Дневник megavtogal.com

МЕНЮ
  • Контакты
  • Статьи

Supl20services что это за программа на андроид

Обновлено: 07.01.2025

Смартфон сеошнику нужен не только для звонков, так как необходимо работать с мобильными приложениями, без которых работа усложняется. Лично я пользуюсь десятком приложений, среди которых Web Money, Яндекс Деньги, TOTP для Епей и ещё куча всякой всячины. Они позволяют делать платежи вне дома, проверять почту и отслеживать активность на сайте. Большая беда, если на смартфоне завелись вирусы, ведь так могут уплыть данные акков, пароли, да и девайс начинает тупить и брыкаться.

Сегодня я расскажу, как удалить вирусы, трояны со смартфона под управлением Андроид 5. Времени на очистку уйдёт полчаса, после чего за состояние платёжного баланса можно будет не переживать, а девайс перестанет показывать чудеса тупости при серфинге в интернете.

Рождение проблемы

Проблема родилась сразу после Нового Года, когда я с сыном проверял возможности нового смартфона и качал на него разный хлам отовсюду. Первый признак болезни проявился в отказе обновляться по OTA, так как были изменены вирусами системные файлы. Болезнь девайса прогрессировала – при подключении к интернету стали загружаться сами по себе левые приложения, типа AliExpress, процессор от натуги стал перегреваться, а телефон зависать.

В результате на исходе первого месяца жизни пользоваться интернетом без мата стало невозможно, запуск приложений стал мукой и телефону светил полёт в стену, несмотря на гарантию.

Поиск вирусов

Естественно, сидеть сложа руки я не стал и начал искать нечисть на телефоне. Антивирус 360 Total для смартфона разочаровал – при проверке он нашёл 6 опасных файлов, но не показал место их установки и смог только предложить отключить приложения. Удалить он ничего не может из-за отсутствия рут прав. В списке опасных приложений оказались:

  1. - Android Media Service,
  2. - App Manager,
  3. - Guard Service,
  4. - Phone Service,
  5. - Setting Service.

В приложениях я нашёл только первые два, остальные удачно маскировались. Нести смарт по гарантии не имело смысла, платить за перепрошивку нового девайса также желания не было. Что же делать, спрашивали глаза у мозга, последний напрягался.

Рабочее решение началось с установки Malwarebytes-anti-malware, дальше пошло по накатанной.

Инструкция по удалению

Для того чтобы полностью удалить все вирусы и трояны на Андроид понадобилось три программы:

  1. Malwarebytes-anti-malware,
  2. Kingo Root,
  3. ES проводник.

Антивирусный сканер Malwarebytes нашёл все вирусы, Kingo позволил получить root-права для удаления, а проводник трояны удалил.

Malwarebytes

Для начала установите Malwarebytes и просканируйте смартфон. Он найдёт всю нечисть, укажет её месторасположение в телефоне и даст краткую характеристику вирусам. Сканер совместим с обычным антивирусом, поэтому перед его установкой ничего удалять не надо. У меня он нашёл в system/priv-app:

  1. - org.show.down.update,
  2. - newmast.apk,
  3. - higher.apk,
  4. - newdlir.apk,
  5. - parlmast.apk,
  6. - CLPower.apk,
  7. - smalls.apk,
  8. - tpings.apk,
  9. - oneshs.apk.

Это из того что он не смог удалить в силу отсутствия рут-прав и морального устоя, 4 папки с вредоносным содержимым он сжёг на костре, точно не помню их названия – пепел всё скрыл. Перепишите «координаты» опасных файлов, которые сканер нашёл, но не смог удалить.

Итак, после сканирования вы нашли вирусы, часть из них удалили и знаете точное месторасположение остальных вредоносных файлов. Теперь надо получить рут-права и установить проводник для удаления файлов.

Kingo Root

На моём Андроид 5 удачно стал лишь Kingo Root, поэтому его и рекомендую. Даже хвалённый Bajdo Root не стал. Всё программы, необходимые для удаления вирусов, вы найдёте внизу. Они проверены лично мной, все рабочее и не поломает Андроид.

