Android: 3 oznaki, że Twój smartfon ma ukryte złośliwe oprogramowanie

spamtrash

Bardzo aktywny
Zasłużony
Dołączył
11 Styczeń 2014
Posty
4275
Reakcje/Polubienia
5690
Miasto
To tu to tam....

Artykul jest... polecmy po bandzie: szkodliwy. Wprowadza uzytkownika w blad i koncentruje sie na adware i koparkach a nie na malware.

No dobrze, a teraz uzasadnienie: co robi malware? ukrywa swoja dzialalnosc, a nie bomarduje usera reklamami czy mu drenuje baterie kopiac monero czy inny badziew. Tym sie odroznia od adawre... miedzy innymi.

WARNING: below is TL;DR jesli nie masz roota, nie wiesz co to debugging bridge i inne takie.
Ponadto jao ze leniwy jestem to ponizsze obejmuje moze z 5% tematu, a nawet te pozycje ktore wpisalem moga miec po pare stron opisu kazda. Jesli jakis punkt kogos zainteresuje, to Wujek Google (A w niektorych przypadkach Ciocia Yandex) zapewne pomoze.

Abbyy... se popatrzec czy cos nam sie nie podoba w Androidzie i czesciowo sie ochronic w dosc trywialny sposob. Niektore wymagaja roota i moze znajomosci co to jest adb... bez roota do androida to tak tego... ja bym sie bal. Ale lecmy od poczatku (lojalnie jak ta lojalna Jola uprzedzam ze NIE ograniczam sie do rozwiazan z GP i ich stosowanie jest na wlasne Rydzyko).

1. Zmieniamy sobie przegladarke domyslna z Chrome na cokolwiek nie od googla. Wiele rodzin malware wykorzystuje zarowno mechanizmy samego Chrome, jak i bazujacego na nim WebView. Stosunkowo niedawno gdzie tutaj byl omawiany przylad malware ktory wykrzacal sie wlasnie jesli chrome nie bylo domyslna przegladarka. Wynika to czesciowo z fragmentacji rynku, modeli i oprogramowania, dzie czesto jedna z kilku czesci zasadniczo wspolnych jest wlasnie nieszczesny Chrome. Jak juz musimy miec Chrome, to polecam rozwazenie odguglanego chromuim:
Zaloguj lub Zarejestruj się aby zobaczyć!
(polecam zapoznanie sie rowniez z
Zaloguj lub Zarejestruj się aby zobaczyć!
jezeli uzywacie andka N lub O lub P). Co jest fajne (ale nie zawsze dziala bo to eksperymentalny fature: odguglany chrome MOZE wspierac dodatki).
2. Zmieniamy domyslnego klienta SMS na cos innego, np. na Signala. Nie zabezpieczy przed wszystkim, ale czasem pomoze nie wykonac kodu, a to juz cos daje.
3. Blokujemy polaczenia sieciowe tym aplikacjom ktorym chcemy.. eee.. prosciej bedzie zezwolic na ruch sieciowy tym aplikacjom ktore chcemy.
AFwall+ oczywiscie
4. Blokujemy niesparowanym urzadzeniom laczenie sie z BT. Oczywiscie Bluetooth Firewall by fruitmobile (UWAGA: apka posiada ograniczenie: strict mode odwala polaczenia niesparowanych urzadzen dopiero po 20s, co jest wystarczajace do wykonania paru rzeczy, ale to zostanie odnotowane w logu. Nie zablokuje np. protego od zadzumionego, ale chociaz odnotuje skan). Abbyy to zmienic: patrz punkt 8
5. Blokujemy mozliwosc ruchu adb po WiFi mozna oczywiscie poprzez WiFi ADB z GP, ale ja polecam tutaj akurat

Zaloguj lub Zarejestruj się aby zobaczyć!
ale to oczywiscie kwestia osobistych preferencji. Ta, wiem. Ta preferowana przeze mnie wersja jest z 2012 roku. ale smiga do P co najmniej.
6. Permissions denied. Dziala do najnowszej wersji Androida pod magiskiem pod warunkiem ze znajdzie w /system/xbin busybox free od stericsona (z GP tym razem). Tu mozna przejrzec co dana aplikacja chce pod wzgledem uprawnien. UWAGA: niektore po odbiorze uprawnien nie chca pracowac. Wtedy albo trzeba wycofac zmiany albo przeinstalowac apke.
7. MyAndroidTools. Permissions to wierzcholek gory lodowej. Apki moga uzywac broadcasterow, content providerow, services i activities... nie macie np. pojecia ile apek raportuje uzycie uzywajac firebase... Uwaga, tez mozna wykrzaczyc apke (lub system,zalezy co i gdzie sie zmienia).
8. APKTool. Last line jesi desperacko czegos chcemy od apki ale nie chcemy zeby nam zagladala w majtki. Pozwala tez sprawdzic elementy systemu (jesli sa w klasyczny sposob powiazane z manifestem xml) czy elementy ktore pojawily sie znikad. Praktycznie sluzy do przebudowy aplikacji i jesli nie wiemy co robimy to lepiej zostawic w spokoju. Kupa tutroiali i dodatkow.

