Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 11
Детали, сестра, детали. Надо ли для работы вируса давать ему "Install unknown apps" permission?
Да.
Once the app has been installed on the phone, the Agent Smith uses permissions given to it by users — and users often say yes to all permissions while installing an app — to modify its name to something that looks more «authentic» like Google Updater or Google Themes or something else with Google in it.
Какие антивирусы могут определить наличие этого зловреда в системе, а в идеале удалить его? Подозревю, что у меня такая проблема, но перечисленных в статье программ у меня нет.
На днях чистил телефоны от «встроенных приложений», без рутирования через ADB.Взял новый телефон от Xi.....i и старый 2015 от Alco...l. В первом 286 приложений во втором 124.
Удалить даже через ADB дал только часть.
Куда уж вирусам до всех этих cloud, weather, note и т.д. и всем доступ ко всему подавай.
Когда уже страны пойдут по пути Южной Кореи.
Удалить даже через ADB дал только часть.
Куда уж вирусам до всех этих cloud, weather, note и т.д. и всем доступ ко всему подавай.
Когда уже страны пойдут по пути Южной Кореи.
К сожалению нюансы терминологии очень важны для данной статьи
Под Андроид нет вирусов. Ну вот вообще нет. Ни одного. Есть трояны. Их пользователь должен установить сам. Что собственно подтверждается текстом
Соответственно фраза
тоже неверна. Приложения не были заражены вирусом. Их намеренно создали зараженными (этож троян, он не самораспространяется) и намеренно разместили в магазине
А соответственно и роль разработчика меняется. Они не только создали вредоносный код. Но они видимо и создавали последовательно различные приложения с этим кодом и размещали их в магазине
Вирус Agent Smith заразил
Под Андроид нет вирусов. Ну вот вообще нет. Ни одного. Есть трояны. Их пользователь должен установить сам. Что собственно подтверждается текстом
После того, как жертва устанавливала мобильное приложение
Соответственно фраза
приложения, которые заражены упомянутым вредоносом, стали появляться в каталоге приложений
тоже неверна. Приложения не были заражены вирусом. Их намеренно создали зараженными (этож троян, он не самораспространяется) и намеренно разместили в магазине
А соответственно и роль разработчика меняется. Они не только создали вредоносный код. Но они видимо и создавали последовательно различные приложения с этим кодом и размещали их в магазине
Вирусность в том, что он заражает установленные на устройстве APK, а не просто ставит заражённые APK из каталога.
In the third phase, the core malware conducts attacks against each installed application on device which appears on its target list. The core malware quietly extracts a given innocent application’s APK file, patches it with extra malicious modules and finally abuses a further set of system vulnerabilities to silently swap the innocent version with a malicious one.
Вредоносная программа сканирует установленное на телефоне ПО в поисках приложений, для которых у нападающих есть дистрибутивы с полезной нагрузкой. Обнаружив их, Agent Smith связывается с командным сервером и загружает на устройство фальшивые обновления.отсюда
Чтобы обойти системы безопасности, злоумышленники используют уязвимость Janus, позволяющую внедрить сторонний скрипт в APK с действительным сертификатом безопасности.
Тоесть зараженные обновления заранее приготовлены, уязвимость используется для внедрения кода внутрь дистрибутива без нарушения подписи. На устройстве приложения по сути подменяются и для них выключаются обновления — чтобы не перекрылся вредоносный код
Я вам привёл цитату из первоисточника — из блога Check Point; а вы мне — из перевода пересказа.
Виноватый я. Пришел ответ. Мы оказывается уже писали об этом чуде. Соответственно версия от вирлаба
Android.InfectionAds.1 подключается к управляющему серверу и получает от него список программ, которые ему необходимо заразить. Если же соединиться с удаленным центром ему не удалось, он инфицирует приложения, которые указаны в его первоначальных настройках. В зависимости от модификации троянца этот список может содержать различные позиции
При заражении программ троянец добавляет свои компоненты в структуру apk-файлов, не изменяя их цифровую подпись. Затем он устанавливает модифицированные версии приложений вместо оригиналов. Поскольку из-за уязвимости цифровая подпись инфицированных файлов остается прежней, программы инсталлируются как их собственные обновления. При этом установка также выполняется с использованием уязвимости EvilParcel без участия пользователя. В результате атакованные программы продолжают нормально работать, но содержат в себе копию Android.InfectionAds.1, которая незаметно функционирует вместе с ними. При заражении приложений троянцу становятся доступны их данные. Например, при инфицировании WhatsApp ― переписка пользователя, а при инфицировании браузера ― сохраненные в нем логины и пароли.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Вирус Agent Smith заразил 25 миллионов устройств под управлением ОС Android