3346

Как «заразить» Android смартфон вредоносным ПО

Телефон принесли в сервис, уже наверное, третий за неделю с вирусом, который рассылается через смс с другого заражённого устройства, при этом также списываются деньги с карт. Удалив вредоносное приложение через безопасный режим, решил повторить те действия которые необходимо выполнить, что бы «заразить» устройство. У меня просто нет слов…

Дубликаты не найдены

+166

фото.apk, это прям как девид_гетта.exe. Как же я задолбался всем мозги вправлять с этим в своё время) Нестареющая классика) На фейспальм уже нет сил)

раскрыть ветку 12
+111

Винда по дефолту ещё и скрывает расширения имён.

Пользователям, мол, не обязательно знать, что у имён файлов есть расширения.

раскрыть ветку 11
+46

Ну, неопытный пользователь может расширение файла поменять вместе с названием.

раскрыть ветку 8
+20
Самый любопытный "лайфхак" для скрытия имени расширения, который я когда-либо видел - это поставить значок смены направления текста, который используется для арабских, кажется, шрифтов. Название файла вместо hackthebankgepj.exe становится hackthebankexe.jpeg , например
раскрыть ветку 1
+162

ребзя, это ж экранизация древней копипасты. странно, что её ещё никто не запостил:


Пару месяцев назад в очередной раз чистил знакомому телефон от вирусов, знакомый ныл о том, что ему пришла вирусная смска и его слабозащищенный самсунг не выдержал этой ужасной атаки.


"Может я что то не понимаю в этой жизни?" - подумал я, и уже почти успел забыть об этом случае, как вдруг сегодня днем мне пришла заветная смска загадочного содержания.

Имея в руках старый телефон я убедился насколько все таки слаба защита, поскольку для полного заражения моего телефона винлокером мне потребовалось сделать всего пару простых шагов:

1 Открываем смс

2 "Ваш браузер опера устарел, пожалуйста скачайте его обновления пожалуйста перейдите по данной ссылке"

3 Игнорируем факт отсутствия браузера "Опера" в системе, переходим по ссылке

4 "Напоминаем вам о том, что переход по ссылке может вызвать боль и страдание. Вы уверены что хотите перейти?"

5 Да конечно, я уверен

6 Внимание! Браузер хром обнаружил что данная ссылка является вредоносной, в целях безопасности мы рекомендуем немедленно уйти с данной страницы"

7 Игнорируем

8 Качаем файл

9 Внимание, установка файлов напрямую а не из плей маркета может привести к заражению вашего телефона туберкулезом, пожалуйста не ставьте приложения которым не доверяете.

10 Игнорируем

11 Для установки приложения требуется включить настройку "Установка приложений не из плей маркета. Включите ее пожалуйста"

12 Включение настройки "Неизвестные источники" потенциально подвергает ваш телефон опасности, вы уверены что хотите ее включить?

13 Игнорируем

14 Приложение "Браузер опера требует от вас следующих разрешений:

Доступ к вай фаю, доступ к смскам, доступ к звонкам, доступ к файловой системе, код от банковской карты, ключи от квартиры, вашу почку в качестве донорской а вашу собаку для проведения опытов"

15 Игнорируем

16 Внимание! Приложение "Обновление для оперы" требует администраторских прав к устройству. Это подразумевает что приложение сможет делать с вашим телефоном ВООБЩЕ ЧТО УГОДНО. Давайте админский доступ ТОЛЬКО приложениям которым вы доверяете

17 Игнорируем

18 О ГОСПОДИ НА МОЕМ ТЕЛЕФОНЕ ВИРУС! ЧТО ЖЕ ДЕЛАТЬ ТЕПЕРЬ ОН ПРОСИТ ДЕНЕГ ЗА РАЗБЛОКИРОВКУ ДА ЕЩЕ И НА ЦЕЛЫЙ 1 КОНТАКТ ИЗ КОНТАКТ ЛИСТА ОТОСЛАЛ ТАКУЮ ЖЕ СМС. КАК ТАКОЕ МОГЛО СЛУЧИТЬСЯ?


18 кликов, 18 КЛИКОВ, КАРЛ!


Товарищи имеющие опыт заражения, поясните мне что я делаю не так?

