Комментарии 50
Почему-то в случае с "Флаем" помогал возврат к заводской прошивке и отключение программы автоматического обновления. Но почему-то стоило подключиться к wi-fi мосметро как загрузка мусора снова начинала работать.
Многое зависит от того, в какой модуль вшит "подарочек". Собственно, обновление прошивки часто и отвечает за подгрузку всякого интересного.
Обнаружить-то вредоносную деятельность антивирус может, а вот удалить трояна - нет, за отсутствием доступа. Права на чтение системных файлов у АВ есть.
Вы, с одной стороны, пишете, что эта активность была обнаружена антивирусом, с другой стороны - что они "прячутся" от антивируса.
Каким же именно антивирусом из существующих эту активность можно обнаружить?
В моем конкретном случае это была бесплатная версия Dr.Web для Android (не реклама) :)
В мобильных антивирусах используются примерно такие же технологии, как в антивирусах под Windows. Есть сигнатурный детект - если сигнатура трояна отсутствует в базах, ативирус его "не увидит". Есть подобие эвристики, поведенческого анализа, причем последний в Андроиде (теоретически) работает намного эффективнее, чем в Винде: приложения тут исполняются в песочнице, и "свободы действий" у них по определению намного меньше, чем у PE/EXE. В том же "докторе", например, использовалась технология Origin Tracing, которая позволяла детектить неизвестные антивирусу угрозы по набору ключевых формальных признаков.
брал я трубку, за 2,5к пару лет назад, с вишком. это нечто. из антивирусов использовал касперского, доктора веба, нода, аваст, авира - ни один не нашел. поставил сбер -ааа у тебя пять вирусов. слил дамп, нарезал, выкинул нафиг вирусы, прошелся потер обманки (патченый антуту итп для завышения характеристик). а так нормальный тормозной телефон с 512 оперативы, 2 гигами флеша (из них 700 доступно), на киткате. Заявлено было, и показывалось софтом 3072/32/нуга. Про экран это вообще эпик. В общем после перезалива систем, ресета он упал на полку на пару лет, а когда понадобился издох через неделю (не батарея).
А Антивирус Сбера разве не "касперовский" движок использует?
Случается такое и с полезными приложениями, так, например, в одном планшете, где андроид ещё старше, в прошивке имеется виджет, показывающий погоду в Шенчжене. И того сервера, к которому он обращается, давно нет.
Это потому, что древние трои под Андроид еще не освоили алгоритм DGA. Современные, говорят, умеют.
А чего там уметь то?
Мешаем 10K раз текущие год-неделя и/или год-месяц, ну и только год с каким-нибудь секретом и "семечками", всё это в строчку по основанию 36 и получаем кучу доменов видаrmncxhceao.tld. Аппараты будут пробовать стучаться по всем 10K доменам, а ботоводу нужно создать из тех вариантов только 1 для года, 1 для года-месяца, чтобы отдать "команду".
Ну или ещё один для года-неделя, если сильно срочно надо или там увезти или "поднагрузить" чуть-чуть уже проданную бот-сеть нужно.
Есть и много хитрее алгоритмы, но мы тут не будем скрипт-киддис обучать.
Вопрос только в том, известна ли конкретная реализация DGA (расковыряли ли то всё уже или ещё нет), чтобы проверить какой-либо трафик. Заблокировать же это всё, да ещё и на месяц/другой вперед - много сложнее (и дороже). Можно конечно просто прикинуться "аппаратом" и искать те домены каждый день и абузить сразу по созданию, однако пока найдем, пока залочим...
Да можно лочить хоть до бесконечности: некоторые регистраторы позволяют зарегистрировать домен сразу, а оплачивать через 30 дней, чем и пользуются ботоводы, регистрируя новый C&C раз в пару недель... Иногда работают 5-6 одновременно, и бот стучится туда по очереди, работая с тем управляющим сервером, от которого первым получит валидный ответ.
Гораздо выгоднее при таком раскладе засинкхолить C&С ,) При удачном раскладе можно даже перехватить управление ботнетом, если хитрый ботовод на такой случай "стоп-кран" не прикрутил.
Несколько лет назад купил телефон Microbit. Через три месяца после покупки активизировался троян с рекламой, уведомлениями, и прочим. Через No root firewall удалось блокировать всю эту фигню, и пользоваться телефоном. А через год вспухла батарея и сдохла.
В приципе телефон стоил буквально пару тысяч рублей, и имел вполне нормальные характеристики на тот момент (автофокуса только не хватало), из-за чего возник философский вопрос. Стоит ли покупать нормальный телефон за условные >10 тыс рублей, который сдохнет (или разобьется) за три года, или просто каждый год покупать очедного китайчика.
Причем нормальных телефонов не лопат с экраном меньше 6 дюймов на тот момент уже сложно было найти в продаже за адекватную цену.
Я бы ещё про экологию подумал в таких случаях. Каждый год по телефону это очень много мусора, что, кроме прочего - копейка в копилку долговечных решений.
Вы так говорите, будто поддоны от черри/салатов/сыра-в-нарезке/etc дают за год меньше мусора, чем смартфон!
Сам, по образованию, инженер-эколог, и каждый раз прикладываю ладонь к лицу, встречая упоминание мусора от миниатюрной электроники, служащей пару лет. Безусловно, проблема имеет место, но куда значимее проблема тары и упаковки товаров повседневного потребления. Это как критиковать одноразовые палочки для еды (делаемые, между прочим, в основном, из легковозобновляемого бамбука), но при этом пользоваться туалетной бумагой (делаемой, между прочим, в основном, из более традиционной и трудновозобновляемой древесины), или запрещать трубочки для напитков (я их за год, хорошо, если штук пять использую), но сохранять трудноперерабатываемые одноразовые стаканы для тех же напитков (а вот их, увы, я несколько десятков в год использую, при том, что всегда ношу с собой термокружку, и где возможно, пользуюсь ей).