Перед установкой Kingo рекомендую соблюсти два правила – нормально зарядить телефон и подключиться к сети, так как потребуется загрузка обновлений и установка Super User. Запускаете приложение, нажимаете «получить root» и синеете в ожидании, пока софт устанавливается и обновляется. Есть более сложный способ установки рут-прав с помощью Kingo через компьютер, но не стоит усложнять себе жизнь, когда работает и так.

ES проводник

Получили права? Теперь устанавливайте ES_file_explorer – проводник, способный работать с рут-правами. В проводнике идите в меню (левый верх), ищите вкладку Root-проводник и включайте его. Соглашайтесь с глупыми вопросами от приложения и переходите в пункт меню «Локальное хранилище – устройство».

Остаётся найти вредоносные файлы и удалить их. Выделяем и удаляем.

После удаления вирусов перезагрузите телефон и ещё раз просканируйте его сканером. Если удалили не всё, повторите процедуру для полного выздоровления.

Болезнь требует жертв, так повелось.

Итак, закрепим пройденный материал:

  1. - Устанавливаете Malwarebytes и ищите вирусы,
  2. - Записываете месторасположение не удаляемых файлов,
  3. - Устанавливаете Kingo Root и открываете рут-права,
  4. - Устанавливаете ES проводник,
  5. - Удаляете вирусы,
  6. - Перезагружаете смартфон,
  7. - Перепроверяете систему сканером ещё раз.

Программу Kingo Root удаляйте сразу после уничтожения вирусов, Super User и ES проводник можете оставить. Если соберётесь в мастерскую на гарантийный ремонт и понадобиться удалить root-права и их следы, то зайдите в меню Super User и воспользуйтесь строкой «удаление root». Если Super User удалили, и у вас остались права рут, которые надо убрать, то ставьте его заново и удаляете права через меню. Иначе до файла SU в system/bin не добраться.

И да, если вы думаете, что у вас на Андроид вирусов нет, но в 90% случаев вы ошибаетесь.

Компания Google быстро прошла путь от небольшой поисковой системы до гигантской инфраструктуры, компоненты которой работают на наших ПК, смартфонах, планшетах и даже телевизорах. Google неустанно собирает о нас информацию, поисковые запросы тщательно логируются, перемещения отслеживаются, а пароли, письма и контактная информация сохраняются на годы вперед. Все это неотъемлемая часть современности, но мы вполне можем ее изменить.

Ни для кого не секрет, что любое устройство под управлением Android (по крайней мере то, что сертифицировано Google) содержит в себе не только компоненты, собранные из AOSP, но и внушительное количество проприетарных программ Google. Это те самые Google Play, Gmail, Hangouts, Maps и еще куча приложений, включая диалер и камеру (начиная с KitKat).

Для всех этих компонентов нет не только исходного кода, но и вообще каких-либо пояснений по поводу принципов их работы. Многие из них изначально созданы с целью собирать определенные виды информации и отправлять их на серверы Google. Так, например, ведут себя GoogleBackupTransport, отвечающий за синхронизацию списка установленных приложений, паролей и других данных, GoogleContactsSyncAdapter, который синхронизирует список контактов, или ChromeBookmarksSyncAdapter, работа которого — синхронизировать закладки браузера. Плюс сбор информации обо всех запросах в поисковике.

В самом факте синхронизации, конечно, ничего плохого нет, и это великолепный механизм, который позволяет настроить новый телефон за считаные минуты, а Google Now даже умудряется дать нам полезную информацию на основе наших данных (иногда). Проблема только в том, что все это рушит нашу конфиденциальность, ибо, как показал Сноуден, под колпаком у АНБ (и, вероятнее всего, у кучи других служб) находится не только какая-нибудь империя зла под названием Microsoft, но и Google, а также множество других компаний из тусовки «мы не зло, а пушистые меценаты».