раскрыть ветку 23
+36

Как-то я проверял возможность заражения WinXP локером-вымогателем. Это было время Windows 8. У меня был ноут с лицензионной копией Win 8 и Arch Linux на домашнем компе. Описываю методику проверки:
1. Хост - Arch Linux, VirtualBox, Windows XP без активации (30-дневный Trial период) SP 2 или 3 - не помню уже. Никаких антивирусных программ, установлены только дополнения гостевой ОС

2. Не отключаем встроенные системы защиты. Отключаем обновление.
3. Открываем IE.
4. Открываем yandex.ru.
5. Печатаем "порно бесплатно без смс".
6. Начинаем беспорядочно дрочить кликать по любым ссылкам, включая рекламу. Чем быстрее происходят переходы по ссылкам, тем интереснее, поскольку в реале пользователь делает переходы медленнее.
7. Через, приблизительно, 20 минут (смешно, но рука устала), одна из ссылок приводит к скачиванию файла. Экзешник.
8. IE выдаёт предупреждение о том, что файл может быть потенциально опасным и не хочет его скачивать.
9. Путём чтения варнинга, находим как принудительно скачать файл.
10. Запускаем файл. Система выдаёт варнинг.
11. Путём чтения варнинга находим, как запустить файл.

12. Запускаем файл, возникает окошко с требованием войти в безопасный режим.
13. Перезапускаем виртуалку. Ничего не происходит.
14. Снова открываем экзешник. Снова ловим варнинг, снова принудительно запускаем его. Снова получаем требование запуска системы в safe mode.
15. Перезагружаем систему в safe mode. Ничего не происходит. Перезагружаем систему в normal mode. Видим экран входа, входим в систему... УРА! Рабочий стол появляется и исчезает, вместо него появляется локер.

P.S. Локер поленился даже перезаписать вход в систему. Позволял запустить компьютер в безопасном режиме. Висел в автозапуске, как приложение. Это была попытка случайно подцепить локер на системе без дополнительной защиты, путём пробежки по самым жестоким и вырвиглазным порносайтам через устаревший IE. Общее время работы на системе составило около 40 минут. Результаты эксперимента описывались знакомым айтишникам, когда они начинали рассказывать о том, как легко пользователю случайно подцепить локер.
P.P.S. После установки локера и принудительного его удаления из автозапуска, был запущен сканер Dr.Web. Он нашёл вирусный экзешник и пару файлов в Users\UserName\~ЧтоТоТам. Все файлы были класифицированы аналогично экзешнику. Никаких других вредоносных файлов найдено не было. Comodo Antivirus, установленный после проверки, также, не нашёл вредоносного кода.

раскрыть ветку 21
+52

Окей, а теперь как подцепить вирус на Арче?
1) Узнаём версию ядра.
2) Ищем вирус под текущую версию ядра
...
61) пересобираем ядро под текущую версию вируса
....
98) chmod +x virus
99) sudo init 6
100) sudo python3 virus

раскрыть ветку 5
+3

кривой локер какой-то, обычно он подменяет логон, роняя систему эксплойтом стандартным (табличка выскакивает с перезагрузкой)

раскрыть ветку 11
+2
Хуй там. Два раза случайно и один раз целенаправленно цепляла локер на сайте с приложениями. Просто заходила на сайт и оно сразу уходило в кукис хрома на диске Ц, прописывалось в автозагрузку и вуаля после перезагрузки - дай, дай, дай, отправь, отправь, отправь. Так что порно-сайты не самое опасное место.
раскрыть ветку 2
0
Не знаю, как это возможно, но после 10 минут в руках сестры я удалял с планшета кучу адвари, которая на рабочий стол лезла. И не однократно =)
+217

древняя шутка про вирусы на Линукс - сам скачай, разожми из архива, configure, make, make install, а затем еще и сам запусти

раскрыть ветку 71
+113

Ну, на самом деле для пингвина есть немало вполне себе рабочих вирусов. Тут просто фишка в двух моментах.

1) Пингвин в этом плане - неуловимый джо.

2) В отличии от винды (которая практически прямым текстом требует юзера сидеть под учёткой администратора, не давая даже чихнуть без прав), пингвин наоборот добавляет гемороя при использовании рута.

раскрыть ветку 66
+29

Но при этом большинство установок чего-нибудь делаются с sudo, который дает те же возможности что и рут.

раскрыть ветку 29
+12

Это очень старая шутка, начала 2000-х, тогда с вирусами для Линя было очень туго

раскрыть ветку 17
+6

вы давно не сидели под виндой. вирусов на винду уже давно нет, рута ни один вредонос уже давно не требует. сейчас другие угрозы, которые работают под пользователем, как-то шифраторы, бэкдоры и эксплоиты

раскрыть ветку 1
+4

2) В отличии от винды (которая практически прямым текстом требует юзера сидеть под учёткой администратора

нивсасал. это где такое водится?

