Trojan dropper agent gkw что это
Trojan-Dropper.Win32.Agent.rek: «легальный» руткит
В заметке описывается драйвер, который загружается вирусом, рассмотренным в предыдущей части. Драйвер работает на уровне ядра операционной системы, и обеспечивает «привилегированное» прикрытие основной функциональности трояна, которая работает в режиме пользователя (авторское название компоненты — winnt32.dll. Подробнее о ней см. habrahabr.ru/blog/virus/43787.html).
Краткое описание.
Программа представляет собой nt-драйвер (так же известны, как legacy-драйвера, то есть не связанные ни с каким физическим устройством). Является руткитом: используя механизмы ядра ОС, лишает другие программы доступа к некоторым файлам и ключам реестра.
Детектируется касперским как Trojan-Dropper.Win32.Agent.rek. Размер 27548 байтов.
Лирическое отсутпление. «Обычный» руткит может использовать недостатки в реализации ОС для сокрытия объектов: файлов, сетевых соединений, и так далее вплоть до секторов жесткого диска. Для этого в простейшем случае делается перехват системного вызова. Системный вызов по сути — это вызов функции, а вызов функции — это передача управления по указанному адресу. Руткит записывает по этому адресу свой код, который трансформирует результат оригинальной функции. К примеру, проверяет, пытается ли кто-то открывать файл с телом вируса, и возвращает какой-нибудь код ошибки, например «доступ заперещен».
Справочник говорит следующее: The IoRegisterFsRegistrationChange routine registers a file system filter driver’s notification routine to be called whenever a file system registers or unregisters itself as an active file system.
В структуре DEVICE_OBJECT, описывающей устройство, драйвер заменяет обработчик запроса IRP_MJ_CREATE на свой. Запрос IRP_MJ_CREATE генерируется изнутри NtCreateFile при открытии файла. Новый обработчик сравнивает запрошенное имя с именем файла собственно драйвера (которое задается дроппером в форме Wwwdd.sys, например Jer24.sys), и, в случае совпадения, возвращает код ошибки STATUS_ACCESS_DENIED.
Ключи реестра
Обращение к ключам реестра реализованно не менее легально: используя функцию CmRegisterCallback, драйвер подписывается на уведомление о всех обращениях к реестру. Стоит ли говорить о том, как начинает тормозить компьютер?
A driver calls CmRegisterCallback to register a RegistryCallback routine, which is called every time a thread performs an operation on the registry.
При обращении к ключам реестра:
HKLM\System\CurrentControlSet\Sevices\DRIVER-NAME
HKLM\System\ControlSet001\Sevices\DRIVER-NAME
HKLM\System\ControlSet002\Sevices\DRIVER-NAME
HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\DRIVER-NAME
HKLM\System\CurrentControlSet\Control\SafeBoot\Network\DRIVER-NAME
HKLM\System\ControlSet001\Control\SafeBoot\Minimal\DRIVER-NAME
HKLM\System\ControlSet001\Control\SafeBoot\Minimal\DRIVER-NAME
HKLM\System\ControlSet002\Control\SafeBoot\Network\DRIVER-NAME
HKLM\System\ControlSet002\Control\SafeBoot\Network\DRIVER-NAME
драйвер возвращает код ошибки STATUS_ACCESS_DENIED.
Запрет на удаление файла: 
Запрет на удаление ключа реестра:
Вот система передает руткиту информацию о CDFS:
Вывод.
В невидимой борьбе вирусов с антивирусами, когда все на свете перехватыватся и переперехватывается, используемый данным руткитом метод легален, а поэтому наиболее опасен. Со своей большой колокольни могу предположить, что снять такой хук на практике нереально. Либо перехватывать собственно процедуры регистрации таких уведомлений (типа CmRegisterCallback), запретив вызывать ее кому не попадя.
С другой стороны, грань, разделюящая вирусы и антивирусы, становится все тоньше и терерь едва заметна. Они используют одинаковые механизмы для сокрытия данных или отслеживания работы обычных программ. И, кстати, шаги к этому совершаются больше темной стороной.
