Рубрика развивается при поддержке HP logo intel logo

На Android обнаружили неудаляемый заводским сбросом вирус Статьи редакции

Исследователи из компании Lookout, занимающейся вопросами цифровой безопасности, сообщили об обнаружении «семейства» приложений, которые устанавливают на Android-смартфоны трояны. Заражённые ими устройства уже невозможно очистить заводским сбросом.

Новый вирус распространяется с помощью сторонних магазинов приложений на Android. Злоумышленники берут за основу популярные программы вроде клиентов соцсетей или игр, заражают их, а затем размещают на сторонних сайтах. Таким образом, ничего не подозревающий пользователь смартфона может скачать приложение Фейсбука или игру Candy Crush, которые будут работать как обычные версии, но при этом заразят смартфон трояном.

За время проверки Lookout удалось обнаружить около 20 тысяч модифицированных приложений, которые были разделены на три «семейства», использующих разные способы заражения — Shedun, Shuanet и ShiftyBug.

Все они получают root-доступ к Android и устанавливаются в систему таким образом, что их нельзя удалить даже полным заводским сбросом (например, модифицируют файл install-recovery.sh), что для пользователей, не обладающих специальными навыками, может означать невозможность починить устройство без помощи профессионалов.

Людям, которые «подцепили» Shedun, Shuanet или ShiftyBug, возможно, придётся пойти и купить новый телефон.

из заявления Lookout

Shedun, Shuanet и ShiftyBug не только начинают показывать пользователю неотключаемую рекламу, но и разрушают ключевые механизмы защиты Android. Например, обычно приложения для ОС Google не могут получать доступ к паролям или иным чувствительным данным остальных программ, однако обнаруженные трояны способны нарушать это правило.

В Lookout обнаружили, что злоумышленники встраивают свой вредоносный код почти во все популярные приложения, но не трогают антивирусы. По мнению представителей компании, это может говорить о том, что у создателей Shedun, Shuanet и ShiftyBug могут быть более «сложные цели», чем простой заработок на рекламе и кража данных.

Например, речь может идти о создании опасного вируса для дальнейшей продажи защиты от него. На это намекает и тот факт, что код трёх эксплойтов идентичен на 70-80%. Это может говорить о принадлежности их авторства одной команде хакеров.

Заражённые приложения зафиксированы в США, Германии, Иране, России, Судане, Бразилии, Мексики и Индонезии. При этом ни одна из таких программ не была замечена в Google Play, а значит, люди, доверяющие только официальному магазину, пока находятся в безопасности.

Как отмечает Apple Insider, обнаруженная уязвимость может сподвигнуть пользователей Android к массовой миграции на iOS, где привязка всех устройств к одному магазину приложений практически полностью исключает возможность появления подобных угроз.

В статье изначально сообщалось, что вирус невозможно удалить с Android-устройства, однако в действительности речь шла о невозможности избавиться от него с помощью заводского сброса, но вмешательство специалистов может помочь. Редакция приносит извинения за это. В материал внесены необходимые правки.

{ "author_name": "Вадим Елистратов", "author_type": "self", "tags": ["\u0432\u0438\u0440\u0443\u0441\u044b_\u0434\u043b\u044f_android","\u0432\u0438\u0440\u0443\u0441\u044b","\u0432\u0438\u0440\u0443\u0441_\u043d\u0435\u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e_\u0443\u0434\u0430\u043b\u0438\u0442\u044c","lookout","android"], "comments": 193, "likes": 71, "favorites": 17, "is_advertisement": false, "subsite_label": "tech", "id": 56624, "is_wide": true, "is_ugc": true, "date": "Fri, 06 Nov 2015 11:44:44 +0300", "is_special": false }
0
193 комментария
Популярные
По порядку
Написать комментарий...
Совершенный бокал

Очередной наброс от Apple Insider. По факту - root+TWRP+ ADB - такие кирпичи воскрешались, а тут какие-то мифические ультра-вирусы...Пфф, как два пальца.

43
Доступный мангал

Как отмечает Apple Insider, обнаруженная уязвимость может сподвигнуть пользователей Android к массовой миграции на iOS

Мне вот это больше всего понравилось. Уже бегу. Ща, только вирусов себе на смарт накачаю, как идиот.

