Найдена первая малварь для Android, атакующая пользователей через Toast-уведомления
В сентябре 2017 года специалисты компании Palo Alto Networks рассказали об интересной технике атак, на создание которой их вдохновила другая проблема Android-устройств, носящая поэтичное название «Плащ и кинжал». Тогда эксперты Palo Alto Networks предложили концепт атаки, которая основывается на эксплуатации всплывающих уведомлений (Toast messages). Обычно такие сообщения «живут» совсем недолго и появляются внизу экрана устройства. Эти быстро исчезающие уведомления используются многими приложениями, к примеру, Gmail подтверждает таким способом отправку писем.
Такие уведомления появляются поверх окон любых приложений, и для этого даже не приходится задействовать функцию Draw on top. По сути, атакующему достаточно убедить жертву установить на вредоносное приложение. Затем злоумышленник может запросить правда администратора или доступ к Accessibility service, но эти запросы будут подаваться жертве как кастомные всплывающие уведомления (за которыми на самом деле будут скрываться кнопка). Специалисты Palo Alto Networks отмечали, что появление таких уведомлений можно зациклить, то есть маскировка преступников может держаться столько, сколько потребуется.
Данная проблема получила идентификатор CVE-2017-0752 и была официально устранена в том же месяце. Но, к сожалению, экосистема Android по-прежнему сильно фрагментирована, то есть множество устройств не получили и никогда не получат патча для описанной проблемы. А концепт атаки, придуманный специалистами, не могли не заметить злоумышленники.
Специалисты компании Trend Micro сообщили, что им удалось обнаружить первую малварь, которая использует Toast Overlay для атак на практике. Вредонос получил имя ToastAmigo и был найден в составе двух приложений в официальном каталоге Google Play. Оба вредоносных приложения назывались Smart AppLocker и позволяли задать PIN-код для запуска отдельных программ на устройстве.
После запуска зараженного приложения, ToastAmigo инициировал атаку с использованием всплывающих уведомлений, отображая огромное уведомление, закрывающее весь экран и демонстрирующее фальшивый интерфейс приложения. На самом деле под этой фальшивкой скрывались запросы на получение доступа к Android Accessibility. Обманутые пользователи полагали, что нажимали на кнопки интерфейса, но на самом деле лишь выдавали новые права малвари.
Если атака удавалась, ToastAmigo устанавливал на устройство еще одно приложение, которое исследователи назвали AmigoClicker. Данный вредонос – это обычная адварь, которая устанавливает прокси и загружает рекламу, принося своим операторам финансовую выгоду. Однако также AmigoClicker способен собирать информацию об аккаунтах Google, нажимать на кнопки в системных диалогах, скликивать рекламу в Facebook, а также оставлять самому себе положительные отзывы в Google Play.
В настоящее время оба вредоноса уже удалены из официального каталога приложений.
почему не могу удалить выявленные угрозы ?
Если не можете удалить угрозы, значит они встроены прошивку. Удалить их можно только при использовании рут-прав или перепрошивки на кастом. Также можно попробовать файрвол.
#4 Sergey Bespalov
olenka6710, Нужно получить права рут. На разных телефонах работают разные способы получения прав.
Посмотрите эту тему:
#5 saratcyn
Дабы не плодить темы.
Dr.web обнаружил вирусы:
Они находятся в разделе «Уязвимости» и не удаляются, при нажатии на название вируса открывается его описание и ссылка на ваш сайт с более подробным описанием вируса ,больше никаких действий сделать нельзя.
Откатил до заводских настроек, ничего не изменилось.
Подскажите как удалить вирусы (рут есть)?
#6 Lvenok
Здравствуйте!
Дабы не плодить темы.
Dr.web обнаружил вирусы:
Pendinglntent(CVE-2014-8609)
Toast Overlay(CVE-2017-0752)
Janus(CVE-2017-13156)
Они находятся в разделе «Уязвимости» и не удаляются, при нажатии на название вируса открывается его описание и ссылка на ваш сайт с более подробным описанием вируса ,больше никаких действий сделать нельзя.
Откатил до заводских настроек, ничего не изменилось.