Trojan-Dropper
Вредоносная программа, предназначенная для несанкционированной пользователем скрытой инсталляции на компьютер-жертву вредоносных программ, содержащихся в теле этого типа троянцев.
Данный тип вредоносных программ обычно без каких-либо сообщений (либо с ложными сообщениями об ошибке в архиве, неверной версии операционной системы и др.) сохраняют на диск жертвы (часто в каталог Windows, системный каталог Windows, временный каталог и т.д.) другие файлы и запускают их на выполнение.
В результате использования программ данного класса хакеры достигают двух целей:
Публикации на схожие темы
Пакер Loncom — от бэкдоров к Cobalt Strike
HQWar: падение черного дроппера
Привет, меня зовут Dtrack
Поиск
Продукты для дома
Наши передовые решения помогают защитить то, что для вас ценно. Узнайте больше о нашей удостоенной наград защите.
Бесплатные утилиты
Наши бесплатные утилиты помогают обеспечить защиту ваших устройств на базе Windows, Mac и Android.
О компании
Узнайте больше о том, кто мы, как мы работаем и почему наша главная цель – сделать цифровой мир безопасным для всех.
Пробные версии
Попробуйте наши решения. Всего за несколько кликов вы можете скачать бесплатные пробные версии нашего продукта и проверить их в действии.
Связаться с нами
Наша главная цель – обеспечить вашу безопасность. Мы всегда готовы ответить на ваши вопросы и оказать техническую поддержку.
Heur trojan dropper androidos agent как удалить
Если у вас появилось всплывающее окошко HEUR: Trojan.Andro >
Что это за вирусы такие?
Но давайте начнем сначала. Зачастую, при использовании различных программ пользователь сталкивается с рядом проблем. В большинстве случаев это всплывающие окна, которые предупреждают об угрозах сторонних программ. Вот тут и возникают пресловутые вирусы от HEUR:Trojan. Это такие вирусы, о которых часто предупреждает Сбербанк Онлайн. Вы могли видеть и другое название, например, Win32.Banker или AndroidOS.Agent.EB – это все те же вирусы.
Какие это вирусы и какие угрозы они несут в себе? HEUR: Trojan объединяет в себе особо опасные вирусы на Андроид, iOS и Windows. Главной особенностью является достаточно широкий функционал, из-за которого вирус может достаточно глубоко проникнуть в систему. А значит, уровень угрозы достаточно высокий.
Такие вирусы способны проникать в системные файлы очень быстро, а еще они могут маскироваться под обычный файл или приложение. При этом не всегда антивирусы предупреждают о возможных угрозах. Даже обычное посещение самого безобидного сайта может привести к заражению троянами.
Что делает HEUR: Trojan?
Как и у любого вируса, у этого семейства троянов есть свои функции. Итак, с какой целью ваше устройство хотят заразить:
Звучит довольно опасно? К счастью, сегодня это семейство вирусов уже способны распознать множество антивирусных программ. Из самых популярных это Kaspersky, Dr.WEB, AVAST и пр.
Откуда можно заразиться вирусом?
Самой распространенной причиной появления вирусов является типичная неосторожность:
Какие трояны встречаются чаще всего:
Как удалять такие вирусы
Базовое приложение от Сбербанка может предложить вам удалить вирус. Однако, если система и видит вирус, предлагая его удалить, полного удаления не произойдет. Решить проблему поможет обычное сканирование таких антивирусов как Dr.Web, AVG или Kaspersky. Эти программы подходят и для телефона, и для компьютера.
Итак, что нужно сделать:
Для пункта 4, если вдруг при удалении файлов появился отказ в доступе, то вам нужно зайти в «Настройки» — «Конфиденциальность» — «Администраторы устройства». Убираем все галочки и перезапускаем сканер, чтобы сканировать повторно.
