softthrifty.com/security.jsp?f0= &b0= &id= )
Итак, данный троянец перехватывает СМС и отправляет на сервер запрос, в котором передает номер зараженного телефона, содержимое СМС и идентификатор зараженного телефона. Такое поведение может быть признаком банковского троянца, атакующего двухфакторную авторизацию. Такое же поведение было свойственно образцам Zbot для мобильной платформы Symbian. Для успешной атаки требуется выполнение таких условий:
1) злоумышленник должен заразить компьютер жертвы, чтобы перехватить данные для он-лайн банкинга;
2) злоумышленник должен заразить телефон жертвы для перехвата СМС с кодом подтверждения от банка;
3) злоумышленник должен каким-то образом связать пользователя зараженного компьютера и зараженного телефона, чтобы знать, от каких учетных данных он-лайн банкинга данный код подтверждения;
Не знаю на сколько реальную угрозу представляют такие вредоносы, но в силу своих размеров и очевидности производимой деятельности такой образец хорошо подходит для демонстрации базовых приемов разбора вредоносных программ под Андроид.
Мобильные твари и где они обитают — часть четвертая
Рассказываем, какие вредоносы могут захватить контроль над вашим устройством и чем опасна многофункциональная зараза.
В четвертой части материала про различные виды мобильных угроз мы расскажем о самых сложных и опасных зловредах, которые не только используют возможности Android для собственной выгоды, но и настраивают вашу систему под себя и умеют совмещать в себе несколько вредоносных функций.
RAT-трояны
Обычные люди говорят «подложить свинью», а хакеры «подкидывают крысу». RAT по-английски действительно звучит как «крыса», но на самом деле это сокращение от Remote Administration Tool, то есть «инструмент для удаленного администрирования». Суть очень проста: с помощью этого инструмента можно подключиться к удаленному устройству по сети и не только видеть содержимое экрана, но также и полноценно управлять им, то есть передавать команды со своих устройств ввода (на компьютере это клавиатура и мышь, на смартфоне — сенсорный экран).
Изначально RAT создавались с благой целью — чтобы можно было помочь кому-то разобраться с теми или иными настройками или программами: работнику техподдержки гораздо удобнее самому везде проставить нужные галки и ввести значения параметров, чем пытаться по телефону объяснить «юзеру», что тот должен сделать. А пользователю тем более удобно.
Но в руках злоумышленника RAT-средства превращаются в грозное оружие: установить на свой смартфон троян, обеспечивающий кому-то удаленный доступ к гаджету, — это все равно что отдать незнакомцу ключи от квартиры. Вредоносное использование инструментов для удаленного доступа настолько популярно, что сама аббревиатура теперь все чаще расшифровывается как Remote Access Trojan (троян удаленного доступа).
Подключившись к вашему устройству через RAT, хакер может развлекаться, как его душе угодно: подсмотреть все ваши пароли и ПИН-коды; зайти в банковские приложения и перевести себе все деньги; подписать вас на какие-нибудь «веселые картинки», которые будут по-тихому поглощать средства с вашего мобильного счета или кредитной карты; а напоследок украсть все аккаунты почты, соцсетей и мессенджеров и вымогать деньги у ваших друзей и знакомых, прикидываясь вами.
Конечно, не забыв перед этим скопировать все ваши фотографии, чтобы — если среди них есть что-то пикантное — потом шантажировать вас их публикацией. А еще он может набрать от вашего имени онлайн-микрозаймов, за которые потом расплачиваться придется опять-таки вам.
Очень часто RAT используются для шпионажа. Самое безобидное применение таких зловредов — шпионаж ревнивых мужей за женами (или наоборот), но и для кражи корпоративных секретов они еще как подходят. Например, обнаруженный весной этого года AndroRAT втихаря делает снимки камерой смартфона и записывает звук (в том числе телефонные разговоры). А еще крадет пароли от Wi-Fi с привязкой к геолокации. С ним никакие переговоры не будут конфиденциальными, а уж приехать к офису и попытаться проникнуть в сеть компании с такими сведениями сам бог велел.
Рутовальщики
Root-доступом в некоторых операционных системах, в том числе Android, называются права «суперпользователя», которому разрешено вносить изменения в системные папки и файлы. Обычному пользователю для повседневных задач такой доступ совершенно не нужен, и по умолчанию он отключен. Но некоторые продвинутые энтузиасты любят открывать его для того, чтобы сделать какой-нибудь «тюнинг» операционной системы, то есть настроить ее под себя. О том, почему стоит два раза подумать перед тем, как это сделать, у нас есть пост «Root в Android: плюсы, минусы, подводные камни».
