Вставить, вытащить, потрясти

    Года два назад я писал, что распространённый на ОС Windows метод вымогательства денег у пользователей с помощью блокировки рабочего стола, может перебросится и на ОС Android. Тогда это казалось не более чем предположением, но оказалось пророчеством.

    На текущий момент существуют сотни троянов блокирующих телефон своим всплывающим окном с требованием перевести злоумышленникам деньги.

    Некоторые вредоносные программы для усиления психологического эффекта фотографируют человека фронтальной камерой и помещают эту фотографию на свой экран, выполненный в виде постановления спец.служб. Например, так поступает Android.Locker.7.origin



    Ни перезагрузка аппарата, ни частое нажимание на аппаратные кнопки не помогают. Единственное, что возможно сделать неподготовленному человеку, это сбросить параметры телефона, восстановив заводские настройки.

    Мы в компании «Доктор Веб», в отделе разработки антивируса под ОС Android, задумались, как помочь людям?
    Решение лежало на поверхности — антивирус Dr.Web для Android при получении определённого сигнала может инициировать закрытие всех активных приложений, таким образом будет закрыт и троян-локер. После закрытия локера приложение Dr.Web выходит на передний план для проверки девайса на наличие угроз.

    Осталось найти этот самый определённый сигнал. Как оказалось, задача не самая простая. Разработчики совместно с юзабилистами составили критерий: сигнал должен быть от механических элементов девайса, т.к. экран пострадавшего заблокирован.

    Кандидаты
    Что всегда есть в телефоне на базе ОС Android?

    Кнопки изменения громкости.
    Как оказалось, сигнал при нажатии на кнопки громче-тише передаётся как изменение уровня громкости, и отследить продолжительность нажатия на клавишу затруднительно. Поэтому вариант «зажмите кнопку повышения громкости на 15 сек. и получите разблокированный телефон» отпадает.
    Гнездо наушников
    Да, система передаёт сигнал о появлении в системе наушников.
    Акселерометр
    Да, мы можем получить сигнал о изменении ускорения аппарата.
    Гнездо зарядки
    Да, возможно получить сигнал о появлении питания от сети.

    Попытка №1
    Как неглупые люди, для минимизации ложных срабатываний мы решили использовать сочетание сигналов.
    Для первой попытки мы выбрали комбинацию: «вставить-вытащить наушники и потрясти телефон».
    Почему именно эту комбинацию? Потому что наушники обычно есть у всех, и в таком случае разблокировать телефон можно быстро и просто.

    Приложение, чувствительное к такой комбинации, было собрано и отдано людям на тестирование.
    Фидбек не заставил себя ждать: неудобно, пропадает музыка, прерывается телефонный разговор, на экране появляется ваш антивирус.

    При разборе поведения людей мы выявили несколько вариантов поведения, при которых возникали ложные срабатывания:
    — люди идут по улице, слушают музыку через наушники. При поступлении входящего звонка, человек выдёргивает наушники из аппарата и начинает разговаривать по телефону, для этого он подносит аппарат к уху. Вместо разговора он увидит антивирус на экране.
    — люди втыкают наушники, запускают музыку и начинают пробежку. Музыка прерывается. Вместо плеера на экране антивирус.

    Попытка №2
    Став умнее, мы решили отказаться от наушников в пользу зарядки. Зарядкой человек пользуется реже наушников, думали мы. Комбинация стала выглядеть так: «вставить-вытащить зарядку и потрясти телефон».

    Приложение с такой комбинацией собрали и отдали людям на тест.
    Фидбек просто снёс нас шквалом негатива.

    Разбор:
    — USB-коннекторы делают очень плохо, они «дребезжат». Человек этого не замечает, но сигналы есть заряд, нет заряда в системе летят с частотой пулемёта.
    — человек любит играть, держа телефон на зарядке! Подключил телефон к сети и прыгнул на диван поиграть.
    — человек бросает телефон на стол после подключения к сети.
    — бесконтактные зарядки дребезжат чаще USB-коннекторов.
    — самый печальный опыт — это, конечно, поставить телефон на зарядку, открыть Карты Google и, поехав на машине, подпрыгнуть на первой же яме в дорожном покрытии и вместо карт узреть окно антивируса.

    Попытка №3
    Путём проб и ошибок мы пришли к третьей, финальной комбинации: зарядки, наушников и тряски.

