Read only area change threat что это за угроза
Read only area change threat что это за угроза
Краткое описание:
Антивирус.
Описание Версии Light.
Минимально необходимая защита от вирусов.
В составе этой версии программы отсутствуют важные компоненты защиты: антиспам, антивор и облачный URL-фильтр Cloud Checker. Чтобы максимально защитить мобильное устройство от всех типов киберугроз, используйте Dr.Web для Android (комплексная защита).
Техническая поддержка пользователям Антивирус Dr.Web Light более не оказывается.
Брандмауэр – новый компонент Dr.Web 9.0 для Android
Задача брандмауэра – контроль сетевой активности приложений. В Dr.Web для Android этот модуль обеспечивает фильтрацию внешнего сетевого трафика приложений – как установленных, так и системных. Пользователь может включить или отключить блокировку Wi-Fi или сотовых сетей (3G, 4G, GPRS), в том числе и в роуминге. Также возможна фильтрация по настраиваемым правилам – по IP-адресам и/или портам, целым сетям, областям адресов. Для каждого приложения это производится отдельно.
Для сотовых сетей предусмотрена возможность блокировки трафика по достижении его определенного размера – это позволит сэкономить при использовании ограниченных по трафику тарифных планов операторов.
Брандмауэр отслеживает как текущий трафик, так и уже переданный, предоставляя информацию об адресах/портах, к которым подключаются приложения, и о размере входящего и исходящего трафика. Предусмотрены подробные журналы сетевой активности на устройстве с сортировкой по широкому спектру параметров.
В теме обсуждаются только версии Про и Лайт (бесплатную) ну и конечно Life-License если есть проблемы с купленной в Маркете(GP)
Бета-тест новой версии приложения Dr.Web Security Space для Android 11.0 Dr.Web (Пост Michailko #53726750)
Основная в теме версия с официального сайта регистрируется ключом по ссылке (Все КЛЮЧИ:)
Как правильно оформить сообщение на форуме Оформление сообщений
Новости компании «Доктор Веб»: http://news.drweb.com/?lng=ru&c=5&p=0&m= Всегда свежие из первых рук.
Проверь работоспособность антивируса:
А можно создать самому:
Для мнительных: файл, который мы создаём в блокноте абсолютно безвреден для компьютера. В нём содержится ИМИТАЦИЯ ВИРУСА.
РЕЗУЛЬТАТЫ:
1) Ваш антивирусный продукт дико запищит и начнёт ругаться. Это означает, что он включён и находится в режиме мониторинга системы и легко обнаруживает вирусные файлы.
Этот тестовый файл будет помещён в карантин или удалён.
2) Ваш антивирусный продукт останется нем, как рыба об лёд. В таком случае сносите ваш антивирус и устанавливайте другой, так как он не видит даже очевидные вирусные угрозы.
Да, и не забудьте удалить ваш сохранённый файл (надеюсь вы запомнили куда вы его сохраняли?)
ИТОГИ:
Данный тест показывает: производит ли ваш антивирусный продукт непрерывный мониторинг системы. ЭФФЕКТИВНОСТЬ ОБНАРУЖЕНИЯ ОСТАЛЬНЫХ ВИРУСОВ ЭТОТ ТЕСТ НЕ ПОКАЗЫВАЕТ.
Русский интерфейс: Да
Требуется Android: 4.4+
Еще один [почти] неудаляемый троянец под Android
В конце прошлого года с помощью функции обнаружения изменений в системной области у некоторых наших пользователей было зафиксировано изменение системного файла /system/lib/libc.so. Это одна из главных библиотек операционных систем на базе Linux, которая отвечает за системные вызовы и основные функции. Подробное рассмотрение этого случая позволило выявить новые образцы из семейства троянцев Android.Xiny, известного нам с 2015 года.
У его представителей мы впервые увидели установку атрибута «неизменяемый» на файлы, что существенно усложняло удаление троянцев с устройств.
Выглядело это довольно занятно: на apk-файл установленного приложения ставился указанный атрибут, попытка удалить это приложение выглядела успешной, его данные удалялись, но сам apk-файл оставался на месте. После перезагрузки устройства приложение снова «появлялось». Об одном из таких троянцев мы рассказали в 2016 году. Для борьбы с подобными угрозами мы добавили в наш антивирус функцию сброса атрибутов у файлов, которая работает при условии, что пользователь предоставил антивирусу root-полномочия.
В этой статье мы рассмотрим еще один интересный метод самозащиты, применяемый новыми версиями Android.Xiny.
Android 5.1? В 2019 году?