раскрыть ветку 14
+2

Насчёт сидения под рутом: все ваши данные доступны вашему пользователю - шифрователям отлично, спасает первый пункт...

0

Ведрофон тот же комп с линуксом. Что-то безопасности особо не чувствуется.

0

Сам скачал, сам собрал, сам установил, сам себе злобный дятел.

0

А потом фикси баги и чини вылеты.

раскрыть ветку 1
+2

Ага, вирус то не удалил, это не переместил, гаденькое сообщение "лоху" вообще нечитаемо и кракозяблами идет

+43
Иллюстрация к комментарию
+240

НИЧТО НЕ ПРЕДВЕЩАЛО =)

Буквально, глянул на вредоносную смс, а оно уже установлось

раскрыть ветку 20
+221

Ой, знаете, оно само как-то

раскрыть ветку 17
+173

С такими словами и приходят))

раскрыть ветку 6
+18

Я ничего не устанавливал и ни по каким ссылкам не заходил, телефон не перепрошивал!! Вот буквально на днях только купил у вас!! *На телефоне сделан рут и он весь в порно приложениях.

раскрыть ветку 2
+9

У меня на работе нач. юр. отдела в аутлуке открыла письмо и у нее на пк все файлы за 15лет работы начали кодироваться в другое расширение, и так спокойно говорит я ни чего не открывала оно само

раскрыть ветку 6
+23

Зато когда надо в экселе объединить ячейки, они бегут к программисту.

раскрыть ветку 1
0

тут нужен программист по VBA

+55
А через это видео я вирус не поймал?
раскрыть ветку 8
+44
Ты что, разве презерватив на телефон не надеваешь перед просмотром???
раскрыть ветку 6
+16

У меня в телефоне спиралька стоит)

раскрыть ветку 4
+1

Не, сразу на голову, чтоб поляризационные тета-лучи не входили в интерференцию с корковыми клетками моловного гозга и не портили мне свечение ауры )))

-1

я посмотрел видос и мне тут же прилетела подобная ммс! Без шуток! я серьезно! но открывать не стал!

+952

"Привет! Я ленивый хакер, скачай мой вирус и запусти его!"

раскрыть ветку 131
+775

Здравствуйте, я молдавский вирус. По причине ужасной бедности моего создателя и низкого уровня развития технологий в нашей стране я не способен причинить какой-либо вред Вашему компьютеру. Поэтому очень прошу Вас, пожалуйста, сами сотрите какой-нибудь важный для Вас файл, а потом разошлите меня по почте другим адресатам. Заранее благодарю за понимание и сотрудничество

раскрыть ветку 19
+393
Ты не офигел мне вирусы слать? Получай ответку из солнечного Узбекистана!
Иллюстрация к комментарию
раскрыть ветку 18
+26

Это как древние шутки про вирусы под юниксы - что для запуска надо курить маны.

Просто большинство обывателей не сидят по юниксами, а то бы легко запустили случайным тыканьем.

+45

привет я ленивый хакер, мне лень писать вирус, по этому скинь мне номер своей кредитки смской

раскрыть ветку 10
+18

...поэтому скинь мне денег на следующий номер карты:...

раскрыть ветку 6
+8
Гадание по номеру кредитной карты: просто пришлите номер своей кредитной карты, дату и код с обратной стороны и мы расскажем вам вашу судьбу.
раскрыть ветку 2
+189

Так и есть по сути)

раскрыть ветку 91
+257

«Привет, ленивый хакер! Я дурачок, я буду скачивать любую дичь и запускать её, не смотря на все предупреждения(они для лохов!)» 

раскрыть ветку 10
+103

насколько надо быть дебилом, чтобы качать с адреса mms/sms чото там приложение для просмотра ебаной картинки (порно/не порно похую).

тут и хваленый недоантивирус гугла не поможет. Только пулю в лоб.

раскрыть ветку 2
+17

А чего вы ожидали от человека, которого записывают как "Наташашарага"

+8

То есть Лига Лени в безопасности? Теперь я спокоен:)

+10

какие пользователи, такие и вирусы)

+2

увидел пост, думаю надо посмотреть и если что то серьезное предупредить стариков, а хуй там, они до такого количества действий не дойдут из-за не понимания происходящего))

-9

А я вроде ничего не скачивала, ссылки не открывала, а у меня телефон начал типа рекламы играть, притом только звук, т.е звук слышин, берешь телефон, а там ничего, и непонятно как выключить. И по ночам каждые пару часов такая хрень, даже не беззвучном режиме. Программы все старые, всегда стояли, но такая хрень впервые у меня.

раскрыть ветку 63