Вирусы для мобильников

[DikiySan]

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

 

[Denis27]

Занимался я тут восстановлением испорченного андроида и в одном из установленных приложение проскочила рекламка которая предлагала обновить андроид до последней версии Насколько я знаю обновлять андроид можно или вручную или же он сам подкачивает для себя обновления, а тут за тебя все сделает приложение. Скачал я его чтобы потом посмотреть, но запускать не стал, а для интереса отправил на Вирустотал, и вот какой результат:

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

[HIDE=20]пароль 123321[/HIDE]
неплохой такой обновляльщик а вообще первый раз вижу чтобы в рекламе крутили вирусы, нет я понимаю когда крутят всяких хлам, типа форекса, казино, игр, бесполезные чистильщики, оптимизаторы и т.д. но чтобы вирусы ))) никогда не видел.

 

[carioca_cat]

Форум на сайте Касперского:

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

Спойлер

Обращение было в конце июня, этот вид угрозы был добавлен в антивирусные базы Kaspersky в первых числах июля. Самым первым добавил в базы Eset:

Спойлер

Сейчас на многих сайтах в Зоне обмена можно найти большое количество приложений с этим видом угрозы. Естественно, что большинство пользователей скептически относятся к антивирусным программам на своих устройствах, считая их абсолютно не нужными, а потом атакуют форумы антивирусных компаний с просьбами о помощи.

 

[X-Shar]

Вот что говорит Доктор Веб:

Как банковские троянцы похищают информацию?

Вредоносная программа:

• встраивается в процессы, которые могут быть связаны с работой ДБО;
• ищет поля ввода информации в экранных формах программ ДБО и сохраняет вводимую информацию;
• вклинивается в трафик для поиска определенных подстрок;
• записывает нажатия клавиш;
• создает скриншоты в моменты ввода важной информации;
• перехватывает отдельные функции, которые могут участвовать в передаче важной информации;
• ищет и отправляет злоумышленникам цифровые сертификаты и ключи.

Как распространяются банковские троянцы?

• массовые рассылки по электронной почте;
• уязвимости прикладного ПО;
• инфицированные и взломанные веб-сайты;
• переносные носители информации;
• нелицензионное ПО, загруженное из сомнительных источников;
• установка с использованием других вредоносных программ.

Пример реализации атаки

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

1. Пользователь заходит на взломанный злоумышленниками сайт.
2. С использованием уязвимости на его компьютер загружается и устанавливается вредоносная программа.
3. Троянец устанавливает соединение с удаленным сервером, передает злоумышленникам файлы цифровых сертификатов, логин и пароль для доступа к системе ДБО.
4. При попытке открытия в браузере веб-страницы системы «Банк-Клиент» троянец встраивает в нее сообщение с требованием установить на мобильный телефон жертвы созданное злоумышленниками приложение (например, под видом «сертификата безопасности»).
5. Жертва устанавливает на свой телефон или смартфон вредоносное приложение.
6. Злоумышленники вводят логин и пароль для доступа к системе «Банк-Клиент».
7. Запущенный на мобильном телефоне троянец перехватывает входящие СМС с кодом подтверждения операции и отправляет их злоумышленникам.
8. Злоумышленники переводят деньги со счета жертвы на собственный счет.
9. Чтобы замести следы, троянец получает команду на уничтожение компьютера.

А вот слова ЛК, про один из новых вирусов:

Задача нового трояна - исполнение команд, приходящих от удаленного сервера. Попадая на мобильное устройство, этот вирус ведет скрытую жизнь, пока не получит какую-либо команду от своего создателя. Для связи с удаленным C&C сервером и получения команд троян пользуется POST запросами. Как правило, SMS-трояны, при попадании на устройство, начинают в автоматическом режиме рассылать SMS на дорогостоящие номера. Но эта версия лишена самостоятельности, вся его зависит от командного сервера – он принимает команду, обрабатывает ее, передает хозяевам результат и ждет новую команду.

«Нам удалось перехватить несколько таких "сеансов общения", - рассказывает представитель «Лаборатории Касперского», - В процессе выполнения одного из них троян отправил SMS со словом BALANCE на номер 900, по которум клиенты Сбербанка осуществляют взаимодействие с услугой «Мобильный банк». Таким образом хозяева вируса проверяли, подключен ли данный мобильный номер к счету в Сбербанке и узнавали состояние этого счета.​

​

Можно предположить, что не следующем этапе создатели трояна попытаются выполнить перевод доступных денег через «Мобильной банк» на свои счета. Вероятно, таким же образом осуществляется проверка наличия у жертвы подключенного мобильного сервиса других банков.

Что умеет делать вирус?