Троянец, рассматриваемый в данной статье, работает под ОС Android до версии 5.1 включительно. Может показаться странным, что вредоносное ПО, рассчитанное на столь «древние» версии Android, всё ещё активно (версия 5.1 вышла в 2015 году). Но, несмотря на свой возраст, старые версии всё ещё используются. По данным корпорации Google на 7 мая 2019 года, 25.2% устройств работают под управлением Android 5.1 и ниже. Статистика по нашим пользователям даёт чуть большее число — около 26%. Это значит, что около четверти всех Android-устройств являются потенциальными целями, что не так уж и мало. Учитывая, что указанные устройства подвержены уязвимостям, которые никогда не будут исправлены, неудивительно, что старые версии ОС Android всё ещё представляют интерес для вирусописателей. Ведь права root, которые можно получить с помощью эксплуатации упомянутых уязвимостей, развязывают вирусописателям руки — с их помощью можно делать на устройстве всё что угодно. Хотя чаще всего это сводится к банальной установке приложений.
Основные функции троянца
Начиная с самых ранних версий, главная функция троянца Android.Xiny — установка на устройство произвольных приложений без разрешения пользователя. Таким образом злоумышленники могут зарабатывать, участвуя в партнёрских программах, которые платят за установку. Насколько можно судить, это один из основных источников дохода для создателей данного семейства. После запуска некоторых его представителей можно за несколько минут получить практически неработоспособное устройство, на котором будет установлено и запущено множество безвредных, но ненужных пользователю приложений. Кроме того, данные троянцы могут устанавливать и вредоносное ПО — всё зависит от команды, полученной с управляющего сервера.
Самое интересное, что выделяет новые версии троянца Android.Xiny — это защита от удаления. За неё отвечают два компонента. Рассмотрим их подробнее.
Установщик
sha1: f9f87a2d2f4d91cd450aa9734e09534929170c6c
детект: Android.Xiny.5261
Данный компонент запускается после получения прав root. Он подменяет собой системные файлы /system/bin/debuggerd и /system/bin/ddexe, чтобы обеспечить свой автоматический запуск, а оригиналы сохраняет под именами с суффиксом _server, действуя как классический вирус-компаньон. Также он копирует в системный раздел ещё несколько исполняемых файлов из папки, переданной в параметрах командной строки. Кроме того, троянец может обновлять компоненты, которые установил в системный раздел, если его запустить с особыми параметрами и указать папку, где лежат новые версии.
Android.Xiny.5261 содержит внушительный список файлов для удаления. В него входят пути, характерные для более старых представителей семейства, а также для конкурирующих семейств троянцев, устанавливающихся в системный раздел. Таких как, например, Triada.
Кроме того, Android.Xiny.5261 удаляет некоторые предустановленные приложения — возможно, чтобы освободить место. Наконец, он удаляет известные приложения для управления правами root – такие как SuperSU, KingRoot и другие. Таким образом, он лишает пользователя возможности использовать root-права, а значит, и удалить троянские компоненты, установленные в системный раздел.
Модифицированная системная библиотека libc.so
sha1: 171dba383d562bec235156f101879223bf7b32c7
детект: Android.Xiny.5260
Открываем файл в IDA и смотрим, что это за код.
Выясняется, что в данной библиотеке были изменены следующие функции: mount, execve, execv, execvp, execle, execl, execlp.
Код изменённой функции mount:
В начале тут происходит проверка параметра mountflags на наличие «волшебного» значения 0x7A3DC594. Если функции передано это значение, управление сразу передаётся настоящей функции mount. Далее проверяется, происходит ли попытка перемонтировать раздел /system на запись и завершена ли загрузка ОС. Если эти условия выполняются, настоящая функция mount не вызывается и возвращается ошибка. Таким образом, модифицированная троянцем функция mount не даёт перемонтировать системный раздел на запись никому, кроме самого троянца, который вызывает её с «волшебным» параметром.
Код изменённой функции execve (в остальных exec*-функциях всё аналогично):
Здесь проверяется, начинается ли путь к запускаемому файлу с «/data/» и содержит ли «/sdcard». Если одно из условий выполняется, запуск блокируется. Напомним, что по пути /data/data/ находятся директории приложений. Таким образом блокируется запуск исполняемых файлов из всех директорий, в которых обычное приложение может создать файл.