Если угрозы были обнаружены, появится опасный файл. Можно открыть его и вручную самому удалить. В этом случае Total Commander послужит вам помощником и быстро справится с данной проблемой. Есть еще специальная программа, которая может заморозить любой вирус, — Titanium BackUp.
Если успешно справились, поздравляем. Также стоит изменить все пароли и активировать двойную аутентификацию для лучшей защиты гаджета.
Если на вашем смартфоне обнаружился вредоносный код, то нужно срочно от него избавиться. Ведь трояны получили свое название за принцип действия – они внедряются в систему, а затем выступают в роли передатчика, переправляя владельцу вируса информацию о ваших действиях в смартфоне и конфиденциальные сведения. Поэтому расскажем, как удалить троян с телефона Андроид.
Удаляем троян с помощью специальных антивирусных программ
Для телефона выпущено много приложений, которые используются для борьбы с вирусными атаками. Производители рекомендуют обязательно установить антивирус, чтобы у вас была защита от внедрения вредоносного кода. Если вы ищете ответ на вопрос, как удалить вирус трояна с телефона, то вероятнее всего у вас ранее не стояла защитная утилита либо вы выбрали некачественное ПО. Приведем примеры проверенных временем и пользователями антивирусных программ и расскажем о работе с ними.
Anti-Malware
Эта утилита хорошо известна пользователям компьютеров, для смартфонов аналог появился сравнительно недавно. Загрузить его можно из магазина приложений или официального сайта разработчика. После первого запуска сделайте следующее:
Утилита находит все вредоносные коды на вашем телефоне, а также следы их деятельности (поврежденные файлы и прочие). Автоматически вам будет предложено очистить смартфон. После решения проблемы, как удалить троян с Андроида без рут, программа останется полезной для вас. Она в режиме реального времени защитит телефон от угроз из вне, в том числе от неосторожных действий пользователя (блокируется переход по сомнительным ссылкам).
Trojan Killer
Это программа не защитит вас в режиме реального времени, но зато она не займет много места на смартфоне и мастерски справляется с самыми опасными вилами вредоносных кодов.
Ручное удаление троянского ПО
Если при повторном сканировании после очистки телефона вы снова обнаружили троян, то необходимо запомнить его местоположение для удаления вручную. В этом случае операцию, как удалить троян с телефона, можно выполнить двумя способами.
Используем файловый менеджер
В этом случае вам потребуется скачать ES Проводник, который отображает скрытые файлы. После его установки необходимо выбрать инструкцию в соответствии с местом расположения трояна:
После ручного удаления, проверьте состояние телефона антивирусной утилитой. Это позволит избавиться от дополнительных уязвимостей.
Как удалить троян с телефона с помощью компьютера
После завершения работы, перезагрузите смартфон и снова проверьте его антивирусной утилитой. В большинстве случаев вы избавитесь от вируса.
Что делать, если троян не удаляется?
Если все ваши усилия не привели к успеху, то решить проблему, как удалить троян с телефона Андроида, можно при помощи крайних мер. Важные фото и видео сохраните на облачном диске (если среди них не скрыт вирус), а затем используйте последовательно – сброс настроек и перепрошивку, если первый метод не помог.
Сброс настроек
Жесткий сброс можно сделать через обычное или системное меню.
Перепрошивка
Если все описанные выше способы не помогли, то помочь вам может только перепрошивка устройства. Людям, которые не знакомы с этой процедурой, лучше всего обращаться для проведения смены прошивки в сервисные центры или к более опытным пользователям. Если в процессе смены ПО что-то пойдет не так, ваш смартфон превратиться в бесполезный кусок пластика.
Это все способы, как удалить трояна с Андроида. Если вы знаете другие методы решения этой проблемы, поделитесь с нами в комментариях. Эта статья может быть полезна вашим друзьям, поделитесь ею с ними.
Иногда, при обычном использовании программ пользователь сталкивается с непредвиденными трудностями. В некоторых случаях это всплывающие окна о возможной угрозе со стороны сторонних файлов. Данный материал расскажет об опасном семействе вирусов «HEUR: Trojan», о которых часто сигнализирует Сбербанк Онлайн. Мы покажем как удалить зловреды Andro >
Что это за вирусы?
