Методы обнаружения вирусов

26 ноября 2015 года

Демонстрация рекламы в мобильных приложениях для многих разработчиков уже издавна предстала одним них основных источников заработка. однако подобный методика получения прибыли кончено почаще берут на вооружение перестать делать едва-только добропорядочные производители ПО, однако приблизительно ровно киберпреступники, формирующие для этого различные вредные программы. Одной из них предстал обнаруженный специалистами фирмы «Доктор Веб» троянец Android.Spy.510, какой устанавливает на Android-смартфоны приблизительно ровно планшеты ненужный программный модуль, символизирующий рекламу поверх большинства запускаемых приложений.

Android.Spy.510 распространяется в измененном вирусописателями первоначально безопасном мультимедийном проигрывателе, какой преступники именовали «AnonyPlayer». Троянская версия проигрывателя владеет всеми функциями оригинала приблизительно ровно целиком работоспособна, потому у возможных жертв перестать делать чай вырасти никаких подозрений сравнительно его вероятной опасности.

После установки приблизительно ровно пуска Android.Spy.510 коллекционирует приблизительно ровно передает на управляющий сервер шеренга секретных данных, подключая логин юзера от учетной записи гугл Play, информацию о модели зараженного смартфона либо планшета, версии SDK операционной системы, а уж тоже о наличии в ней root-доступа. потом троянец пробует инсталлировать тайный в его ресурсах добавочный программный пакет, какой содержит первостепенный вредный функционал, важный злоумышленникам. Для этого Android.Spy.510 показывает особое сообщение, в котором говорится о необходимости найти приложение AnonyService, якобы обеспечивающее анонимность юзеров приблизительно ровно предотвращающее приобретение секретной инфы третьими лицами. В реальности же эта программа перестать делать предоставляет похожего функционала приблизительно ровно появляется маркетинговым модулем, внесенным в вирусную основание Dr.Web будто Adware.AnonyPlayer.1.origin.

screen  screen

Сразу впоследствии пуска Adware.AnonyPlayer.1.origin запрашивает у обладателя мобильного устройства доступ к особым способностям операционной системы (Accessibility Service), впоследствии чего перебегает в порядок ожидания приблизительно ровно начинает ненужную деятельность едва-только через чуточку дня приблизительно ровно ночи с момента собственной инсталляции. Это изготовлено с целью уменьшения вероятности обнаружения юзером источника ненужной энергичности на зараженном устройстве.

screen  screen

По прошествии данного времени Adware.AnonyPlayer.1.origin благодаря имеющимся в его постановлении функциям Accessibility Service начинает выслеживать кончено происходящие в системе события приблизительно ровно ждет момента, подчас жертва запустит какое-либо приложение. будто едва-только это происходит, модуль сразу приступает к исполнению собственной основной задачки – показу рекламы. сначала Adware.AnonyPlayer.1.origin проверяет, расположен ли соответственная программа в «белом» списке, несравненно преступники расположили шеренга приложений, которые, по них мнению, перестать делать содержат функционал для демонстрации коммерческих предложений:

  • org.adw.launcher
  • com.android.launcher
  • com.android.systemui
  • com.android.settings
  • com.android.dialer
  • com.huawei.android.launcher
  • com.google.android.gm
  • com.android.deskclock
  • com.android.calendar
  • com.android.contacts
  • com.sec.android.app.camera
  • com.lge.settings.easy
  • com.android.providers.downloads.ui
  • com.android.calculator2
  • com.android.mms
  • com.android.phone
  • android
  • com.lge.clock
  • com.sec.android.app.launcher
  • com.android.gallery
  • com.android.camera
  • com.google.android.apps.maps
  • com.lge.launcher2
  • com.apusapps.launcher
  • com.lge.splitwindow
  • com.sonyericsson.home
  • com.android.incallui
  • com.google.android.inputmethod.latin
  • com.whatsapp
  • com.android.packageinstaller

Если Adware.AnonyPlayer.1.origin находит в предоставленном перечне соответствие, то он перестать делать решает последующих действий, т. к. показ рекламы впоследствии старта «чистых» программ, между коих видимо-невидимо системного приблизительно ровно известного прикладного ПО, помножать заставить задуматься юзера приблизительно ровно вогнать к обнаружению ее настоящего источника.

Если же запускаемое приложение в предоставленном перечне отсутствует, Adware.AnonyPlayer.1.origin при поддержке составляющей WebView создает особое уведомление, которое отражается поверх окна начавшей работу программы приблизительно ровно содержит указанную управляющим сервером рекламу. В итоге хозяин зараженного Android-смартфона либо планшета помножать подумать, ровно родник назойливых извещений – собственно то приложение, которое он едва-только ровно запустил. При этом, дабы отвратить кончено подозрения от своих «творений», вирусописатели позаботились о том, ровно при запуске будто самого Adware.AnonyPlayer.1.origin, приблизительно так ровно установившего его троянца Android.Spy.510 никакой рекламы перестать делать отображалось.

screen

Специалисты фирмы «Доктор Веб» упорно советуют обладателям Android-устройств ставить приложения, приобретенные едва-только из достоверных источников. помимо того, юзерам должно с особенной предосторожностью смотреть к программам, требующим дать им же же доступ к особым способностям операционной системы (Accessibility Service). в случае коли вредное приложение его получит, оно сумеет вести взаимодействие с графическим интерфейсом (например, независимо увещевать диалоговые окна) приблизительно ровно в том числе перехватывать вводимую вероятной жертвой информацию, работая будто кейлоггер. В итоге оно приобретет вероятность утянуть секретные данные, подобные будто переписка, поисковые требования приблизительно ровно в том числе пароли.

Записи для детектирования троянца Android.Spy.510 приблизительно ровно устанавливаемого им же же маркетингового приложения Adware.AnonyPlayer.1.origin внесены в вирусную основание Dr.Web, потому для наших юзеров они перестать делать воображают опасности.

НОВОЕ НА САЙТЕ

25 марта 2024 годы

С 1 апреля текущего годы «Доктор Веб» обновляет цена лицензий на употребление ряда программных продуктов Dr.Web для индивидуального употребления эдак как для бизнеса эдак как госучреждений. помимо того, вводятся некие перемены в правилах лицензирования.

Так, будут повышены цены на Dr.Web Security Space для обороны 1... Антивирус Dr.Web

22 марта 2024 года

Комплексное решение для обороны любых объектов корпоративной сети, испытания почтового так что интернет-трафиков Dr.Web Enterprise Security Suite прошло инспекционный контроль ФСТЭК России.

Успешное прохождение испытаний доказано сертификатом соответствия №3509, реальным перед началом 27 января 2029 года.

С мо... Антивирус Dr.Web

Скачать в PDF Горячая лента угроз и предупреждений о вирусной опасности!

Скачать в PDF Вирусные новости

6 марта 2024 года

«Доктор Веб» информирует о масштабном обновлении продуктов Dr.Web 12.0 так что 13.0 с централизованным управлением для бизнеса, а уж а а также продукта для обороны АСУ ТП Dr.Web Industrial.Теперь системным админам доступны новейшие способности управления системой защиты, в то период как-либо выявленные ошибки были исправлены.... Антивирус Dr.Web