    Такая комбинация оказалась наиболее устойчивой к ложным срабатываниям.

    И в таком виде существует и помогает миллионам пользователей антивируса Dr.Web для Android.
    Хотя должен отметить, когда советуешь пострадавшему выполнить такую комбинацию для снятия блокировки с телефона, человек всегда переспрашивает: «Вы не шутите?».

    Нет, пользуйтесь.

    Share post

    Similar posts

    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 49

      –5
      В ролике мухи на го… но налетели?
        +19
        А что надо делать чтобы поймать этот «троян»?
          +4
          Вы не представляете на что способны некоторые представители нашего вида! Мне как-то принесли планшет с вердиктом «тормозит» до невозможности забитый играми, приложениями и, всякими bloatware установленными с каких-то абсолютно левых источников. Когда я сказал что проще сделать сброс — попросили этого не делать «нам опять всё это ставить потом».
          +6
          А батареечку др.веб как кушает?
            +2
            clockwork куда удобнее и функциональнее, и не жрёт батарейку, и не копается в файлах пользователя.
              0
              Простите, вы про ClockworkMod?
                0
                Он самый.
                  +2
                  Тогда я не могу понять смысл вашего комментария. Лучше чего, доктора веба? Тогда получается все равно что сказать форд фокус лучше, чем механическая коробка передач. Лучше чем базовый Android? Ну, тут уж простите, на вкус и цвет, как говориться. Да и статья не об этом.
                    0
                    Смысл наверно в том, что через CWM можно удалять приложения, т. е. есть возможность разблокировки.
                      0
                      Нет никакого смысла сравнивать стороннее приложение с альтернативной прошивкой. Если речь идёт про рекавери, то это опять же совершенно иной подход, недоступный большинству «типичных» пользователей.
              +9
              Простите, в но заметке ничего не сказано про самый главный компонент этой каши из топора: про то, что на устройсте должен стоять софт от DrWeb. Причем, увы, непонятно какой — какой-то, который умеет ждать указанную комбинацию событий.

              Софт платный или бесплатный? Есть ли недорогая (лучше бесплатная) версия, которая только и делает, что разблокирует? Просто за столько лет жизни с самыми разными телефонами ничего «такого» я на них не ловил, посему покупать подписку на программу, которая даже на ПК (где батарея не проблема) особо радости не доставляет (внешне выглядит так, что антивирусы впечатлить юзера, иногда некстати вылезая и от чего-то «защищая») — на телефон как-то не хочется.

              И еще — неужели нельзя поставить в телефон агента, который смирно сидит, и ничего не делает, пока я его по USB не подключу к ПК, и не сделаю что-то этакое — либо подам через вашу программу команду на лечение по этому самому кабелю, либо не залью прям всю программу для лечения телефона?
                +1
                Если у вас на телефоне включена отладка по usb, то вы и так без всякого стороннего софта сможете убить это окно через android debug bridge. К сожалению, вариантов для стороннего приложения общаться с компом через usb в Android на сколько мне известно не предусмотрено.
                  +16
                  Если у вас на телефоне включена отладка по usb и вы умеете пользоваться adb, то скорее всего вам и удалять будет нечего.
                +7
                Он у вас что, на любое встряхивание реагирует? Почему просто нельзя было какой-то патерн с акселерометра потребовать? Типа перевернуть экраном вниз, потом вертикально, потом перевернуть вверх ногами ну и так далее. Ну или оттрясти какой-нибудь ритм (сигнал сос азбукой Морзе :) ). Очень неуклюже выглядят требования со всеми этими втыканиями-вытыканиями.
                  +5
                  В этом случае будет сильно кушаться батарейка, потому что процессор будет без остановки обрабатывать сигналы акселерометра. Да и точно настроить распознавание такого вот паттерна с малым процентом ложных срабатываний задача вовсе не тривиальная.
                    +8
                    Или такой: Взял телефон в руку, перекрестился и им. DrWeb запустился
                    +2
                    Все таки правильно Стив неподписанный код запрещал.
                      +17
                      Power
                      لُلُصّبُلُلصّبُررً ॣ ॣh ॣ ॣ
                      +10
                      Ни слова не сказано про то, как эта гадость проникает на телефон. Может лучше предотвратить, а не лечить постфактум?