Семейство HEUR: Trojan – наиболее опасное из современных вирусов на Андроид, iOS и Windows, которое отличается расширенным функционалом, глубоким проникновением, а значит — увеличенным уровнем угрозы для пользователя.
Данные зловреды пробираются в системные файлы смартфона или PC, клонируясь с небывалой скоростью, также может маскироваться под обычные файлы, процессы и безобидные приложения.
К сожалению, ввиду эволюции вредоносного ПО не всегда антивирусы могут предупредить владельца об угрозе скачиваемого файла или посещаемой страницы, что и обуславливает распространение подобной «инфекции». Современные системы защищены правами Администратора, однако и этот момент вирусы способны обходить.
Из популярных «возможностей» HEUR:Trojan выделяют:
Звучит довольно ужасающе, не правда ли? Радует одно – эту вариацию вируса уже распознаёт большинство антивирусных программ Kaspersky, ESET, Dr.WEB, NOD, AVAST и другие.
Защита Сбербанк Онлайн, к примеру, уже при входе в систему идентифицирует попытку проникновения, предлагая удалить вирус. Однако, радоваться раньше времени не стоит – такое удаление не приведёт к полному уничтожению вируса.
Если говорить, про возможные причины появления зловредов, то здесь всё просто – банальная неосторожность в сети:
Из популярных вариаций HEUR:Trojan выделяют:
Также существует тип Win32.Generic – это файл, находящийся под подозрением вирусной системы. К такому типу могут относится даже официальные приложения, в коде которых обнаружены отслеживающие или перехватывающие информацию скрипты.
Как удалить HEUR:Trojan.AndroidOS и подобные ему?
Базового предложения «Удалить» от того же Сбербанка, как уже упоминалось, недостаточно — но не стоит переживать о сложности проводимых манипуляций. Для решения проблемы подойдёт стандартные сканеры от Dr.Web, AVG или Kaspersky. Версии этих программ есть как для ПК, так и для мобильных OS.
Следуем простейшим инструкциям:
Активируйте опцию защиты в Маркете
Далее – просто выбираем «Удалить» для всех подозрительных пунктов. Это более эффективно, нежели «Лечить» файлы, так как вирус может успеть распространиться в другие отсеки системы. Если в доступе вам отказано, тогда:
Рекомендуем вам более скептически относится к «бесплатным» версиям оригинальных приложений. Лучше потратить несколько долларов и купить «лицензию», нежели потом потратить десятки из-за действия вредоносных утилит, отправки платных SMS. Также после удаления рекомендую обновить пароли, включите двойную аутентификацию.
Если у вас возникли сложности, с угрозами типа Andro >
Кот в мешке: рекламное ПО в смартфонах
В нашу службу поддержки все чаще приходят запросы, в которых пользователи жалуются на неизвестно откуда взявшуюся назойливую рекламу в своих смартфонах. В одних случаях решить проблему довольно просто. В других случаях задача по удалению рекламы оказывается гораздо сложнее: рекламная программа помещает себя в системный раздел, и попытки избавиться от нее могут привести к выходу устройства из строя. Кроме того, реклама может быть встроена в неудаляемые системные приложения и библиотеки на уровне кода. По нашим данным, 14,8% всех пользователей, атакованных каким-либо вредоносным или рекламным ПО за год, имеют дело именно с заражением системного раздела.
Почему так происходит? Мы наблюдаем две основных стратегии внедрения на устройство неудаляемой рекламы:
Модель безопасности ОС Android предполагает, что антивирус — обычное приложение, а потому, оставаясь в рамках этой концепции, он физически ничего не может сделать с рекламным или вредоносным ПО, расположившимся в системных директориях. Это делает такое ПО проблемой, даже если речь идет лишь о рекламных программах. Стоящие за ними злоумышленники не гнушаются рекламировать (а по сути — принудительно устанавливать) практически все, за что им заплатят деньги. В итоге на устройстве пользователя могут оказаться любые вредоносные приложения, например такие, как CookieStealer.