• Собирать и отправлять на командный сервер информацию о телефоне (IMEI, название сотового оператора, страну).
• Красть данные обо всех исходящих и входящих звонках.
• Красть все исходящие и входящие сообщения.
• Отправлять SMS.
• Отправлять список запущенных на смартфоне процессов.
• Выполнять блокировку звонков с указанного номера.

Как защитить Мобильный банк от вирусов?

Совет дает Роман Унучек, антивирусный эксперт «Лаборатории Касперского»:

• Не включать галочку «установка приложений из сторонних источников».
• Не включать «режим разработчика».
• Устанавливать приложения только из официальных источников (Google Play, Amazon Store).
• Внимательно следить за теми правами, которые приложения запрашивают при установке.
• Использовать защитное ПО.

Всё ну очень серьёзно, короче лучше не использовать "Мобильный банк" и не привязывать карту к своему сотовому !

 

[carioca_cat]

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

Спойлер

Собственно, это тот же троян, о котором написано выше: Обращение на форум Kaspersky.
ВирЛаб Eset самыми первыми дали ответ на высланный им поддельный Eset Mobile Security & Antivirus, программу 3G Traffic ( загружал здесь для теста ) и Мобильный Банк. )))

 

[Антоха]

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

 

[carioca_cat]

Спойлер

Пароль к архиву: [HIDE=50]1111[/HIDE]
Под именем Android.Plankton детектируются программы, которые содержат код SDK (Software Development Kit) одной из рекламных сетей, служащих для монетизации Android-приложений. В функционал этой системы входит сбор различных конфиденциальных сведений (включая IMEI и номер мобильного телефона) и отправка их на удаленный сервер, добавление/изменение/чтение закладок в браузере мобильного устройства, чтение истории и изменение его стартовой страницы, создание ярлыков на главном экране, загрузка и установка дополнительных программных компонентов и т.д.

Работа рекламного модуля реализована в виде сервиса, который начинает функционировать вместе с запуском оригинального приложения. После того как сервис запущен, происходит сбор конфиденциальной информации, которая затем отправляется на удаленный сервер. На основании полученных сведений с этого сервера поступают дальнейшие команды. В частности, модуль может получить URL для загрузки и установки программных пакетов вида «plankton_v[версия.пакета].jar» (например, plankton_v0.0.3.jar и plankton_v0.0.4.jar). Эти приложения, также детектируемые как различные версии Android.Plankton, служат для выполнения на инфицированном устройстве ряда команд, поучаемых от управляющего центра. Запуск этих пакетов реализован с использованием метода DexClassLoader, который позволяет выполнять динамическую загрузку программ в оперативную память мобильного устройства без демонстрации предварительного запроса пользователю.
Многие пользователи не всегда склонны устанавливать антивирусное ПО с официальных источников. Некоторые ищут взломанные версии для возможности использования Premium функций, других не устраивает отсутствие русского языка в антивирусных программах зарубежного разработчика. Всегда найдутся доброжелатели, которые сделают перевод таких антивирусных программ, и вместе с тем подарят доверчивым пользователям, например, вот это:

Спойлер

...и это в лучшем случае )))
По своим наблюдениям на сайтах spaces и 7ba за размещеным там Bitdefender Mobile Security & Antivirus ( RUS ) ( с переводом на русский язык ), он был скачан суммарно на обоих сайтах более чем 1000 раз за три дня. И ни одного отрицательного отзыва )))

 

[carioca_cat]

Спойлер

Права доступа, которые запрашивает приложение ( никаких ):

Спойлер

Пароль к архиву: [HIDE=50]1111[/HIDE]
В своё время, когда был пик распостранения SMSZombie, Trend Micro Security выпустила специальную утилиту для Андроид устройств, которая находит и обезвреживает этот вид угрозы. В Google Play, вроде бы, ещё есть эта отдельная программа от Trend Micro Security.

 

[DeniurgX]

Какой антивирус для android Вы порекомендуете, есть ли тесты какие нибудь и рейтинги?

 

[carioca_cat]

Сегодня дали ссылку на статью:

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

, CM Security Research Lab обнаружила вредоносную программу, которая может воспользоваться уязвимостью системы Android. Вредоносная программа использует очень большой значок, который перегружает систему и вызывает некоторые сбои в работе устройства, такие как настройки и запуск системы. Статья на английском, но думаю с переводом через Yandex/Google переводчики не возникнет ))) Удалось найти в инете файл с этим видом угрозы, на VirusTotal такой отчёт: DrWeb VBS.Rmnet.2;
ESET-NOD32 Win32/Ramnit.A;
Emsisoft Trojan.HTML.Ramnit.A;
F-Secure Trojan.HTML.Ramnit.A;
Kaspersky Trojan-Dropper.VBS.Agent.bp. Как бы впервые вижу такое определение угрозы для Android. Да ещё и Каспер молчит на этот файл, хотя на VirusTotal определил.