А еще некоторые зловреды умеют получать root-привилегии, используя уязвимости в операционной системе, — они называются трояны-рутовальщики. Наличие прав root позволяет злоумышленнику сделать тюнинг вашего смартфона под свои задачи. Например, заставить его принудительно открывать рекламные окна на весь экран. Или в фоновом режиме, без всяких уведомлений, устанавливать какие угодно программы — в первую очередь, конечно, зловредные или рекламные (adware).
Один из любимых фокусов рутовальщика — незаметно удалить установленные на смартфоне приложения и заменить их либо фишинговыми, либо дополненными вредоносными функциями. А еще при помощи прав суперпользователя можно запретить вам удалять зловреды с устройства. Немудрено, что рутовальщики считаются сегодня самым опасным видом мобильных угроз.
Модульные трояны
И швец, и жнец, и на дуде игрец — это про модульные трояны, которые умеют совершать несколько разных вредоносных действий, одновременно или выбирая наиболее подходящие по обстановке. Одним из ярчайших примеров такого трояна стал Loapi, обнаруженный в конце 2017 года. Как только он проникает на устройство, сразу же обеспечивает свою безопасность: запрашивает права администратора, но не оставляет вам выбора — при отказе окно запроса тут же появляется снова, и смартфоном пользоваться не получается. А если доступ разрешить, то Loapi уже не получится удалить с устройства.
Затем троян запускает какой-либо из пяти модулей. Он умеет и показывать рекламу, и подписывать пользователя на платный контент, переходя по ссылкам, и вести DDoS-атаки по команде с удаленного сервера, и скрывать SMS-сообщения, а также отправлять их злоумышленникам — это нужно для того, чтобы пользователь не замечал, что ему активировали подписку или пытаются украсть деньги с банковской карты.
В свободное от этих важных дел время троян потихоньку майнит криптовалюту, делая это преимущественно тогда, когда смартфон подключен к розетке или внешнему аккумулятору. При этом батарея заряжается очень долго из-за того, что энергию потребляет работающий на всех парах процессор, ведь майнинг — это сложная вычислительная задача, на которую требуется бросить все ресурсы. Для телефона это может кончиться печально: наши эксперты опытным путем выяснили, что пары дней активности Loapi достаточно, чтобы аккумулятор вздулся от перегрева.
Как защититься от самых страшных троянов
Несмотря на серьезную опасность, которую несут RAT-трояны, рутовальщики и модульные зловреды, от них можно защититься. Вот несколько простых правил:
Как удалить неудаляемый вирус на Android – лучшие способы
Как узнать, что смартфон заражен вирусом, и как удалить неудаляемый вирус на Android через системные настройки или через компьютер.
Как удалить неудаляемый вирус на Андроиде
Сталкивались ли вы с такой ситуацией, когда на вашем Android-смартфоне появился вирус, обнаруженный антивирусной программой, но его удаление невозможно? Сразу начинаете паниковать и переживать, что зловредный объект удалит сейчас все ваши данные или спровоцирует неполадки в работе системы.
На самом деле не все так страшно. Но и запускать лечение своего мобильного гаджета тоже нельзя. Такой неудаляемый вирус называется системным, то есть он зарылся в заводские папки устройства и программа очистки просто не может его оттуда извлечь, чтобы не повредить рабочие файлы.
Однако, есть проверенные и эффективные способы, как удалить неудаляемый вирус на Андроиде. Именно о них мы и поговорим в этой статье. Бояться и расстраиваться нет смысла, все решаемо и исправимо без вреда рабочим функциям вашего смартфона. А для того, чтобы избежать заражения вирусами и безопасно серфить в интернете, используйте бесплатный VPN для Google Chrome.
Как понять, что телефон заражен
Конечно? не всегда вы сможете вычислить вирус самостоятельно или понять, что он присутствует в системе. Но, если работа устройства замедлена, или возникают подозрительные оповещения, или происходит какое-то перенаправление звонков, или телефонные счета вдруг увеличились… Значит пора задуматься о том, что ваш смартфон заражён зловредом.
Определить неисправность работы и наличие серьезных системных вирусов в гаджетах на Android можно по следующим признакам:
Как вирусы попадают в Android
Прежде чем разбираться, как удалять вирусы с Android, важно понимать, как эти вредоносные объекты попадают в систему устройства. Обычно это происходит двумя способами:
Как удалить вирус из Android
Теперь мы подошли к самому важному вопросу — как удалить вирус, который не удаляется. Если ваш смартфон продолжает работать, тогда проще всего запустить антивирус и очистить устройство от вредоносного содержимого. Однако, такой способ эффективнее не более чем в 30-40% случаев, ведь многие вирусы «сопротивляются» процедуре удаления.