Как правило, доля тех, кто столкнулся с таким рекламным ПО, составляет 1–5% от общего количества пользователей наших защитных решений (в зависимости от конкретного бренда). В основном это владельцы смартфонов и планшетов определенных брендов из нижнего ценового сегмента. Однако у некоторых популярных производителей, предлагающих недорогие устройства, этот показатель может доходить до 27%.
Процент пользователей, столкнувшихся с вредоносным или рекламным ПО в системных разделах, от общего количества пользователей продуктов «Лаборатории Касперского» в стране май 2019 — май 2020 г.
Кто там?
Среди наиболее распространенных примеров вредоносного ПО, устанавливаемого в системный раздел смартфона, — троянцы Lezok и Triada. Второй примечателен тем, что рекламный код был встроен не куда-нибудь, а прямо в libandroid_runtime — ключевую библиотеку, которая используется практически всеми приложениями на устройстве. Несмотря на то, что эти угрозы были выявлены несколько лет назад, пользователи продолжают сталкиваться с ними.
Но Lezok и Triada — это только верхушка айсберга. Далее мы расскажем, с чем еще сталкиваются пользователи сегодня и в каких системных приложениях мы встречали «дополнительный» код.
Trojan-Dropper.AndroidOS.Agent.pe
Этот обфусцированный троянец обычно прячется в приложении, которое отвечает за графический интерфейс системы, или в утилите настроек, без которых смартфон неработоспособен. Зловред выгружает из своих ресурсов полезную нагрузку, которая, в свою очередь, может скачивать и запускать на устройстве произвольные файлы.
Функции из полезной нагрузки Trojan-Dropper.AndroidOS.Agent.pe
Интересное наблюдение: в некоторых случаях полезная нагрузка отсутствует, и троянец не может выполнить свою задачу.
Trojan.AndroidOS.Sivu.c
Троянец Sivu представляет собой дроппер, маскирующийся под приложение HTMLViewer. Зловред состоит из двух модулей и может использовать root-права на устройстве. Первый модуль имеет функции показа рекламы поверх других окон, а также в уведомлениях.
Троянец проверяет, можно ли показать рекламу поверх выведенного на экран приложения
Второй модуль является бэкдором для удаленного управления смартфоном. Среди его возможностей есть функции по установке, удалению и запуску приложений, что может быть использовано для скрытой установки как легитимных приложений, так и вредоносных, — все зависит от целей, преследуемых его хозяином.
Загрузка, установка и запуск приложений
AdWare.AndroidOS.Plague.f
Это рекламное приложение прикидывается системным сервисом и называет себя Android Services (com.android.syscore). Без ведома пользователя оно может скачивать и устанавливать приложения, а также демонстрировать рекламу в уведомлениях.
Незаметная установка приложений после выключения экрана
Кроме этого, Plague.f может показывать рекламу в SYSTEM_ALERT_WINDOW — всплывающем окне поверх всех приложений.
Trojan.AndroidOS.Agent.pac
Agent.pac может выдавать себя за приложение CIT TEST, предназначенное для проверки правильности функционирования компонентов устройства. Позволяет по команде от C&C запускать приложения, открывать URL (также получаемые от командного сервера), скачивать и запускать произвольные DEX-файлы, устанавливать и удалять приложения, показывать уведомления, запускать сервисы.
Запуск загруженного DEX-файла
Trojan-Dropper.AndroidOS.Penguin.e
Этот троянец-дроппер скрывается в приложении под названием STS, которое не имеет никаких функций, кроме отображения рекламы. Загружаемый код обфусцирован. Умеет показывать Toast Window; в данном контексте это аналог SYSTEM_ALERT_WINDOW — окно поверх всех приложений.
Также умеет загружать и запускать код.