Изменения, внесённые в системную библиотеку libc.so, нарушают работу приложений, предназначенных для получения прав root. Из-за изменений в функциях exec* такое приложение не сможет запустить эксплойты для повышения привилегий в системе, поскольку обычно эксплойты представляют собой исполняемые файлы, которые скачиваются из сети в директорию приложения и запускаются. Если же повысить привилегии всё-таки удалось, изменённая функция mount не даст перемонтировать системный раздел на запись, а значит, и произвести в нём какие-либо изменения.
В итоге, самозащита троянца складывается из двух частей: его установщик удаляет приложения для управления root-правами, а модифицированная библиотека libc.so не даёт установить их снова. Кроме того, эта защита работает и от «конкурентов» — других троянцев, которые получают права root и устанавливаются в системный раздел, поскольку они работают по тому же принципу, что и «хорошие» приложения для получения прав root.
Как бороться с таким троянцем?
Чтобы избавиться от Android.Xiny.5260, устройство можно перепрошить – при условии, что в открытом доступе существует прошивка для него. Но можно ли удалить вредоносную программу другим способом? Сложно, но можно – есть несколько путей. Для получения прав root можно использовать эксплойты в виде so-библиотек. В отличие от исполняемых файлов, их загрузку троянец не заблокирует. Также можно воспользоваться компонентом самого троянца, который предназначен для предоставления root-прав другим его частям. Он получает команды через сокет по пути /dev/socket/hs_linux_work201908091350 (в разных модификациях путь может отличаться). Что касается обхода блокировки mount, можно использовать «волшебное» значение параметра mountflags, либо напрямую вызвать соответствующий syscall.
Реализовывать я это, конечно, не буду.
Если ваше устройство подхватит такого троянца, мы рекомендуем использовать официальный образ операционной системы для его перепрошивки. Однако не забывайте, что при этом удалятся все пользовательские файлы и программы, поэтому заранее позаботьтесь о создании резервных копий.
Read only area change threat что это за угроза
Краткое описание:
Антивирус.
Описание Версии Light.
Минимально необходимая защита от вирусов.
В составе этой версии программы отсутствуют важные компоненты защиты: антиспам, антивор и облачный URL-фильтр Cloud Checker. Чтобы максимально защитить мобильное устройство от всех типов киберугроз, используйте Dr.Web для Android (комплексная защита).
Техническая поддержка пользователям Антивирус Dr.Web Light более не оказывается.
Брандмауэр – новый компонент Dr.Web 9.0 для Android
Задача брандмауэра – контроль сетевой активности приложений. В Dr.Web для Android этот модуль обеспечивает фильтрацию внешнего сетевого трафика приложений – как установленных, так и системных. Пользователь может включить или отключить блокировку Wi-Fi или сотовых сетей (3G, 4G, GPRS), в том числе и в роуминге. Также возможна фильтрация по настраиваемым правилам – по IP-адресам и/или портам, целым сетям, областям адресов. Для каждого приложения это производится отдельно.
Для сотовых сетей предусмотрена возможность блокировки трафика по достижении его определенного размера – это позволит сэкономить при использовании ограниченных по трафику тарифных планов операторов.
Брандмауэр отслеживает как текущий трафик, так и уже переданный, предоставляя информацию об адресах/портах, к которым подключаются приложения, и о размере входящего и исходящего трафика. Предусмотрены подробные журналы сетевой активности на устройстве с сортировкой по широкому спектру параметров.
В теме обсуждаются только версии Про и Лайт (бесплатную) ну и конечно Life-License если есть проблемы с купленной в Маркете(GP)
Бета-тест новой версии приложения Dr.Web Security Space для Android 11.0 Dr.Web (Пост Michailko #53726750)
Основная в теме версия с официального сайта регистрируется ключом по ссылке (Все КЛЮЧИ:)
Как правильно оформить сообщение на форуме Оформление сообщений
Новости компании «Доктор Веб»: http://news.drweb.com/?lng=ru&c=5&p=0&m= Всегда свежие из первых рук.
Проверь работоспособность антивируса:
А можно создать самому:
Для мнительных: файл, который мы создаём в блокноте абсолютно безвреден для компьютера. В нём содержится ИМИТАЦИЯ ВИРУСА.
РЕЗУЛЬТАТЫ:
1) Ваш антивирусный продукт дико запищит и начнёт ругаться. Это означает, что он включён и находится в режиме мониторинга системы и легко обнаруживает вирусные файлы.
Этот тестовый файл будет помещён в карантин или удалён.
2) Ваш антивирусный продукт останется нем, как рыба об лёд. В таком случае сносите ваш антивирус и устанавливайте другой, так как он не видит даже очевидные вирусные угрозы.
Да, и не забудьте удалить ваш сохранённый файл (надеюсь вы запомнили куда вы его сохраняли?)