37
Усталый чайник

Да, звучит сомнительно. Не совсем понимаю, что и куда можно записать, чтобы нельзя было решить проблему полной переустановкой. Это ж всё-таки софт, от него в корпусе телефона аппаратный кейлоггер не появится, например.

5
Совершенный бокал

Да очевидная же желтуха, расслабься)

6
Нижний рубин

В теории можно записать на чипы. Но вот как это сделать без программатора незнаю.

0
Верный будильник

Ну реально. Абы сказать.

1
Усталый чайник

А еще есть ощущение, что Lookout имели в виду только то, что вирус не удаляется штатным сбросом телефона в заводское состояние, а именно перепрошивать устройства они и не пробовали пока. Во всяком случае, в исходной статье есть только такой комментарий:

1
Огромный цвет

Все верно. Вирус лезет в /system/xbin и /system/bin и правит install-recovery.sh
Значит его нельзя удалить только штатным заводским сбросом.
Отсюда коммент http://arstechnica.com/security/2015/11/new-type-of-auto-rooting-android-adware-is-nearly-impossible-to-remove/

1
Совершенный бокал

Зато теперь все поймут, как важно уметь прошивать кастомные ROMы))) Спасибо за ссылку.

1
Символический супер_стар

При чём тут Apple Insider? Они в конце добавлены только как «мнение с той стороны». Не более того.

Ни они первые об этом написали, ни они являются источником.

http://arstechnica.com/security/2015/11/new-type-of-auto-rooting-android-adware-is-nearly-impossible-to-remove/

http://androidcommunity.com/new-virus-family-discovered-more-trojan-than-just-adware-20151105/

0
Совершенный бокал

OK, Apple Insider новость подхватили. Но странно, что эту новость про вирус, который nearly impossible to remove, распространяет компания, выпускающая антивирусники с сомнительной репутацией. Их "антивирусник" для Android "Lookout" еще попробуй нормально удали - покруче их придуманного вируса.

1
Почетный паркур

Хорошая попытка, Вадим, но нет.

33
Приятный рубин

Я перейду на WP, хорошо

0
Усталый чайник

А что не на Symbian? Иногда кажется, что под эту платформу приложений и то больше.)

0
Верный будильник

Ну а вообще ору.

Android

Appleinsider

Лол.

21
Талантливый Петя

Праздник на твоей улице, чо.

1
Акционерный Валера

Что заставляет людей качать обычные гугплеевские бесплатные приложения из левых магазинов?

18
Почетный паркур

"скачать бесплатно гонки на ондроид"

22
Усталый чайник

А вообще да, это как зайти в отдел вич-инфицированных и устроить там оргию. Потом удивляться.

Что интересно, среди пользователей и iOS, и Android таких кадров полно.
Винят при этом, конечно же, дырявую систему, джейлбрейки и прочие. что угодно, кроме своей же дырявой головы и рук с нестандартной анатомией.

17
Приятный рубин

«Говно ваш Ойфон, у меня ваще все игоры бесплатные!»

0
Усталый чайник

Что заставляет людей брать ипотеку в валюте?

3
Верный будильник

Зарплата в валюте?

14
Зарубежный шар

новость от владельцев apple и для владельцев apple
только далекие гуманитарии смогут поверить в то что может существовать вирус который нельзя удалить и нужно бежать в магазин за новым телефон.
просто потому что в мире apple такой вирус есть - выход нового айфона, в этот момент старые превращаются в тыкву

8
Южный шмель

Ахахахха, шутеечка)

0
Бледный пистолет

Я там чуть выше описал принцип работы. tl;dr: на x86 могут быть. Поэтому могут и на андроиде

0
Зарубежный шар

так как текст и заголовок статьи изменился, и тем кто зашел будет непонятно из-за чего весь срач в каментах
я покажу как статья выглядела изначально

5
Южный шмель

Блэт, но ведь цитата, не Вадим выдумал.

0
Усталый чайник

Если бы это была цитата, то по смыслу это бы звучало как "nearly impossible to remove", что не равно "невозможно очистить ни одним из известных способов".
Но Вадим в любом случае радует, так как к конструктивной критике всё же прислушивается.

0
Усталый чайник

В Lookout обнаружили, что злоумышленники встраивают свой вредоносный код почти во все популярные приложения, но не трогают антивирусы.

Иначе это было бы совсем эпично.

Черт, как они это сделали, дико интересно.