ToastWindow и запуск стороннего кода
Trojan-Downloader.AndroidOS.Necro.d
В отличие от предыдущих троянцев, Necro.d представляет собой нативную библиотеку, расположенную в системной директории. Его запуск встроен в другую системную библиотеку — libandroid_servers.so, отвечающую за работу сервисов Android.
Запуск троянца
По команде управляющего сервера Necro.d может скачивать, устанавливать, удалять и запускать приложения. Помимо этого, разработчики решили оставить себе бэкдор для выполнения произвольных shell-команд.
Выполнение полученных команд
Также Necro.d может скачивать пакет получения прав суперпользователя kingroot — видимо, чтобы система безопасности ОС не путалась под ногами при доставке «крайне нужного» пользователю контента.
Скачивание Kingroot
Trojan-Downloader.AndroidOS.Facmod.a
Зловред Facmod.a мы встречали в приложениях, без которых нормальное функционирование смартфона невозможно: Settings, Factory Mode, SystemUI. Нам попадались устройства, на которых в SystemUI было встроено сразу два вредоносных модуля.
Расшифровка адреса C&C
Первый — com.android.systemui.assis — может получать с сервера ufz.doesxyz[.]com адрес для загрузки произвольного кода с названием DynamicPack, затем скачивать и запускать его:
Скачивание и запуск стороннего кода
Второй модуль — com.cash — загружает полезную нагрузку из зашифрованного файла в ресурсах приложения. Полезная нагрузка решает обычные для такого рода угроз задачи по установке и запуску приложений:
Незаметная установка приложений
Кроме этого, у Facmod.a есть функции для периодического запуска браузера и открытия в нем страницы с рекламой.
Trojan-Dropper.AndroidOS.Guerrilla.i
Троянец Guerrilla.i встречается в системном приложении Launcher, которое отвечает за функционирование «рабочего стола» смартфона. Задачи троянца — периодический показ рекламы и открытие рекламных страниц в браузере. Конфигурационный файл Guerrilla.i получает после обращения по адресу htapi.getapiv8[.]com/api.php?rq=plug. В том же файле может содержаться и адрес для загрузки дополнительного модуля, расширяющего функциональность.
Trojan-Dropper.AndroidOS.Guerrilla.i, периодический показ рекламы
Trojan-Dropper.AndroidOS.Virtualinst.c
Этот дроппер может скрываться в приложении Theme (com.nbc.willcloud.themestore). Возможности Virtualinst.c не отличаются оригинальностью: скачивание, установка и запуск приложений без ведома пользователя.
Trojan-Dropper.AndroidOS.Virtualinst.c, установка приложений
AdWare.AndroidOS.Secretad.c
Еще одно рекламное ПО, которое мы обнаружили, было встроено в каталог обоев для рабочего стола. Полезная нагрузка Secretad.c содержится в файле kgallery.c1ass. Она распаковывается и запускается, например, по событиям включения экрана или установки приложений:
Распаковка полезной нагрузки
Secretad.c может демонстрировать рекламу в полноэкранном режиме, открывать нужную страницу в браузере или запускать само рекламируемое приложение. Как и многие другие рекламные программы, Secretad.c может устанавливать приложения незаметно от пользователя.
Скрытая установка приложений
Кроме того, в приложении есть еще один рекламный модуль:
Его полезная нагрузка зашифрована в файле assets/1498203975110.dat. В результате ее работы, например, может неожиданно открыться страница рекламируемого приложения в Google Play, запуститься какое-нибудь из установленных приложений, или откроется браузер.
Реклама от производителя
Существуют смартфоны с рекламными модулями, предустановленными самими производителями. Некоторые вендоры честно говорят о том, что встраивают рекламу в оболочки своих смартфонов, но одни при этом оставляют возможность отключать ее отображение, а другие, напротив, не дают такой возможности и называют свой подход бизнес-моделью, позволяющей снизить стоимость устройства для конечного пользователя.
