Троян из коробки
Привет, Пикабу!
Случилась у меня около месяца назад казавшаяся всё это время приятной покупка - смартфон Ph***ps V377. Брался новый девайс в салоне одного крупного ритейлера за свою энергичность - нажористая батарея на 5000 мАч была самым главным аргументом при покупке.
Камрад в черной гимнастерке с красной полосой по периметру, напоминающей о коммунистическом рае, откуда прибыл сей девайс, трудился неделями напролёт, не требуя близкого контакта с любимой многими капиталистическими девайсами розеткой. Сотни прослушанных песен, видео на ютубе, еждневная доза "горячего" по пути на работу и домой, постоянные заметки в синхронизирующемся каждые 15 минут Evernote, чаты в WhatsApp - всё это чудом китайской промышленности делалось без намёка на усталость.
За весь месяц девайс заряжался 2-3 раза. Не ведал бы я несчастья, если бы не начавшаяся пару дней назад НЕХ...
Лолчто? Реклама? На моём девайсе? Откуда?
Не став проводить расследование, даже не собрав улики, я сразу же поставил к стенке главных подозреваемых - соотечественников самого девайса: Cl*an Ma**er и E*S Exp**rer. Эти товарищи исправно делали свою работу: чистили кэш да позволяли кидаться файлами по FTP и в облако. Но они знали слишком много, уж больно бесплатный был у них сыр, а постустановочная навязчивость первого подозреваемого хоть и была поправима, но еще тогда казалась необоснованной - его приговор я и привёл в действие в первую очередь.
Расправившись с предполагаемыми нарушителями спокойствия, я забыл про девайс и вернулся к работе, хотя и испытывал некоторое сожаление по поводу второй жертвы - софт действительно кошерный, и на планшете с CyanogenMod такого рода проблем не возникало.
Стоит сделать отступление и заметить, что непроверенным софтом я не увлекаюсь. Самый подозрительный софт, побывавший на девайсе - это указанные выше ребята, а чекбокс "Неизвестные источники" подобно красной кнопке ждёт своего часа на протяжении всей вахты, ибо один маркет, один аккаунт, одна платформа.
Взяв телефон спустя некоторое время, я почувствовал не очень приятное тепло пониже пояса
o_O
Главные подозреваемые отправились в Вальгаллу, так что же это за [Роскомнадзор]?
Прикинув, что код может продолжить исполняться даже после удаления пакета с приложением, оставшись висеть в памяти, чем непременно захочет воспользоваться разработчик подобного рода AdWare, я воспользовался дедовским способом - перезагрузив девайс. Сказано - сделано.
Вспомнив, что еще с утра нужно было составить депешу одному господину, я открыл ВК...
К горлу подступил комок.
Странно, не похоже на маркетинг, ведь на телефоне я не играю в принципе, на девайсе игорь тонет. Похоже, кто-то просто показывает всё подряд - с таргетингом рекламы даже не заморачиваются. А уж учитывая, что её показывают и в других приложениях - дело попахивает AdWare-троянцем.
И тут я решил поискать улики, т.к. вспомнил, что рекламные SDK как правило кэшируют ресурсы: изображения, видео. В первую очередь было решено проверить системный Ph***ps Lau**her:
One shot - one hit, БИНГО!
Закэшированная иконка из рекламы, главный подозреваемый найден!
Подожди-ка... Лончер? Из коробки? Главный подозреваемый? Но ведь целый месяц такой [Роскомнадзор] не было, ничего не устанавливалось, [Роскомнадзор]-сайты на телефоне не посещал. Откуда?
А может троян уже был на девайсе изначально и всё это время просто "спал"?
О'кей, Google. "Ph***ps La***her реклама".
И тут-то многоходовочка раскрылась - на первой же странице выдачи есть ссылка на портал D*r. W*b, где есть описание этого троянского коня со всеми симптомами, а главное - причиной. Android.Cooee.1 попадает на девайс еще на заводе!
Да да, мой друг, это самый настоящий троян из коробки!
Как следует из его описания, он действительно спит после первого запуска устройства и рассчитывает, что когда он проснётся и начнет показывать рекламу, пользователь свалит вину на другие, установленные вручную приложения (прям как я сначала :)
А знаешь, что самое обидное?
Коротко про эффективность антивирусов:
Можно ли избавиться от непрошенного гостя? Да, и есть два способа:
1. Получаем root и вручную проводим экстерминатус
2. Загружаем OTA-обновление, которое эту "маленькую" оплошность "исправляет" (кто знает...)
Помоги Даше узнать, каким способом воспользуется большинство "счастливых" обладателей сего девайса, неискушенных ковырянием в рутованном Android?
Молодец!
Давай проведем OTA-обновление!
65 Мб? С нашим-то интернетом за минуту управимся!
Приступим!
Прошло 5 минут...
Прошло 10 минут...
Прошло больше 15 минут...
Похоже, их сервер на электронной книжке крутится, прям как в той цитате с баша.
Вместо заключения.
Буду ли я вручную чистить девайс? Нет.
Я хотел бы обратиться к знающим людям с пикабу, которые возможно сталкивались с подобного рода программными "дефектами": можно ли отдать девайс в СЦ для устранения "дефекта"? А лучше, есть ли возможность в принципе вернуть деньги за устройство? Вообще больше не собираюсь сталкиваться с устройствами, на которые нет возможности накатить стабильный релиз CyanogenMod, ибо вот такое отношение производителей и отсутствие обновлений даже для флагманов у других брендов - просто отвратительно, хоть сам по себе андроид и отличная ОСь.
Не плюсов ради, а предостережения для. Комментарий для шпаломёта прилагается.