                      Почему именно эту комбинацию? Потому что наушники обычно есть у всех

                      Это кто вам такое сказал?
                        +2
                        Любой зловред на Android устанавливается самим пользователем, устанавливающим не пойми что не пойми откуда.
                          0
                          Спасибо, как-то так и думал.
                          Софт с помоек обычно ставят, когда жаба душит за него платить. При этом нужен антивирус, который стоит $50. Что-то я профита не вижу. Воистину, скупой платит дважды, тупой трижды, а дурак всю жизнь :)
                            0
                            Да можно даже не платить, достаточно скачивать эти самые поломаные версии из доверенных источников. Форум 4pda, например не сочтите за рекламу. Хотя тут все таки появляется определенная доля риска.
                              –2
                              В жизни каждого мужчины наступает момент, когда чистые носки проще купить :)

                              А если серьезно, я и раньше покупал софт, но с появлением таких сервисов, как gog, steam, andrion market, google music, etc. лично я осознал, что вот вообще не хочу приплясывать с бубном, искать кряки и т.д. Пользоваться легальным стало проще и, самое главное, дешевле (если учесть, что время чего-то да стоит).

                              Остался последний бастион копирастического маразма — кино. Хотя, в последнее время стали заметны попытки производителей кино и сериалов включить мозги и впрыгнуть в уходящий поезд.
                                +1
                                С музыкой тоже не всё так хорошо. Google music не позволяет скачивать песни, flac не предоставляет, оплата только через карту. Зачем так жить.
                                  0
                                  Я не говорю, что все прекрасно. Но уже, по крайней мере, хорошо.

                                  >Google music не позволяет скачивать песни
                                  Зато позволяет закачивать :) И позволяет скачивать для прослушивания оффлайн. Конечно, хотелось бы просто скачать купленную музыку в нужном формате, но тут пока правоторговцы держат оборону, вы правы.

                                  >flac не предоставляет
                                  Он реально нужен, по делу, а не для понтов, полутора гикам которые имеют дорогую аппаратуру и уши, способные почувствовать разницу. Подавляющее большинство людей слушают музыку с телефона на улице и в метро в наушниках за $50, в лучшем случае. Но зачем-то эти странные люди качают flac (это не в ваш огород камень, я не знаю, что и на чем вы слушаете, я про явление как таковое).

                                  >оплата только через карту.
                                  Вот тут, если честно, претензии я не понимаю. Они принимают оплату деньгами. Я знаю, что существуют любители фантиков, типа вебманей, но сам к ним не отношусь и, более того, являюсь их противником (но это тема другой дискуссии, мы и так в оффтопике).
                                  А к криптовалютам пока больше вопросов…
                                    0
                                    По поводу looseless музыки, наблюдая за её любителями, мне кажется, что для них это сродни религии, а жизнь научила меня, что покуда верующие не доставляют тебе явных неудобств, с ними лучше не связываться. Это я к тому, что давайте не будем разводить тут сами знаете что.

                                    По поводу покупок согласен с вами, в целом всё движется в направлении удобной покупки контента, однако есть (и иногда значительные) косяки. Знаете, например, сколько на Google.Play книг Терри Пратчетта на русском языке? 2 и это даже не первые книги циклов.
                                      0
                                      Это я к тому, что давайте не будем разводить тут сами знаете что.

                                      Да я вроде и не пытался. Просто высказал свое мнение по этому поводу.

                                      Знаете, например, сколько на Google.Play книг Терри Пратчетта на русском языке?

                                      Вы правы, еще есть куда расти. Но если говорить исключительно про софт (о чем речь изначально шла), ситуация сегодня выглядит оченьдаже неплохо. Хотя она и неидеальна.
                                        0
                                        Знаете, например, сколько на Google.Play книг Терри Пратчетта на русском языке? 2 и это даже не первые книги циклов.

                                        Эээ, я 11 вижу. Что, впрочем, тоже далеко от полного собрания сочинений.
                                          0
                                          Я искал примерно год назад. Тогда было 2, что меня мягко говоря удивило.
                          0
                          Думаю вот такая комбинация более простая и не настолько уж популярная, что бы мешать: «нажатие громкости вниз» + «вставить зарядку», затем «вытащить зарядку».