Говоря другими словами: Гугл сольет нас всех без всяких проблем, и не факт, что его сотрудники, сидя в своих офисах с массажистками и собачками, не ржут над именами из твоей контактной книги (там все зашифровано, да), попивая 15-летний пуэр из провинции Юньнань. А может быть, к черту этот Гугл? Возьмем их Android, а сами они пусть идут лесом?

Последняя версия кастомной прошивки на основе KitKat для моего смартфона весит 200 Мб, однако, чтобы получить настоящий экспириенс от смартфона, я должен прошить поверх нее еще и архив gapps, размер которого составляет 170 Мб. Только после этого я получу систему, аналогичную предустановленной на Nexus-устройства, со всеми плюшками в виде интегрированного с Google Now рабочего стола, блокировку экрана на основе снимка лица, камеру с поддержкой сферической съемки и килограмм гугловского софта, начиная от Google Play и заканчивая Google Books.

Так Google Apps попадают на смартфон. Из пользователей 99% либо юзают предустановленные приложения, либо устанавливают их самостоятельно на абсолютно чистую и полностью анонимную прошивку. А дальше с момента ввода имени пользователя и пароля начинается синхронизация и слив информации.

Чтобы разобраться, как это происходит, распакуем тот самый архив с gapps и взглянем внутрь. Нас интересуют каталоги /system/app и /system/priv-app , при установке их содержимое копируется в одноименные каталоги внутри смартфона. Второй каталог — это новшество KitKat, в нем размещаются приложения, использующие системные API, помеченные как "private" и не доступные обычным приложениям.

В каталоге /system/app мы найдем большое количество разных гугловских приложений, легко узнаваемых по названию пакета: Books.apk, Chrome.apk, Gmail2.apk и так далее. Каждое из них по-своему будет делиться информацией, но это абсолютно нормально (да, Google будет знать, что ты читаешь Пауло Коэльо через их приложение!). Наибольшую опасность здесь представляет GoogleContactsSyncAdapter.apk, который отвечает только за то, чтобы отправлять на удаленный сервер список контактов. Записываем название в блокнот и идем дальше.

Большинство файлов из каталога /system/priv-app — это сервисы и фреймворки, необходимые для запуска всей этой махины синхронизации и слежки:

  • GoogleBackupTransport.apk — занимается синхронизацией данных установленных приложений, паролей Wi-Fi и некоторых настроек;
  • GoogleLoginService.apk — связывает устройство с Google-аккаунтом;
  • GooglePartnerSetup.apk — позволяет сторонним приложениям получить доступ к сервисам Google;
  • GoogleServicesFramwork.apk — фреймворк с различной подсобной функциональностью;
  • Phonesky.apk — Play Store (как ни странно);
  • PrebuiltGmsCore.apk — Google Services, как видно из названия, это ядро всего комплекта gapps;
  • Velvet.apk — поиск от Google, включающий в себя строку поиска на рабочем столе и Google Now.

В сущности, это и есть та часть Google Apps, которая ответственна за слив нашей частной информации. Попробуем от всего этого избавиться.

Самый простой способ отвязать смартфон от Google — это воспользоваться стандартными настройками системы. Метод хорош тем, что не требует ни прав root, ни установки кастомных прошивок, ни кастомного рекавери. Все можно сделать в любой стоковой прошивке без потери доступа к аккаунту и приложениям типа Gmail (если это необходимо). Однако за эффективность никто ручаться не будет, так как вполне возможно, что некоторые компоненты gapps продолжат отправку данных.

За множество настроек синхронизации отвечает также приложение «Настройки Google», которое является частью Google Services. С его помощью, в частности, можно отключить доступ Google к местоположению («Доступ к геоданным -> Доступ к моим геоданным / Отправка геоданных / История местоположений»), отключить отправку личных данных поисковику («Поиск -> Личные данные»), отключить Google Now («Поиск -> Google Now») и отключить удаленное управление («Удаленное управление -> Удаленный поиск устройства / Удаленная блокировка и сброс настроек»).