2
Слышный Мурод

Да наверное по тому же принципу, что и установка новой прошивки - меняется загрузчик операционной системы, он стоит над андроидом, поэтому его нельзя удалить сбросом.
Другое дело, что рут получить не так то просто бывает - разные производители оставляют разные лазейки для этого.
Как правило, что бы там не было заражено в системе, даже если это загрузчик, то его можно восстановить к заводской версии.

2
Воинский франт

Вадим, ну реально желтизну написал.

2
Символический супер_стар

Обновите статью и посмотрите её новое завершение.

2
Нижний рубин

А ты думал просто так жёлтая плашка в логотипе?

1
Южный шмель

Скорее уж описал, а не написал

0
Южный шмель

ОписАл для особо одарённых

–1
Прямой алмаз

При этом пользователям устройств на ОС Google надеяться на быстрое появление «заплатки» не приходится: спустя месяц после запуска Android 6.0 Marshmallow он был установлен только на 0,3% смартфонов.

Вы так говорите, как будто Android-пользователи сидят и выбирают, ставить им новую систему или нет.

2
Нижний рубин

Ты не поверишь =)

1
Профессиональный кофе

Это ты не поверишь. Не у всех нексусы :

0
Прямой алмаз

Как владелец Samsung S3 и S4 mini (до которого так и не дошел лоллипоп) считаю, что выбора действительно МАЛОВАТО.

0
Радикальный череп

обновления безопасности выходят и на предыдущие версии, не?

0
Бледный пистолет

Не у всех

0
Суровый велосипед

А что, если он заводской?

2
Внутренний корабль

Внимание для Полины К, здесь Киану используется правильно!

6
Замкнутый клуб

Че ты доебался? *цыплухин.жпг*

4
Усталый чайник

2015 год в интернетах, вы правда думаете, что этот мем и его каноничное описание не видела?) Необычайные приключения Билли и Теда тоже смотрела, если что.

1
Страстной танк88

Комментарий удален по просьбе пользователя

1
Символический супер_стар

В общем, в статье всё поправил и убрал акцент на цитате Lookout в заголовке.

Посыпаю голову пеплом. Не до конца проснулся и не отделил зёрна от плевел.

13
Символический супер_стар

И добавил пояснение в конце жирным.

6
Страстной танк88

Комментарий удален по просьбе пользователя

9
Талантливый Петя

Ага, а вот Anppleinsider забыл об этом, когда писал свои выводы про преимущества iOS. Да и в тексте статьи с этим вроде как согласны.

0
Модный огонь

Людям, которые «подцепили» Shedun, Shuanet или ShiftyBug, возможно, придётся пойти и купить новый телефон.

1. cd /SDK/platform-tools
2. fastboot -w
В зависимости от ситуации:
3. fastboot erase system
4. fastboot erase boot
5. fastboot erase preinstall
6. fastboot erase data
7. fastboot erase cache
8. fastboot erase dalvik
9. fastboot reboot
10. fastboot flash-all.sh

Сложно?

1
Согласный паук например

А вот после ЭТОГО большинству юзеров придётся пойти и купить новый телефон *))

4
Южный шмель

Красавчик, герой, профи.

А теперь приопусти задравшийся нос и объясни это типичному юзеру, например.

0
Непосредственный кот

Это намного проще, чем разобраться как скидывать музыку на телефон через itunes. Любой, кто умеет читать с этим справится.

3
Модный огонь

А ничего что на ютубе есть over 9000 видео, которые пошагово поясняют, как перепрошить почти любой телефон используя примерный алгоритм выше? В чём заключается сложность? С каких пор следовать подробным инструкциям стало сложно простому юзеру?

0
Верный будильник

Ну бля, чё ты палишь, я уже озолотиться думал!

0
Глухой Абдужаббор

Ещё раз напомню, что версия системы на Android-устройствах не так важна, как версия Google play services, которые обновляются по воздуху на всех телефонах.

1
Бедный файл

Ко всему вышесказанному,
При этом пользователям устройств на ОС Google надеяться на быстрое появление «заплатки» не приходится: спустя месяц после запуска Android 6.0 Marshmallow он был установлен только на 0,3% смартфонов.

Google выпускает ежемесячные апдейты безопасности. Только доступны они не для всех устройств, конечно.