ИТОГИ:
Данный тест показывает: производит ли ваш антивирусный продукт непрерывный мониторинг системы. ЭФФЕКТИВНОСТЬ ОБНАРУЖЕНИЯ ОСТАЛЬНЫХ ВИРУСОВ ЭТОТ ТЕСТ НЕ ПОКАЗЫВАЕТ.
Русский интерфейс: Да
Требуется Android: 4.4+
8 приложений для Android, которые нужно удалить. Они опасны
Кто бы что ни говорил, но Google Play – это помойка. Не даром её признали самым популярным источником вредоносного софта для Android. Просто пользователи в большинстве своём доверяют официальном магазину приложений Google и скачивают оттуда любое ПО без разбору. А какой ещё у них есть выбор? Ведь их всегда учили, что скачивать APK из интернета куда опаснее. В общем, это действительно так. Но остерегаться опасных приложений в Google Play нужно всегда. По крайней мере, постфактум.
Есть как минимум 8 приложений, которые нужно удалить
Google добавила в Google Play функцию разгона загрузки приложений
Исследователи кибербезопасности из антивирусной компании McAfee обнаружили в Google Play 8 вредоносных приложений с многомиллионными загрузками. Попадая на устройства своих жертв, они скачивают получают доступ к сообщениям, а потом совершают от их имени покупки в интернете, подтверждая транзакции кодами верификации, которые приходят в виде SMS.
Вредоносные приложения для Android
Нашли вирус? Удалите его
В основном это приложения, которые потенциально высоко востребованы пользователями. Среди них есть скины для клавиатуры, фоторедакторы, приложения для создания рингтонов и др.:
Это названия пакетов приложений, то есть что-то вроде их идентификаторов. Поскольку всё это вредоносные приложения, их создатели знают, что их будут искать и бороться с ними. Поэтому они вполне могут быть готовы к тому, чтобы менять пользовательские названия приложений, которые видим мы с вами. Но это мы не можем этого отследить. Поэтому куда надёжнее с этой точки зрения отслеживать именно идентификаторы и удалять вредоносный софт по ним.
Как найти вирус на Android
Но ведь, скажете вы, на смартфоны софт устанавливается с пользовательскими названиями. Да, это так. Поэтому вам понадобится небольшая утилита, которая позволит вам эффективно выявить весь шлаковый софт, который вы себе установили, определив название их пакетов.
В красном квадрате приведен пример названия пакета
Package Name Viewer удобен тем, что позволяет не просто найти нужное приложение по названию его пакета, но и при необходимости перейти в настройки для его удаления. Для этого достаточно просто нажать на иконку приложения, как вы попадёте в соответствующий раздел системы, где сможете остановить, отключить, удалить накопленные данные, отозвать привилегии или просто стереть нежелательную программу.
Как отменить подписку на Андроиде
Лучше всего приложение именно удалить. Это наиболее действенный способ защитить себя от его активности. Однако не исключено, что оно могло подписать вас на платные абонементы, поэтому для начала проверьте свою карту на предмет неизвестных списаний, а потом просмотрите список действующих подписок в Google Play:
Если подписка оформлена через Google Play, отменить её ничего не стоит
В принципе, если подписка была оформлена через Google Play и оплата уже прошла, вы можете потребовать у Google вернуть уплаченные деньги. О том, как это делается, мы описывали в отдельной статье. Но поскольку разработчики таких приложений обычно тщательно продумывают способы воровства денег, как правило, они не используют встроенный в Google Play инструмент проведения платежей, чтобы их в случае чего не могли отозвать.
Новости, статьи и анонсы публикаций
Свободное общение и обсуждение материалов
У вас есть WhatsApp. У меня есть WhatsApp. У всех есть WhatsApp. Даже если основным средством общения для вас является другой мессенджер, вы всё равно держите его на смартфоне. Как приложение Сбербанка – просто на всякий случай. Ну, потому что Телеграма у вашего собеседника может не оказаться, а по Ватсапу вы с ним практически наверняка свяжетесь. Но ведь его можно использовать не только по прямому назначению. Рассказываю, в чём ещё, кроме переписки, может пригодиться WhatsApp.
С тех пор, как в смартфонах начали появляться сторонние приложения, они вышли на новый уровень и перестали быть готовым продуктом, который мы покупали раньше. Теперь это просто средство для того, чтобы пользоваться приложениями, которые загружаются из фирменных магазинов или сторонних источников. Разработчики постоянно стараются делать свои приложения более удобными и ”юзабельными”, так как им надо выдерживать конкуренцию. Но не отстают и представители платформ, для которых пишутся эти приложения. Они едва ли не больше разработчиков заинтересованы в том, чтобы пользователи были довольны. Вот и очередная инициатива Google в этом направлении подоспела.