В тех же «Настройках Google», кстати, можно отключить любое приложение, использующее аккаунт Google для авторизации. Речь при этом идет не только о софте, установленном на девайс, но и вообще обо всех когда-либо использованных приложениях, включая веб-сайты. Я, например, обнаружил в этом списке множество сайтов, на которые не заходил уже как минимум пару лет.

Большинство приложений Google можно безболезненно отключить через настройки: «Приложения -> ВСЕ -> нужное приложение -> Отключить».

В том случае, если на стоковой прошивке есть права root, от Google Apps можно избавиться, просто удалив их со смартфона. Как я уже говорил, все они хранятся в каталогах /system/app и /system/priv-app . Например, в случае с KitKat список Google-приложений в первом каталоге будет таким:

  • Books.apk — Google Книги;
  • CalendarGoogle.apk — Google Календарь;
  • Chrome.apk — Google Chrome;
  • CloudPrint.apk — система облачной печати;
  • Drive.apk — Google Drive;
  • GenieWidget.apk — виджет новостей и погоды;
  • Gmail2.apk — Gmail;
  • GoogleContactsSyncAdapter.apk — синхронизация контактов;
  • GoogleEars.apk — Google Ears (аналог Shazam);
  • GoogleEarth.apk — Google Земля;
  • GoogleHome.apk — домашний экран с интегрированным Google Now;
  • GoogleTTS.apk — система синтеза речи;
  • Hangouts.apk — Google Hangouts;
  • Keep.apk — Google Keep;
  • LatinImeGoogle.apk — клавиатура с поддержкой жестов;
  • Magazines.apk — Google Журналы;
  • Maps.apk — Google Карты;
  • Music2.apk — Google Музыка;
  • PlayGames.apk — Google PlayGames;
  • PlusOne.apk — Google+;
  • QuickOffice.apk — QuickOffice;
  • Street.apk — Google Street;
  • SunBeam.apk — живые обои SunBeam;
  • Videos.apk — Google Фильмы;
  • YouTube.apk — YouTube.

В каталоге /system/priv-app , кроме перечисленных ранее, также хранятся такие файлы:

  • CalendarProvider.apk — хранит данные календаря;
  • GoogleFeedback.apk — отправляет отчет об использовании Google Play;
  • GoogleOneTimeInitilalizer.apk — мастер установки дополнительных Google-приложений;
  • SetupWizard.apk — мастер настройки при первом запуске;
  • Wallet.apk — Google Кошелек;
  • talkback.apk — оповещение голосом о событиях на устройстве.
Комплект Gapps для KitKat, кроме всего прочего, включает в себя также проприетарную камеру с поддержкой сферической съемки и проприетарный же рабочий стол с интегрированным Google Now.

Но это еще не все. Google Apps зависят от нескольких фреймворков, которые находятся в каталоге /system/framework . Это файлы com.google.android.maps.jar, com.google.android.media.effects.jar и com.google.widevine.software.drm.jar. Еще есть множество библиотек в каталоге /system/lib , которые используются исключительно Google-приложениями. Удалять их совсем не обязательно, но можно. Просто чтобы очистить мусор. Их список ты найдешь на сайте ][.

В прошлых (да и в будущих) версиях системы содержимое Google Apps отличается, поэтому перед удалением рекомендую скачать gapps нужной версии с сайта goo.im/gapps, распаковать с помощью WinRar и просмотреть содержимое. Также следует учитывать зависимость некоторых приложений из маркета от приложений Google, подробнее об этом я расскажу позже.

gapps-libs

Это только часть библиотек, входящих в комплект gapps

Предыдущий способ можно существенно упростить, если просто установить на смартфон кастомную прошивку без Google Apps. В этом случае смартфон/планшет будет кристально чист без всякой привязки к Google. Недостаток этого способа — отсутствие Google Play, но можно либо заменить его сторонним магазином приложений (об этом ниже), либо использовать следующий способ, который включает в себя установку урезанной версии Google Apps.