Подскажите как удалить вирусы (рут есть)?
#7 saratcyn
После отката ставил последнюю прошивку
#8 saratcyn
Так как устранить уязвимости? Подскажите пожалуйста!
#9 AndreyKa
Так как устранить уязвимости? Подскажите пожалуйста!
Если новые прошивки не выпускают, то покупкой нового смартфона.
#10 saratcyn
Сомневаюсь в Вашей компетентности.
#11 sergeyko
Сомневаюсь в Вашей компетентности.
И все-таки, против лома нет приема, а кратчайшее расстояние между двумя точками — прямая.
Либо новые прошивки, либо ой.
#12 saratcyn
Тогда любой новый телефон не застрахован от тех же проблем. И сколько их придётся поменять?
#13 maxic
Keep yourself alive
saratcyn, если покупать телефон от нормального брэнда, то вероятность проблем с вирусами в прошивке стремится к нулю. А в подвальном китае сейчас чуть ли не в каждой первой модели напихано дряни производителем.
#14 saratcyn
Тело Meizu M3 note, покупал в 16-м году до этого проблем не замечал. Прошивался регулярно по мере выхода прошивок. С месяц назад поймал вирус — стали приходить СМС о платных подписках на разную дрянь. Антивирусом не пользовался, стоял в прошивке родной им и проверялся. Поставил Dr.web, он обнаружил эти уязвимости, СМСки всё равно приходили. Тогда откатился до заводских. Уязвимости остались, СМСки пропали, поставил последнюю прошивку с оф.сайта уязвимости остались.
#15 Lvenok
Тело Meizu M3 note, покупал в 16-м году до этого проблем не замечал. Прошивался регулярно по мере выхода прошивок. С месяц назад поймал вирус — стали приходить СМС о платных подписках на разную дрянь. Антивирусом не пользовался, стоял в прошивке родной им и проверялся. Поставил Dr.web, он обнаружил эти уязвимости, СМСки всё равно приходили. Тогда откатился до заводских. Уязвимости остались, СМСки пропали, поставил последнюю прошивку с оф.сайта уязвимости остались.
#16 saratcyn
Читал 4pda, прошивка моя на данный момент самая актуальная и стабильная. Да и производитель забил. Альтернативы тоже нет. Может ещё раз откатиться
#17 maxic
Keep yourself alive
У мейзу с альтернативными прошивками — обычно плохо, Поэтому только кушать то, что дал вендор. И если он не выпускает заплаток для ОС, то и взять их неоткуда. Только смириться.
Как удалить встроенные приложения Android без root-прав
Производители смартфонов и планшетов на Android просто обожают устанавливать на свои гаджеты неудаляемые встроенные приложения. Хорошо, когда они полезны. Но в большинстве случаев это просто шлак, занимающий место и раздражающий своей рекламой.
Продвинутые пользователи могут получить root‑доступ на своём устройстве и снести все эти программы. Однако многие не рискуют прибегать к такому способу — из‑за нежелания лишаться гарантии, перспективы перестать получать OTA‑обновления или по другим причинам.
К счастью, удалять встроенные программы в Android можно и без root. Новичкам способы могут показаться сложноватыми, но, если аккуратно следовать инструкции, всё получится.
Никогда не удаляйте приложения, назначения которых не понимаете. Вы можете повредить операционную систему смартфона, и придётся перепрошиваться.
Кроме того, перед копанием в системных настройках обязательно сделайте резервные копии фото, музыки, видео и других важных данных из памяти смартфона.
Как подготовиться к удалению встроенных приложений на Android
Для начала понадобится включить отладку по USB. Делается это довольно просто.
- Откройте настройки смартфона, найдите там раздел «О телефоне» и нажимайте на пункт «Номер сборки» до тех пор, пока система не покажет сообщение «Вы стали разработчиком».
- Вернитесь в главное меню настроек и щёлкните там появившийся пункт «Для разработчиков».
- Найдите опцию «Отладка по USB» и включите её.
Как удалить встроенные приложения с помощью ADB App Control
Это метод для тех, кто не хочет долго разбираться в настройках. Вам понадобится только проставить несколько галочек и нажать на кнопку.