Что лучше и что хуже вопрос более сложный, дискуссионный. Электронику и транспортировать надо издалека, в отличие от упаковки, и утилизировать сложнее, а на практике почти невозможно. Ладно если батарейку отделят и не выкинут в общую мусорку.
Но вашу идею «есть и более важные проблемы» я понял.
При этом наличие более важных проблем не принижает обсуждаемую проблему. По аналогии проблема голодающих детей в Африке не уменьшает проблематичности прыща на моём лбу конкретно для меня.
Вопрос врелительства стал очень актуальным в эпоху безрассудного потребления. Горы пластика, резины, и тех же батарей это прямая угроза как жизни человека так и остальным живым существам. Но только вот экологи ни как не могут подвинуть бизнес чтобы начать действовать.
А что делает этот No root firewall? Многие тут про него говорят.
> троян сидел в прошивке, к которой антивирусное ПО не имеет доступа, если аппарат, конечно, не рутован.
если правильно помню на sim card размещен процессор со своей os, там sw управляющее в частности периодическим сбросом информации на сервер, в этом случае даже с root на cpu что-либо сделать с sim card будет затруднительно
На сим-карту — может засунуть хозяин "Джамшута у метро". Я так думаю.
> Осталось только понять, каким образом производитель телефона
это конечно, если уверены что именно производитель, про скачивание данных под управлением sim card типа дело известное, вообще интересно было бы разобраться, смотрите любая связь с мачтой для передачи данных через канал provider делается, не совсем понятно когда именно информация уходит с телефона - когда звоните, или периодически как с sim card, типа начал бы с этого
ps
мне кажется надо поймать как signaling работает для сброса информации на сервер производителя, подходящий момент это установка соединения при обычном звонке, если она перехвачена, то можно создать канал для сброса данных по нужному адресу, по идее log провайдера должен показывать установку паразитного канала через свой soft switch или как у них там устроено, может позвонить в support провайдера и спросить что они видят
подходящий момент это установка соединения при обычном звонке, если она перехвачена, то можно создать канал для сброса данных по нужному адресу
А по какому каналу можно установить соединение при звонке?
имеется в виду что можно перехватить информацию для provider authentication, и использовать для создания отдельного паразитного для данных которые уже пойдут на сервер производителя, используя его ip или domain name, как на самом деле разумеется можно только предполагать, но создание паразитного канала не связанного с передачей голоса, по идее должно фиксироваться провайдером, и если знать время и окончание его существования, то может стать понятнее кто именно сбрасывает данные, sw производителя или sim card (my 2¢)
Осталось только понять, каким образом производитель телефона что-то засунет в мою сим-картуВидимо комментатор выше имел ввиду радио-модем, он же сигнальный процессор. Который достаточно мощный, чтобы крутить там троянцев (как правило, ARM-ядро с меньшей частотой, чем основные), имеет закрытую ОС, и на которую практически невозможно влиять из OS Android, даже с root-правами. Она же, в свою очередь, имеет доступ ко всей памяти Android и может делать что угодно. И кастомов на него не бывает в силу полной закрытости.
ДА ладно хакеры, броллеры и т.д. Сейчас официальный телефон покупаешь надо час весь мусор сносить через ADB и блокировать доступ, отключать обновления иначе все снова активируется.
НА последнем Redmi 9c для бабушки, сразу удалил 85 приложений. Ну и конечно "No root firewall" must have, пусть лучше что то нужное не запуститься лишний раз.
Продукцию Xiaomi я рассматриваю к покупке лишь с перспективой сразу же снести родную систему и поставить кастом.
Почему же? В 2019 ещё были в продаже Xiaomi Mi A3, которые Android One, т.е. операционка как есть от Гугла, без блоатвари. Никакой рекламы, летал просто телефон. Но их вскоре перестали производить, и теперь Android One - это, в основном, Нокиа с неудачно посаженными аппаратными кнопками и смешными CPU/RAM.
Проще сразу кастом накатить, уж больно много мусора.
Из кнопочных телефонов их выковырять гораздо сложнее. Инструментов кот наплакал, приходится буквально реверсить файлы в отладчике.
Samsung S10, из Гонконга, покупал запечатанный. Установил NoRoot firewall и поразился бурной сетевой активности приложений и самого андроида.
Посоветуйте ресурс \ подход какая активность OK, а какую сразу блокировать?
У меня одного ощущение, что это повторение более старой статьи с одним дополнением?
По-хорошему, надо было бы закупать в Китае "сырье", и прошивать его самим.
Вопрос скорее всего упирается в конкурентноспособность подобного решения (раз уж тамошние "шуадзи" предлагают свои услуги ниже себестоимости)
Вмешаться может конечно регулятор, введя запрет на импорт "непроверенного" firmware, но это уж слишком радикальные меры, да и вряд ли кому-то это сильно надо
Зная наших уважаемых китайских партнеров и их повадки, велика вероятность, что купив партию шуадзи для прошивки в России, вы получите полтора вагона трубок, половина из которых окажется неисправной. А в ответ на рекламацию вам скажут, что "виноватая лаовай, заливай негодный прошивка, никакой возврат, никакой рефанд".
Да и неохота нашим перекупам доплачивать за разработку и заливку прошивки, если можно купить готовые телефоны по низкой цене, на которых уже все работает "из коробки".
Охота на бройлеров. Как работают китайские телефонные хакеры