Этот способ частичной отвязки от Google — своего рода компромисс. Он не решает проблему слежки — по крайней мере без настроек из первого способа, — но позволяет не захламлять систему кучей бесполезного софта, который будет висеть в фоне и жрать память. Суть проста — ставим кастомную прошивку и заливаем поверх нее минималистичную версию gapps, которая включает в себя только Google Play.

Таких минимальных сборок gapps в Сети множество, но я бы рекомендовал использовать проверенные временем BaNkS Gapps, а именно файл «месяц-числоGAppsCore4.4.2signed.zip». Они работают на любом смартфоне, совместимы с ART и включают в себя только основные файлы gapps, список которых приведен в разделе «Что такое Gapps», файлы фреймворка, а также несколько библиотек. По сути, это Google Play, инструменты синхронизации и ничего больше.

Меняем поисковик на DuckDuckGo

Даже после полного отключения синхронизации на домашнем экране останется «встроенная» строка поиска Google. В стоковых прошивках некоторых производителей (Samsung, например) это всего лишь виджет, который можно легко удалить с экрана. В чистом Android и девайсах от многих других производителей она «вшита» в домашний экран, но ее можно убрать, отключив весь поиск от Google (вместе с Google Now) с помощью меню «Настройки -> Приложения -> Все -> Google поиск -> Отключить» или установив сторонний лаунчер. Далее достаточно скачать из маркета или другого магазина приложений DuckDuckGo и добавить одноименный виджет на домашний экран.

Второй и третий способ предполагают полное избавление от Google Apps, включая Google Play и возможность логина с помощью Google-аккаунта, поэтому мы должны найти способ простой и удобной установки приложений, который не заставлял бы нас выкачивать их самостоятельно, а затем скидывать на карту памяти и устанавливать вручную. Один из таких способов — установить сторонний маркет.

На данный момент существует три более или менее жизнеспособные альтернативы Google Play. Это Amazon Appstore, Yandex.Store и 1Mobile Market. У каждого из них есть свои преимущества и недостатки, которые в основном сводятся к количеству приложений и способам оплаты:

  • Amazon Appstore — самый известный магазин приложений после Google Play. Содержит более 75 тысяч приложений (в сравнении с 800 тысячами в Google Play), качество каждого из которых проверяется вручную, так же как в iTunes для iOS. Расплачиваться можно с помощью кредитной карты или амазоновскими монетами (Amazon Coins), которые дают в качестве подарка за покупку планшета Kindle Fire либо в подарок от другого юзера. Одна из самых интересных черт магазина — ежедневная бесплатная раздача одного из платных приложений.
  • Yandex.Store — магазин от компании «Яндекс». Содержит более 85 тысяч приложений, каждое из которых проверяется антивирусом Касперского. Особо ничем не выделяется, но зато имеет киллер-фичу в виде возможности оплачивать покупки с помощью сервиса Яндекс.Деньги или счета мобильного телефона.
  • 1Mobile Market — крупнейший сторонний репозиторий Android-приложений, включающий в себя более 500 тысяч софтин. Отличается от других наличием исключительно бесплатных приложений (не путать с пиратскими), из-за чего позволяет не проходить стадию регистрации аккаунта и сохранить анонимность.

Приложения во всех трех маркетах имеют оригинальные цифровые подписи разработчиков приложений, что позволяет использовать их одновременно. Приложение, установленное из одного маркета, может быть без проблем обновлено из другого, а при удалении пропадет из списка установленных сразу во всех. Покупать, правда, придется раздельно.

Amazon Appstore Yandex.Market 1Mobile Market

Open Source Маркет

Кроме описанных в статье, а также множества других менее известных магазинов приложений, в Сети можно найти отличающийся от остальных репозиторий F-Droid. Он полностью анонимен и содержит только свободный софт, распространяемый под лицензиями, одобренными фондом FSF. Приложений в F-Droid всего тысяча, зато все они гарантированно не содержат бэкдоров и других систем разглашения личных данных. Именно F-Droid используется в качестве дефолтового маркета в свободной Android-прошивке Replicant.