1. Установите программу ADB App Control
Зайдите на сайт приложения и скачайте последнюю версию. Программа упакована в архив ZIP — её надо будет распаковать в любую удобную для вас папку. Лучше всего, если она будет расположена в корне вашего системного диска — например, так: C:ADB_AppControl_162
Если вы пользователь системы Windows 7 или Windows 8, вам ещё понадобится скачать и установить драйвер ADB вот отсюда. Загрузите и запустите программу ADB Driver Installer.
После всех приготовлений запустите файл ADBAppControl.exe. Нажмите галочку «Не показывать обучение снова» и кнопку «Я понял!» Приложение готово к работе.
2. Подключите смартфон к компьютеру
Подсоедините ваш смартфон к ПК через USB‑кабель (желательно тот, что шёл с ним в комплекте). Лучше подключать напрямую к материнской плате, а не через передние разъёмы корпуса. Выберите режим «Без передачи данных» и согласитесь на применение отладки по USB, разрешите её этому компьютеру всегда.
Программа ADB App Control может попросить установить дополнительное приложение на ваш смартфон. Оно не обязательно, но позволяет отображать иконки и названия приложения, а не имена пакетов. Поэтому разблокируйте экран смартфона, если его отключили, и нажмите «Да» в окне ACBridge.
Если установка автоматически не удалась, скопируйте файл com.cybercat.acbridge.apk из папки C:ADB_AppControl_162adb в память смартфона, отсоедините USB‑кабель и инсталлируйте файл вручную, как обычную программу. Для этого понадобится разрешить установку из неизвестных источников.
После инсталляции ACBridge переподключите смартфон к ПК.
3. Удалите ненужные приложения
Нажмите кнопку «Получить данные приложений» на панели справа в главном окне ADB App Control. На экране вашего смартфона появится запрос на доступ к памяти — предоставьте его.
Теперь выделите галочками программы, от которых хотите избавиться. В выпадающем меню справа выберите вариант «Удалить». Нажмите красную кнопку «Удалить», затем «Да» и OK.
Как удалить встроенные приложения с помощью Android Debug Bridge
Этот вариант подойдёт для любителей командной строки. Принцип действия тот же.
1. Установите ADB
Нам понадобится утилита ADB (Android Debug Bridge). Для разных операционных систем процедура её установки примерно одинакова. Выберите версию ADB для вашей ОС, а затем сделайте следующее:
- Загрузите ZIP‑архив с ADB.
- Извлеките его содержимое в какую‑нибудь папку без русских букв в названии. На Windows лучше всего это сделать в корень системного диска — C:platform‑tools. В macOS и Linux можно просто извлечь всё на рабочий стол. Появится папка platform‑tools.
- Откройте «Командную строку» в Windows или «Терминал» в macOS/Linux. В Windows командную строку нужно запускать от имени администратора — для этого щёлкните значок «Командной строки» правой кнопкой мыши и выберите «Дополнительно» → «Запуск от имени администратора».
- Теперь нужно открыть в терминале папку platform‑tools. Введите команду cd /путь/к/вашей/папке/ и нажмите Enter.
Если не знаете, какой путь ведёт к вашей папке, сделайте вот что:
- На Windows щёлкните по папке правой кнопкой мыши с зажатым Shift и нажмите «Копировать как путь». Затем вставьте в терминал скопированную строчку.
- На macOS зажмите Alt и щёлкните по папке правой кнопкой мыши, затем выберите «Скопировать путь до…».
- Либо на macOS или Linux просто перетащите папку platform‑tools в окно терминала.
Теперь ADB готова к работе.
2. Узнайте названия пакетов
Теперь нужно выяснить, что, собственно, мы хотим удалять. Для этого установите на смартфон приложение App Inspector. Откройте его и отыщите там предустановленные программы, которые вам не нужны.
Нажмите на название программы в списке — и перед вами появится информация о ней. Нас интересует раздел Package name — там содержится имя ненужного вам пакета. Выглядеть оно будет примерно так: com.android.browser.