Когда Apple запустила собственное картографическое и навигационное приложение в iOS 6, целью было заменить Google Maps на iPhone. Но эпичность фиаско, которое Apple Maps терпело в первые годы существования сервиса, просто зашкаливала. Всего через несколько недель после запуска сервиса генеральный директор Тим Кук извинился за недостатки Apple Maps. Он предложил пользователям iOS обратиться к альтернативам в лице Google Maps, Waze, Яндекс и другим навигационным приложениям, пока проблемы не будут решены. Со временем сервис стал намного лучше, но ошибки все равно встречаются. Встречаются они и у Google Maps. При этом такие ошибки несут смертельную опасность для пользователей.
“пользователи в большинстве своём доверяют официальном магазину приложений Google и скачивают оттуда любое ПО без разбору”, зачем судить по себе? Никто так не делает и вообще откуда этот дикий список того, что надо удалить?
«Поставьте непонятное приложение, дайте ему все возможные разрешения, чтобы удалить другое непонятное приложение». Больше похоже на заказ от конкурентов
Read only area change threat что это за угроза
Краткое описание:
Антивирус.
Описание Версии Light.
Минимально необходимая защита от вирусов.
В составе этой версии программы отсутствуют важные компоненты защиты: антиспам, антивор и облачный URL-фильтр Cloud Checker. Чтобы максимально защитить мобильное устройство от всех типов киберугроз, используйте Dr.Web для Android (комплексная защита).
Техническая поддержка пользователям Антивирус Dr.Web Light более не оказывается.
Брандмауэр – новый компонент Dr.Web 9.0 для Android
Задача брандмауэра – контроль сетевой активности приложений. В Dr.Web для Android этот модуль обеспечивает фильтрацию внешнего сетевого трафика приложений – как установленных, так и системных. Пользователь может включить или отключить блокировку Wi-Fi или сотовых сетей (3G, 4G, GPRS), в том числе и в роуминге. Также возможна фильтрация по настраиваемым правилам – по IP-адресам и/или портам, целым сетям, областям адресов. Для каждого приложения это производится отдельно.
Для сотовых сетей предусмотрена возможность блокировки трафика по достижении его определенного размера – это позволит сэкономить при использовании ограниченных по трафику тарифных планов операторов.
Брандмауэр отслеживает как текущий трафик, так и уже переданный, предоставляя информацию об адресах/портах, к которым подключаются приложения, и о размере входящего и исходящего трафика. Предусмотрены подробные журналы сетевой активности на устройстве с сортировкой по широкому спектру параметров.
В теме обсуждаются только версии Про и Лайт (бесплатную) ну и конечно Life-License если есть проблемы с купленной в Маркете(GP)
Бета-тест новой версии приложения Dr.Web Security Space для Android 11.0 Dr.Web (Пост Michailko #53726750)
Основная в теме версия с официального сайта регистрируется ключом по ссылке (Все КЛЮЧИ:)
Как правильно оформить сообщение на форуме Оформление сообщений
Новости компании «Доктор Веб»: http://news.drweb.com/?lng=ru&c=5&p=0&m= Всегда свежие из первых рук.
Проверь работоспособность антивируса:
А можно создать самому:
Для мнительных: файл, который мы создаём в блокноте абсолютно безвреден для компьютера. В нём содержится ИМИТАЦИЯ ВИРУСА.
РЕЗУЛЬТАТЫ:
1) Ваш антивирусный продукт дико запищит и начнёт ругаться. Это означает, что он включён и находится в режиме мониторинга системы и легко обнаруживает вирусные файлы.
Этот тестовый файл будет помещён в карантин или удалён.
2) Ваш антивирусный продукт останется нем, как рыба об лёд. В таком случае сносите ваш антивирус и устанавливайте другой, так как он не видит даже очевидные вирусные угрозы.
Да, и не забудьте удалить ваш сохранённый файл (надеюсь вы запомнили куда вы его сохраняли?)
ИТОГИ:
Данный тест показывает: производит ли ваш антивирусный продукт непрерывный мониторинг системы. ЭФФЕКТИВНОСТЬ ОБНАРУЖЕНИЯ ОСТАЛЬНЫХ ВИРУСОВ ЭТОТ ТЕСТ НЕ ПОКАЗЫВАЕТ.
Русский интерфейс: Да
Требуется Android: 4.4+