Несмотря на то что компоненты gapps не являются частью официального API Android, некоторые приложения все-таки ожидают увидеть их в системе, из-за чего может возникнуть ряд проблем — от полной неработоспособности приложения до потери части его функций. Некоторые приложения откажутся устанавливаться из-за отсутствия Google Maps API, другие падают сразу после запуска, не обнаружив его, третьи включают в себя прямые ссылки на Google Play, что может привести к падениям и некорректной работе.

Чтобы решить эти проблемы, пользователь MaR-V-iN с XDA начал проект NOGAPPS, в рамках которого ведется разработка набора открытых компонентов, заменяющих оригинальную функциональность Google Apps. В данный момент доступно три компонента-замены:

  • Network Location — сервис геолокации на основе Wi-Fi и базовых станций GSM. Основан на базе данных IP-адресов от Apple и открытой базе базовых станций;
  • Maps API — замена интерфейса к Google Maps на основе OpenStreetMap;
  • BlankStore — открытая альтернатива клиенту Play Store. Позволяет устанавливать бесплатные приложения из магазина Google, но не рекомендуется к использованию из-за возможных санкций со стороны поисковика (это запрещено их правилами).

Установка компонентов производится отдельно и разными способами. Network Location достаточно вручную скопировать в каталог /system/app/ в Android 2.3–4.3 или в каталог /system/priv-app/ в KitKat (в этом случае следует использовать файл NetworkLocation-gms.apk). Maps API устанавливается с помощью прошивки файла nogapps-maps.zip через консоль восстановления. Для установки маркета придется не только копировать файл, но и генерировать Android ID на большой машине, но, так как делать это не рекомендуется, я не буду об этом рассказывать и ограничусь ссылкой на инструкцию.

После всех манипуляций софт должен корректно заработать.

Для компании Google Android без ее собственных приложений бесполезен, поэтому нет ничего удивительного в том, что компания выносит в них самые вкусные части системы и оставляет код закрытым. Однако в этой статье я показал, что жизнь без gapps есть и она может быть даже проще и удобнее, чем с Google.
[authors]

Евгений Зобнин

Редактор рубрики X-Mobile. По совместительству сисадмин. Большой фанат Linux, Plan 9, гаджетов и древних видеоигр.

Аналитики ESET обнаружили интересный метод скрытной атаки на пользователей Android, который содержит в себе интересную особенность. В магазине приложений Google Play нам удалось обнаружить несколько приложений, которые маскировались под легитимные, но на самом деле содержали в себе другое приложение с вредоносными функциями. Это встроенное приложение называлось systemdata или resourcea.


Это второе приложение скрытно сбрасывается в память устройства из первого, но спрашивает у пользователя разрешение на установку. Оно представляется в качестве инструмента для управления настройками устройства «Manage Settings». После своей установки, приложение работает как служба в фоновом режиме.

Антивирусные продукты ESET обнаруживают приложения, которые содержат в себе это дополнительное приложение как Android/TrojanDropper.Mapin. Согласно нашим данным, на долю Индии приходится наибольшее количество заражений устройств Android этим вредоносным ПО.

Вредоносная программа представляет из себя бэкдор, который получает контроль над устройством и включает его в состав ботнета. Бэкдор использует специальный внутренний таймер для отложенного исполнения своей полезной нагрузки. Таким образом, авторы могут обмануть различные автоматические системы анализа файлов, которые могут причислить файл к подозрительным из-за его поведения. В некоторых случаях, бэкдор может ждать три дня прежде чем активировать полезную нагрузку. Скорее всего, такая мера позволяет авторам обойти механизмы проверки инструмента анализа файлов Google Bouncer, используемый Google для проверки загружаемых в Play приложений.