                          Есть какая-нибудь статистика, основываясь на которой вы сознательно отказались от кнопок громкости?
                            0
                            Это я вам без всякой статистики скажу: телефон на зарядке играет музыку. Кабель разболтался, а вы решили сделать потише…
                            +1
                            А если наушники выкидываются куда подальше и есть рядом только bluetooth-версия, то мне др Веб не нужен?
                              0
                              Он вам не нужен если вы думаете что устанавливать на Ваш телефон. В этом случае вирусня просто не попадет к вам.
                              +1
                              Есть же комбинация «кнопка громкости вниз + power» = скриншот.
                              Почему бы не попробовать сделать «кнопку громкости вверх + power»?
                                0
                                События нажатия на кнопки обрабатываются самой системой, для приложений они недоступны. К тому же указанная Вами комбинация на многих телефонах служит для принудительной перезагрузки.
                                0
                                Удержание хардварной кнопки + фраза «ок, доктор». Только так защититесь от ложных срабатываний.
                                  0
                                  Разработчики вынуждены использовать те события, которые доступны в системе сторонним приложениям. К сожалению, события нажатия хардварных кнопок к ним не относятся. Даже для кнопок громкости это события изменения громкости, а не нажатия на кнопку. Ждать определенной фразы конечно безотказный вариант, но представте что будет с вашей батарейкой, если у вас в фоне будет постоянно висеть сервис, слушающий и обрабатывающий сигналы микрофона. Да и нужна библиотека распознования голоса.
                                  0
                                  Вниз, вверх, вниз, вниз, вверх, вверх? Можно ещё добавить, если этого мало.
                                  Где человек, идущий на улице, найдёт зарядку и наушники?
                                  И, самое главное, откуда такой софт появляется у пользователей? Конечно, вам выгодно говорить «ставьте Dr. Web», но, может, правильнее говорить «устанавливайте приложения только из Google Play»?
                                    +2
                                    Теперь остается ждать блокиратор экрана, который будет вырубать из памяти все остальные программы, в том числе антивирус.
                                      +4
                                      Лучший антивирус под Андроид установлен производителем и называется он выключенным состоянием опции «Неизвестные источники» в разделе Безопасность настроек ОС.
                                        0
                                        Всегда считал, что производители вирусов и антивирусов делят одну и ту же бизнес-нишу.
                                          0
                                          Часто еще и одно помещение (возможно, это и не про ДрВеб, но подобного плана «антивирусов» очень много).
                                          0
                                          image
                                            0
                                            Не всегда в нужный момент есть кабели под рукой. Ведь куда проще и надежнее на какую-то комбинацию нажатия клавиш задать действие. Например: выставить громкость на максимум, 5 раз нажать громкость -, 3 раза громкость +, 1 раз громкость -, потрясти телефон и уложиться в 10 секунд. И никаких кабелей не надо и ложные срабатывания маловероятны.
                                              0
                                              Вы были бы правы если бы в Android были события изменения громкости. Существует вариант отслеживать эти события, но он требует от приложения постоянно висеть в фоне, что неприемлемо.
                                                0
                                                Из статьи
                                                Кнопки изменения громкости.
                                                Как оказалось, сигнал при нажатии на кнопки громче-тише передаётся как изменение уровня громкости, и отследить продолжительность нажатия на клавишу затруднительно. Поэтому вариант «зажмите кнопку повышения громкости на 15 сек. и получите разблокированный телефон» отпадает.
                                                У меня сложилось впечатление, что изменение громкости — это широковещательное сообщение.
                                                  0
                                                  На сколько мне известно в Android нет широковещательного сообщения для события изменения громкости, так что открытым остаётся вопрос как вообще планировалось реализовать этот вариант.
                                              +2
                                              А вот скажите.

                                              Имеем стандартный встроенный андроидовский блокировщик, требующий ввести пароль или нарисовать паттерн по точкам. Телефон заблокирован, но на нём стоит этот ваш докторвеб.

                                              Теперь вы оставляете телефон на столе и идёте в сортир. Из-за соседнего стола вылазит Вася Пупкин, берёт ваш телефон, подключает и вынимает усб-зарядник от ноута, подключает и вынимает наушники, трясёт — и стандартный вполне легальный блокировщик тоже пропадает и вместо него появляется ваш антивирус, который достаточно просто закрыть, и можно читать переписку хозяина телефона и лазить по его файлам, а потом залочить и тихо и незаметно положить телефон на место? Или не так?
                                                0
                                                После закрытия доктора вы попадёте на андроидовский блокировщик.

                                              Only users with full accounts can post comments. Log in, please.