1
Талантливый Петя

"Зачем покупать все эти HTC (стараются особенно в флагманах придерживаться правила 90 дней, а в A9 собираются 15 дней) , когда можно купить вот этих дешёвых китайцев" ))

0
Итальянский алмаз

Что мне мешает переустановить систему? Купить новый телефон, фу, бред.

1
Зарубежный шар

вадим:
-а так можно?(гуглил: айфон, переустановить систему...)

2
Страстной танк88

Комментарий удален по просьбе пользователя

0
Бледный пистолет

Вроде на моторах с этим плохо было, да

0
Идеологический Паша

Очень жирный вброс, спс, Вадим.

1
Нижний рубин

А как вирус получает root? Для этого же зачастую нужно разблокировать систему, и чаще всего при помощи компа. Что за чушь?

0
Удивленный алмаз

Есть однокликовые руты, работающие без подключения к компу. Что мешает такое же добавит в вирус - ничего. Вот вам и получили рут.

1
Часовой будильник

Интересно, каков процент андроид-юзеров, которые знают про сторонние магазины

0
Бесполезный кубок

Зачем ходить не в GP вообще?

0
Питерский пришелец

Бесплатный сыр, например.

0
Подозрительный Никита

Если не перепрошивать самому, то, как мне кажется, юзер отнес бы девайс в сервис. Прошьют там тогда, собственно.

Но для этого еще нужно узнать, что на девайсе троян.

Ну и конечно, простите, но как он получит рут, если толковых отвязанных от пк скриптов по получению нет? Есть на старые девайсы со старыми системами, но там тоже рулетка - сработает, нет.

Эту новость явно не Вадиму стоило отправлять - у него репутация эпплофага, даже если бы было написано более грамотно относительно андроидных девайсов, все равно бы взъелись.

0
Погибший якорь

Парочка знакомых как раз приносили дешевые планшеты от местных производителей, которые просто кишели рекламой. На удивление, сброс из recovery и adb не помогал. На чистой системе было установлено несколько apk, один из которых косил под системный локер и не давал ничего сделать, пока не сделаешь его администратором системы. После этого, на планшет при подключении к сети, прилетал целый табор других приложений и куча рекламы. Разбираться в механизмах работы не было времени, поэтому просто прошил заводской образ.

Кстати Касперский детектировал угрозу, но удалить не мог. Сам был немного удивлен подобным поведением, кстати рут на устройстве получен не был. Как это чудо работает, для меня остается загадкой.

0
Согласный паук например

Наверное рут был получен только этим вирём *)

0
Условный хот-дог

Боже мой какая желтизна

0
Условный хот-дог

Боже мой какая желтизна

0
Объективный велосипед

Комментарий удален по просьбе пользователя

0
Усталый чайник

Людям, которые «подцепили» Shedun, Shuanet или ShiftyBug, скорее всего, придётся пойти и купить новый телефон.

Интересно, что насчёт того думают маркетологи смартфонов не на базе Android?

–1
Внутренний корабль

Что-то последнее время на сайте о мемах, частенько не правильно используют эти самые мемы. Киану постится с вопросом "а что если?".

17
Читать все 193 комментария
Обсуждаемое
Технологии
Поисковик «Яндекса» останется предустановленным на продаваемых смартфонах в 2022 году. Его можно выбрать вместо другого
Правительство продлило своё требование.
Новости
Разработчик Ethereum признался в незаконной помощи КНДР с криптовалютами. Ему грозит до 20 лет тюрьмы
Гриффита арестовали в 2019 году после выступления на конференции в Пхеньяне.
Новости
«Излучения никто не отменял»: жители Башкирии трактором снесли вышку сотовой связи
«Людям по соседству она будет мешать. При ветре будет свистеть, гудеть, вибрировать» — заявили жители села.
Популярное за три дня
Новости
«Дядя Вова, мы с тобой», драка и ёршики: в Москве прошла акция КПРФ против результатов выборов в Госдуму
Представители партии потребовали привлечь к уголовной ответственности Алексея Венедиктова, а полиция пыталась заглушить протестующих песнями.
Новости
Интеррекорд: Кадыров установил мировой рекорд, набрав наибольшее число голосов на выборах глав регионов
Он получил 99,7% голосов при явке 94,42%.
Новости
BadComedian сообщил о блокировке обзора на фильм «Чернобыль» Данилы Козловского. Он был недоступен почти в 70 странах
Ролик уже разблокировали.
null