При этом пользователю, как правило, не предоставляется выбор: купить устройство за полную цену или же чуть подешевле, но с пожизненной рекламой. Более того, ни в одном магазине электроники мы не увидели заметного и понятного предупреждения, что после покупки телефона пользователя будут заставлять смотреть рекламу. Иными словами, покупатели могут и не подозревать, что за собственные деньги покупают себе рекламный билборд.
Meizu
В Meizu не скрывают, что показывают рекламу в своих приложениях. Она довольно ненавязчивая, и ее даже можно выключить в настройках. Однако в предустановленном приложении AppStore (c4296581148a1a1a008f233d75f71821) мы выявили «скрытую рекламу»: она способна загружаться незаметно и отображаться в невидимых окнах (обычно такой подход используют для накрутки показов), расходуя трафик и заряд батареи:
Незаметная загрузка рекламы
Но это еще не все. Приложение может загружать сторонний JavaScript-код и выполнять его:
Загрузка и выполнение JS-кода
Кроме этого, предустановленный магазин приложений AppStore может отключать звук, получать доступ к SMS, копировать их содержимое и вставлять его в загруженные страницы.
Чтение SMS и использование их содержимого в веб-странице
Такой подход часто используется в откровенно вредоносных приложениях, служащих для оформления платных подписок без ведома пользователя. Остается верить в порядочность организаций, управляющих рекламным модулем, и надеяться, что доступ к нему не получат третьи лица.
Но AppStore — не единственное подозрительное приложение в аппаратах Meizu. Мы обнаружили, что Meizu Music (com.meizu.media.music 19e481d60c139af3d9881927a213ed88) содержит зашифрованный исполняемый файл, служащий для загрузки и исполнения некого Ginkgo SDK:
Скачивание Ginkgo SDK
О задачах этого SDK можно только догадываться: устройства Meizu далеко не всегда скачивают его, и нам не удалось получить актуальную версию. Однако те версии Ginkgo SDK, которые попадали нам из других источников, занимаются показом рекламы и установкой приложений без ведома пользователя.
Приложение com.vlife.mxlock.wallpaper (04fe069d7d638d55c796d7ec7ed794a6) также содержит зашифрованный исполняемый файл и в конечном итоге несет стандартные для «серых» рекламных модулей функции, в том числе и возможность скрытой установки приложений.
Скрытая установка приложений
Мы обращались в Meizu по поводу вышеперечисленных находок, однако ответа так и не получили.
Fotabinder
Помимо сомнительных файлов в устройствах конкретного вендора, мы обнаружили проблему, затрагивающую огромное количество смартфонов. В памяти многих устройств файл /bin/fotabinder (3fdd84b7136d5871afd170ab6dfde6ca), который может скачивать файлы на устройства пользователей и выполнять на них код, полученный от одного из удаленных серверов: adsunflower[.]com, adfuture[.]cn или mayitek[.]com
Скорее всего, данный файл является частью системы обновления или тестирования, но зашифрованные адреса C&C и функции, способные предоставить удаленный доступ к устройству, заставляют насторожиться.
И что все это значит?
Рассмотренные нами примеры демонстрируют, что фокус некоторых поставщиков мобильных устройств может быть смещен в сторону максимизации прибыли за счет всевозможных рекламных инструментов. Даже если эти инструменты причиняют определенные неудобства владельцу устройства. Если рекламные сети готовы платить деньги за просмотры, клики и установки, невзирая на их источник, у производителей появляется соблазн внедрять рекламные модули в устройства в принудительном порядке — это увеличит прибыль с каждого проданного устройства.
К сожалению, если пользователь приобрел устройство с такой предустановленной «рекламой», гарантированно удалить ее без риска повреждения системы зачастую невозможно. Остается надеяться на энтузиастов, создающих альтернативные прошивки для устройств. Но нужно понимать, что перепрошивка может привести к потере гарантии и даже вывести устройство из строя.
В случае же с теми рекламными модулями, которые пока не сделали ничего вредоносного, пользователю остается лишь надеяться, что разработчики случайно, сами того не подозревая, не добавят рекламу из какой-нибудь вредоносной партнерской сети.