Нужно куда‑нибудь записать имена пакетов, которые вы собираетесь удалить. App Inspector позволяет легко скопировать имя, просто нажав на него. Можете собрать эти данные в каком‑нибудь текстовом файле или документе в облаке, чтобы потом на компьютере легко оперировать ими.
3. Подключитесь к компьютеру
Теперь подсоедините смартфон к компьютеру через USB‑кабель. Затем выполните в строке терминала, которую мы открыли в предыдущем пункте, следующие команды:
- Windows: adb devices
- macOS: .adb devices
- Linux: ./adb devices
В командной строке появится серийный номер вашего смартфона или планшета. Это значит, что устройство подключено правильно.
4. Удалите ненужные приложения
Теперь удалите нежелательные программы. Для этого вводите следующие команды:
- Windows: adb shell pm uninstall -k —user 0 имя_пакета
- macOS: .adb shell pm uninstall -k —user 0 имя_пакета
- Linux: ./adb shell pm uninstall -k —user 0 имя_пакета
Например, если нужно удалить приложение Google Play Music, команда будет такой:
adb shell pm uninstall -k —user 0 com.google.android.music
Нажмите Enter. Должна появиться надпись Success, свидетельствующая об успешном завершении деинсталляции.
Когда закончите, просто закройте окно терминала и отключите смартфон от компьютера. Если приложения не исчезли с гаджета сразу, попробуйте перезагрузить его.
Что сделать после удаления встроенных приложений на Android
Напоследок стоит выключить отладку по USB. И наконец, если вас раздражает пункт «Для разработчиков» в настройках — откройте список установленных приложений, найдите там «Настройки», нажмите на него и выберите «Очистить данные». И меню «Для разработчиков» пропадёт.
Удачи в очистке Android от мусора. И смотрите не удалите лишнего.
- 5 полезных функций Chrome для Android, о которых вы могли не знать
- Многозадачность на Android: 5 способов выполнять несколько дел одновременно
- Почему Android со временем начинает тормозить и как с этим бороться
*Деятельность Meta Platforms Inc. и принадлежащих ей социальных сетей Facebook и Instagram запрещена на территории РФ.
Хакеры используют всплывающие уведомления для атак на Android
Уведомления Toast Notification используются хакерами для повышения своих привилегий на системе.
Эксперты компании Palo Alto Networks рассказали о новой атаке на Android-устройства с использованием всплывающих уведомлений Toast Notification. Большинство самых популярных за последние несколько лет мобильных вредоносов использовали ее для получения полного контроля над атакуемым устройством.
Принцип атаки заключается в том, чтобы заставить жертву в процессе инсталляции дать вредоносному ПО право на отображение контента поверх других приложений. Получив необходимое право, вредонос отображает всплывающие окна с просьбой подтвердить некоторые сообщения или выполнить определенные действия. На самом деле приложение просит доступ к Accessibility Service, «прикрывая» безобидными всплывающими уведомлениями кнопку «Активировать». Точно так же вредонос отображает поддельный контент поверх всплывающих сообщений, предоставляющих права администратора.
Вышеописанный способ используется злоумышленниками не менее двух лет, однако впервые был подробно описан в исследовании «Cloak & Dagger», проведенном учеными Калифорнийского университета в Санта-Барбаре и Технологического института Джорджии. С тех пор данный тип атак так и именуется – Cloak & Dagger.
Вдохновленные отчетом коллег, эксперты из Palo Alto Networks решили изучить и другие способы осуществления Cloak & Dagger. В частности, они сосредоточили свое внимание на Toast Notification – быстроисчезающих уведомлениях внизу экрана. Toast Notification очень удобны для атаки Cloak & Dagger, поскольку по своей природе отображаются поверх любого приложения и избавляют атакующих от необходимости запрашивать право на отображения одного контента поверх другого.
Теперь злоумышленникам достаточно только заставить жертву установить на свое устройство вредоносное приложение. Они могут запросить привилегии администратора для доступа к AccessibilityService, спрятав кнопку «Активировать» за уведомлением Toast Notification.
Данная уязвимость, получившая название CVE-2017-0752, была исправлена во вторник, 5 сентября, с выходом плановых обновлений для Android. Проблема затрагивает все версии ОС за исключением Android 8.0 Oreo.