В зависимости от ситуации, характерной для вашего гаджета, применяется своя схема действий борьбы с вирусом. Ситуации следующие:
В первом и во втором случае необходимо запустить безопасный режим, поскольку именно в нем вирусы становятся неактивными и их можно легко удалить. Как это сделать для вашего смартфона вы можете найти в интернете, но обычно это делается следующим образом:
В третьем случае вам придётся удалить вирус через компьютер. Для этого нужно подключить смартфон к компьютеру через USB-кабель и выбрать режим накопителя. После этого запустить проверку на вирусы через контекстное меню для обоих дисков: внутренней памяти телефона и SD-карты.
Как удалить вирус, который не удаляется
Если все описанные выше методы не помогают избавиться от вирусов, тогда необходимо применить радикальные меры очистки:
Вы можете использовать любой из перечисленных вариантов.
Как избежать заражения вирусом
Чтобы не подхватить вирус, старайтесь придерживаться следующих рекомендаций:
Заключение
От заражения вирусами гаджета никто не застрахован, более того, до определенного момента вы можете и не подозревать, что у вас установлена вредоносная программа. Следуйте рекомендациям, описанным в данной статье, и старайтесь всегда пользоваться только проверенными и безопасными программами.
Спасибо, что читаете! Подписывайтесь на мои каналы в Telegram, Яндекс.Мессенджере и Яндекс.Дзен. Только там последние обновления блога и новости мира информационных технологий.
Респект за пост! Спасибо за работу!
Хотите больше постов? Узнавать новости технологий? Читать обзоры на гаджеты? Для всего этого, а также для продвижения сайта, покупки нового дизайна и оплаты хостинга, мне необходима помощь от вас, преданные и благодарные читатели. Подробнее о донатах читайте на специальной странице.
Заранее спасибо! Все собранные средства будут пущены на развитие сайта. Поддержка проекта является подарком владельцу сайта.
«Омикрон-штамм создали англичане, чтобы прекратить пандемию»
Штамм «омикрон» был создан специально, чтобы прекратить пандемию. Об этом в интервью «Радио России» заявил член-корреспондент РАН заведующий лабораторией пролиферации клеток Института молекулярной биологии имени В. А. Энгельгардта РАН Петр Чумаков.
«Я считаю, что это так. Что это англичане. Решили прекратить сейчас пандемию, потому что сейчас настала пора решительных каких-то изменений в мире, — сказал Чумаков. — Это не просто мутация. Это они собрали все мутации, которые были известны, которые встречались в этом вирусе уже спонтанно, то есть когда он эволюционировал… Они собрали все эти мутации в одном штамме, более того, они ввели еще там вставочку из трех аминокислот, которые характерны для сезона коронавируса. Как она могла возникнуть вот так независимо в этом штамме — это никто не может объяснить».
Чумаков предположил, что это могло быть сделано с «аналитическими» или иными целями.
«Сейчас просто такой момент настал, когда по каким-то политическим соображениям решили быстренько завернуть пандемию», — говорит вирусолог.
Версию Чумакова уже опроверг ряд экспертов. Директор НИИ эпидемиологии и микробиологии имени Г. П. Сомова Роспотребнадзора Михаил Щелканов заявил, что не видит доказательств того, что штамм может быть искусственно создан.
«Это нормальный ход развития событий, когда вирус накапливает мутации, потихоньку ослабляется. Не вижу я там никакой человеческой руки. Любой вирус так или иначе существует в форме множества вариантов. С течением времени начинают селектироваться те или другие варианты. Естественно, через два-три десятилетия вирус должен адаптироваться в человеческой популяции. Вот, мы видим, вариант качнулся в сторону адаптации к человеческому организму», — объяснил он.
Щелканов напомнил, что большинство мутаций в геноме вирусов связано именно с «выключением патогенности».
Профессор МГУ, доктор биологических наук вирусолог Алексей Аграновский также не согласен с искусственным происхождением «омикрона». По его словам, появление все новых вариантов SARS-CoV-2 — это скорее подтверждение версии о его естественном происхождении, поскольку такое развитие событий подтверждает изменчивость вируса.
«Вирус появился в Южной Африке. Южная Африка не находится на фронтире биотехнологических исследований. Кто там мог создать такой вирус? Я полагаю, что это не так. Он, скорее всего, мог появиться естественным путем за счет накопления множественных мутаций, но не сразу, а по одной в организме у человека, который был иммунологически скомпрометирован, например больного вирусом иммунодефицита человека. Иммунитет слабый, вирус там болтается месяцами. Предположим, что у многих таких людей происходили подобные процессы, но только в одном организме, возможно, создался вариант с этим набором свойств и мутаций», — говорит Аграновский.