To z dzialan aktywnych.
Z dzialan pasywnych warto zainstalowac All Connections i czasem popatrzec co i gdzie sie laczy. O netstacie dla androida nie wspomne, nie? Logcat tez czasem mozna przejrzec.

Od razu mowie: powyzsze NIE ukryje Was w sieci. NIE wyeliminuje automatycznie malware/adwre/ransomware/scareware. NIE ochroni Was przed targetowanym atakiem APT (nie ten poziom, stanowczo nie ten poziom...). Pomoze za to rozpoznac i wychwycic lub zablokowac niepozadane dzialania (niektore, APT czyli Advanced Persistan Threat, jak nasze CBA, maja na ten przyklad Pegasusa ktorego podanymi wyzej narzedziami sie nie da... chociaz zmiana takiej domyslnej przegladarki juz utrudnia nie to ze zarazenie nas rzadowym robalem ale jego dzialanie).

To Wy teraz czytajcie, a ja sobie zajaram... :jaranko
 

lugger

Bardzo aktywny
Zasłużony
Dołączył
20 Wrzesień 2010
Posty
646
Reakcje/Polubienia
1407
Artykul jest... polecmy po bandzie: szkodliwy. Wprowadza uzytkownika w blad i koncentruje sie na adware i koparkach a nie na malware.

No dobrze, a teraz uzasadnienie: co robi malware? ukrywa swoja dzialalnosc, a nie bomarduje usera reklamami czy mu drenuje baterie kopiac monero czy inny badziew. Tym sie odroznia od adawre... miedzy innymi.

WARNING: below is TL;DR jesli nie masz roota, nie wiesz co to debugging bridge i inne takie.
Ponadto jao ze leniwy jestem to ponizsze obejmuje moze z 5% tematu...
Ok. Kolego Spamtrash, wszystko się zgadza tylko pod jednym warunkiem - artykuł nie jest z pewnością adresowany do mega ekspertów, a dla przeciętnego Kowalskiego, którego i tak niewielki procent korzysta. W mojej ocenie te 3 wskazówki są realne do wykonania, a to już dużo zważywszy, że system Android jest zdecydowanie bardziej prymitywny niż system w komputerze i tak łatwo dziada nie jest zassać. Reasumując zdrowy rozsądek przy wysyłaniu, odpowiadaniu na SMS-y, czyszczenie raz w tygodniu przeglądarki, uprawnienia (tu myślę, że nie każdy sobie poradzi) jakiś antywirek typu Avast i Kowalski ochroni swój smartfonik. I chyba dla tej części użytkowników ten artykuł był przeznaczony. Moim zdaniem bardzo fajnie napisany i nawet wujek tłumacz ładnie go zoptymalizowal przekładając na nasze.
 

spamtrash

Bardzo aktywny
Zasłużony
Dołączył
11 Styczeń 2014
Posty
4275
Reakcje/Polubienia
5690
Miasto
To tu to tam....
Ok. Kolego Spamtrash, wszystko się zgadza tylko pod jednym warunkiem - artykuł nie jest z pewnością adresowany do mega ekspertów, a dla przeciętnego Kowalskiego, którego i tak niewielki procent korzysta. W mojej ocenie te 3 wskazówki są realne do wykonania, a to już dużo zważywszy, że system Android jest zdecydowanie bardziej prymitywny niż system w komputerze i tak łatwo dziada nie jest zassać. Reasumując zdrowy rozsądek przy wysyłaniu, odpowiadaniu na SMS-y, czyszczenie raz w tygodniu przeglądarki, uprawnienia (tu myślę, że nie każdy sobie poradzi) jakiś antywirek typu Avast i Kowalski ochroni swój smartfonik. I chyba dla tej części użytkowników ten artykuł był przeznaczony. Moim zdaniem bardzo fajnie napisany i nawet wujek tłumacz ładnie go zoptymalizowal przekładając na nasze.

Czesc,
nie zgodze sie ze android to prosty system (1) ani nie zgodze sie ze nie tak latwo zassac (2).

Ad 1: Personalnie nie wchodzac w szczegoly uwazam ze system na ktorym mozna odpalic maszyne wirtualna NIE jest "prosty" z definicji. Na Androidzie, jak wiadomo, dosc dobrze dziala np. VMOS:
Zaloguj lub Zarejestruj się aby zobaczyć!
. Co prawda np. malo osob uzywa w androidzie terminala i komend shella/busyboxa, ale to nie oznacza ze system jest prymitywny, a raczej userzy?
Ad 2: Co chwila kilkadziesiat/kilkaset apek wylatuje z Google Play (pierwsze z brzegu:
Zaloguj lub Zarejestruj się aby zobaczyć!
) , a zarazenie przez BT tez nie jest tak rzadkie jak sie by moglo wydawac (
Zaloguj lub Zarejestruj się aby zobaczyć!
).

Co do czytania SMSow - niektorych po prostu nie masz szansy zobaczyc, a z systemem moga wiele zrobic (zreszta to akurat wiadomo bylo chyba od zawsze, poczawszy od:
Zaloguj lub Zarejestruj się aby zobaczyć!
a skonczywszy na
Zaloguj lub Zarejestruj się aby zobaczyć!