После активации полезной нагрузки, троян запрашивает права администратора в системе и начинает взаимодействовать со своим C&C-сервером. Android/Mapin содержит в себе различные функции, например, отображение пользователю различных уведомлений, загрузка, установка и запуск других приложений, а также получение личной информации пользователя на устройстве. В то же время, основной его функцией является отображение fullscreen-рекламы на зараженном устройстве.

Векторы распространения

Вредоносные приложения были размещены в магазине приложений Google Play в конце 2013 г. и в 2014 г. Названия приложений были различными, включая, «Hill climb racing the game», «Plants vs zombies 2», «Subway suffers», «Traffic Racer», «Temple Run 2 Zombies», «Super Hero Adventure» разработчиков TopGame24h, TopGameHit и SHSH. Точные даты загрузки приложений были 24-30 ноября 2013 г. и 22 ноября 2014 г. Согласно статистике ресурса MIXRANK, приложение Plants vs zombies 2 было загружено более 10 тыс. раз перед его удалением из магазина. В то же самое время, приложения «System optimizer», «Zombie Tsunami», «tom cat talk», «Super Hero adventure», «Classic brick game», а также вышеупомянутые приложения Google Play с вредоносными возможностями, были загружены в альтернативные магазины приложений Android теми же авторами. Такой же бэкдор был обнаружен в комплекте с другими приложениями, которые были загружены в магазин разработчиком PRStudio (не путать с prStudio) в альтернативные магазины приложений со ссылками на Google Play. Данный разработчик загрузил как минимум и пять других троянских приложений в альтернативные магазины приложений: «Candy crush» или «Jewel crush», «Racing rivals», «Super maria journey», «Zombie highway killer», «Plants vs Zombies». Эти приложения все еще доступны для скачивания из этих магазинов. Перечисленные приложения были загружены пользователями сотни раз.



Рис. Значки вредоносных приложений.



Рис. Вредоносное приложение, которое получило достаточно положительных оценок.



Рис. Еще одно приложение, получившее положительные оценки.

Существуют различные варианты исполнения вредоносной программы после того, как пользователь загрузил нелегитимное приложение. Один из вариантов предполагает, что жертве будет предложено запустить файл с вредоносной программой спустя 24 после первого исполнения загруженного приложения. Такой метод является менее подозрительным для пользователя, который считает, что запрос на запуск поступил от ОС. Другой метод подразумевает под собой выдачу мгновенного запроса пользователю. Оба варианта рассчитаны на срабатывание после изменения подключения к сети, для этого вредоносная программа регистрирует т. н. broadcast receiver в манифесте.

После изменения подключения, пользователю будет предложено установить «системное приложение». Само сброшенное на устройство вредоносное приложение может называться «Google Play Update» или «Manage Settings».



Рис. Вредоносное приложение маскируется под системное.



Рис. Процесс регистрации устройства на сервере злоумышленников.

Для того, чтобы исключить возможность своего удаления из системы, троян требует от пользователя активировать режим администратора устройства.



Рис. Предложение пользователю об активации режима администратора устройства.

Троян сообщит на удаленный сервер об успешности активации режима администратора устройства. Как только такая операция произойдет, вредоносная программа будет показывать пользователю рекламу в полноэкранном режиме (interstitial). Такая реклама (interstitial ad) будет отображаться пользователю заново каждый раз при смене подключения. Разработка такого типа рекламы возможна с использованием легитимного AdMob SDK.



Рис. Full-screen реклама (interstitial ad).

Сетевое взаимодействие

Троян взаимодействует со своим управляющим сервером используя сервис Google Cloud Messaging (GCM). Этот сервис все чаще используется современными вредоносными программами для своих целей, через него злоумышленники могут инструктировать бот на выполнение нужных им действий.



Рис. Обрабатываемые ботом команды.