Ale dobrze, popatrzmy na zawartosc artykulu:
1. Reklamy WSZEDZIE oznaka malware. Nieprawda. Co prawda na chwile obecna glosno jest tylko o Samsungu jako o producencie ktory wali reklamami na poziomie systemu (wszedzie):
Zaloguj lub Zarejestruj się aby zobaczyć!
ale inni zapewne pojda sladem. Przyzwyczajajcie sie drodzy moi ze niezrootowane fony beda za chwile walily po oczach reklamami coca-coli Paniom (cudowny napoj co ujedrnia biust), a Panom bedzie reklamowal masc na odciski dloni ;)

2. Zainstalowales nowa apke a nie ma ikony czyli to malware. Bzdura. Niektore apki po prostu tak maja ze ich ikona sie nie pojawia, bo nie musi. Przyklad? Prosze bardzo: "apka" klucz do Titanium Backup czy SuperSU czy chociazby PowerAmpa. W systemie jest, widac ja w ustawieniach jako zainstalowana, ale nie ma zadnej ikony czy innego widocznego znaku ze w ogole istnieje.

3. Nagle zwiekszenie zuzycia baterii. Byc moze, ale tylko jesli nie wynika to z dzialania apki per se. Np. zainstalowanie Whatsappa,Facebooka z messengerem, Skype, MS Teams moze spowodowac skokowy wzrost zuzycia baterii. Ale nie dotyczy to tylko komunikatorow. Moim ulubionym przykladem jest Jewels (
Zaloguj lub Zarejestruj się aby zobaczyć!
) ktory potrafi wykonczyc baterie S9/S10 w mniej niz 3 godziny

Teraz przyjrzyjmy sie zaleceniom w artykule pod kontem losowego Kowalskiego:
1. Trzymanie aktualnej wersji systemu. AWYKONALNE. Producenci wspieraja fony przez dwa-trzy lata, potem maja wyje... znaczy: aktualizacja starzych telefonow ma mniejszy priorytet, o ile w ogole jakikolwiek ma. Losowy Kowalski, zapewniam, pojecia nie ma co to TWRP, Developers Options (i jak sie do nich dostac), USB Debugging. Losowy Kowalski ktory jest bardziej ogarniety trafi na forum typu XDA gdzie moze sobie poczytac co i jak i zaladowac modowany, aktualny ROM. O ile ma zaufanie do losowego ludka ktory tenze ROM skompilowal. Optymalnie aby zastosowac ta konkretnie porade losowy Kowalski majacy 3letni fon winien zaladowac na niego TWRP albo inne Recovery, wlezc w Android Kitchen i zrobic sobie samemu ROM implementujac ostatnie security patches. Bez wsparcia producenta awykonalne, bo musialby samemu skompilowac np. kernel, ktory nie zostanie poprawnie zaladowany bez podpisu. Zostaje wiec AOSP, i juz widze jak losowy Kowalski go sobie na fona laduje.
2. Przegladanie uprawnien. Nom. Juz widze jak losowy Kowalski je przeglada, zwlaszcza ze artykul NIE wspomina o tym ze przejrzenie uprawnien z poziomu Ustawienia-Aplikacje bez zaznaczenia: pokaz wszystkie to strata czasu.
3. Usuniecie apki ktora robi cos co moze byc malware. Yhy. JEZELI to malware, to usuniecie apki nic nie da. Czesto gesto taki dziad spokojnie przezywa fabryczny reset systemu, a jedynym sensownym rozwiazaniem jest calkowity wipe telefonu z poziomu Recovery i wgranie nowego, swiezo sciagnietego ROMu (
Zaloguj lub Zarejestruj się aby zobaczyć!
). I nie, te szkodliwe szczatki ktore przezyja reset fabryczny na 100% nie beda widoczne jako aplikacja, co wiecej, beda siedziec na partycjach do ktorych user bez roota nie ma dostepu, wiec nie ma fizycznie mozliwosci chocby popatrzec na pliki. Nie wspominajac o tym czy obecnosc tego lub innego pliku jar wzbudzilaby jakiekolwiek podejrzenia.
4. Instalacja antywirusa. Trzeba sobie zdac sprawe ze antywirusy na androida dzialaja troszke inaczej niz dla Windowsa. Malo jest antywirow ktore podczas instalacji/pierwszego uruchomienia rozpoznaja np ze tel jest rootowany i poprosza o przyznanie uprawnien, co umozliwiloby pelny skan systemu, a nie tylko obszar aplikacji. Losowy Kowalski, mam wrazenie, nie zdaje sobie z tego sprawy i opisane np. w p 3 szkodniki nie zaklocaja jego poczucia szczescia i bezpieczenstwa, a robal sobie w najlepsze hasa w tle.

Tak wiec, ponownie, moim zdaniem zarowno wskazowki odnosnie symptomow posiadania malware jak i wskazowki odnosnie tego co mozna zrobic sa dosc mylace.
 
Do góry