Не все функции вредоносной программы полностью реализованы в ее коде, кроме этого, не все уже реализованные функции используются. Возможно, что сама угроза все еще находится на уровне разработки и будет улучшена в будущем. Как мы уже упоминали, ее основная цель заключается в доставке агрессивной full-screen рекламы для ее отображения пользователю, маскируясь под системное приложение. Бот также может быть использован злоумышленниками для установки другого вредоносного ПО на скомпрометированное устройство.

Троянская программа была успешно загружена в магазин Google Play, поскольку содержала в себе механизм отложенной активации вредоносных функций и, таким образом, не вызвала к себе подозрений со стороны инструмента Bouncer. Интересным вопросом является и то, почему Bouncer не специализируется на статическом анализе исполняемых файлов внутри загруженных приложений. По этим причинам троянская программа свободно распространялась пользователям через официальный магазин приложений Google для Android. Вредоносная игра «Super Hero adventure» была загружена в Play Store разработчиком SHSH. Вполне возможно, что этот разработчик загрузил больше приложений в магазин Play. В конечном счете, все они были удалены из магазина, но оставались незамеченными там в течение полутора лет. Возможно, что подобные случаи стали причиной того, что в марте 2015 г. Google объявила о том, что все приложения и обновления должны проходить проверку со стороны человека.

Ниже представлена информация о проанализированных нами образцах вредоносной программы.

Продолжаю рассказывать вам о приложения и службах, которые не только занимают место в памяти наших смартфонов, но и оказывают влияние на расход заряда аккумулятора.

Предыдущую статью, вы сможете найти на главной странице канала, а пока, ознакомьтесь с результатами, которых мне удалось добиться, после отключения программы, о которой пойдёт речь в этом материале.

Условия теста были очень просты: Только 4G интернет (принудительно, даже если сигнал плохой), яркость примерно 60%, смешанный тип использования, с большим количеством времени выделенным на просмотр видео онлайн в качестве 1080p.

Как вы видите, при пяти с половиной часах экрана, осталось ещё 57% заряда аккумулятора, а «Система Android» использовала 7.29% (от 43 потраченных). Графики активности и работы экрана практически идентичны, а это значит, что смартфон ничего не беспокоит в фоновом режиме.

А вот результаты на следующий день, показывающие что «Система Android» увеличила расход батареи всего на 0.13%, за 12 часов. Обычно, на моём смартфоне (Redmi Note 8T) этот показатель увеличивался на 2-3% за тот же период.

К чему я это всё ? Знакомьтесь: Device Health Services - служба от Google, призванная следить за состоянием аккумулятора и отображать время продолжительности работы смартфона, что на первый взгляд выглядит весьма полезно.

Но работает она только на девайсах с Android One и фирменных смартфонах Google Pixel, следовательно, в наших Xiaomi, это приложение попросту бесполезно и впустую тратит ресурсы системы.

Отключить её можно через Play Market или Activity Launcher (ссылку оставлю в конце). Я покажу на примере последнего, так как это просто быстрее, вы же можете делать, так как вам удобно.

Заходите в приложение —> в поисковой строке пишите «Все приложения» —> заходите в первый пункт списка —> Ещё —> Показать системные процессы

Находите в списке «Device Health Services» —> Хранилище и кеш —> Очистить кеш (если есть) —> возвращаетесь назад и нажимаете сначала «Остановить», а затем «Отключить».

Если хотите, можете вовсе удалить эту службу через приложение «ADB AppControl» (инструкцию по его использованию вы найдёте по ссылке ниже). Так же, чтоб два раза не ходить, можете отключить приложения «Сделать вырез в углу экрана» и «Сделать вырез на экране выше», имена которых выглядят вот так:

Читайте также:

      
  • Режим структуры word 2019
    •   
  • Символ ускорения свободного падения в ворде
    •   
  • Программа для айфона для автомобиля
    •   
  • Wget не является внутренней или внешней командой исполняемой программой или пакетным файлом
    •   
  • Совокупность связанных объектов обрабатываемых как единый объект называют автокад
  • Контакты
  • Политика конфиденциальности