Как справиться с необычным вирусом на Android

Android – сама по себе неплохая операционная система. Она занимает более 80% рынка и является лидером в сегменте мобильных ОС. Удобная, кастомизируемая, с множеством различных функций и неплохим уровнем безопасности... Но иногда недобросовестные разработчики приложений начинают злоупотреблять доверием пользователей... и получается - вирус на смартфоне.

Симптомы

Этот странный вирус начал проявлять себя в начале 2019 года. На смартфонах пользователей под управлением Android появляется реклама во всплывающих окнах в браузере. При этом проявляет вирус себя исключительно при определенных действиях пользователя. Если вы скачивали или обновляли любое приложение в Google Play, по окончании установки у вас открывается окно браузера с длинной ссылкой на сайты appsquare.net/novelcamp.net/h5mone.com/qwer1234.xyz.

Это происходит не каждый раз, а примерно один раз в день. Или один раз в три дня. Какой-то системности не было замечено. При этом окно с рекламой может открыться, когда вы, например, отправляете картинку в WhatsApp.

С такими симптомами столкнулись пользователи разных стран – США, России, Италии, Украины и даже Беларуси. На одном из популярнейших форумов США – reddit.com, именно этому странному вирусу посвящена большая тема (более 250 сообщений). Жалобы поступали от владельцев разных смартфонов: Samsung Galaxy S7, S8, S9, LG G7, Xiaomi Redmi, HTC U11, Huawei Mate 9 и даже планшетов.

Ссылки от вируса перенаправляют на сайты с рекламой подозрительных приложений и игр. Рекламный вирус вроде бы творит безобидные вещи. Но, когда кто-то без твоего ведома на смартфоне открывает ссылки на постоянной основе, это раздражает. Первоначально американские пользователи пытались бороться с ним, устанавливая на смартфоны популярные антивирусы. Но они ничего не находили. А ссылки открывались снова. Причем в разных браузерах: Chrome, Firefox, Samsung Internet Browser. Даже опытные пользователи не могли найти причину и источник вируса. Временно помогала чистка кэша приложений (либо сброс рекламного идентификатора Google). Но спустя пару дней ссылки снова открывались. Это происходило даже на смартфонах с самыми последними обновлениями безопасности Android.

Пользователи обратились за помощью к ведущим антивирусным компаниям – и решение было найдено.

Лечение, поиск причин и удаление «вируса»

Специалисты Лаборатории Касперского отреагировали оперативно и выпустили 2 приложения для перехвата вируса на смартфоне. Эти приложения ведут себя как браузеры и перехватывают ссылки из других приложений. А затем показывают, какое приложение пыталось открыть рекламную ссылку. Если у вас есть симптомы, указанные выше – воспользуйтесь одним из них.

Первое называется Intent Catcher. Скачать его можно здесь (зеркало). После установки нужно его запустить один раз. Затем через него необходимо открывать подозрительные запросы на открытие сайта.

Intent Catcher покажет, какое приложение вызывает запуск сайта и ссылку на которую вирус перенаправляет. После этого по названию пакета вам остается удалить то приложение, которое распространяет рекламу на вашем смартфоне. Вот видео как оно работает.

Второе приложение от Лаборатории Касперского – модифицированный браузер Firefox с логом работы. Скачать его можно здесь (зеркало).

Установите его на смартфон. Затем необходимо дать ему права на запись на карту памяти. Для этого необходимо перейти в Настройки – Приложения – Firefox – Разрешения и там включить возможность записи на Карту памяти.

После этого нужно сделать его браузером по умолчанию. Для этого перейдите в Настройки – Приложения – Приложения по умолчанию – Веб-браузер и выберите там установленный Firefox.

Модифицированный Firefox будет вести лог в файле /sdcard/moz_url_log.txt.
Вот как выглядит лог, в нем можно понять, какое приложение инициировало открытие ссылки.

После применения утилит выше результаты не заставили себя ждать. Спасибо Лаборатории Касперского. Список приложений у пользователей в которых был (прятался) «вирус»:

Videooder

Snaptube

Opera Mini (35.3.2254) (!)

Veezie.st

Pi music player (!)

MIUI Launcher (!)

MIUI Music Player

Screen Stream Mirroring Free

И многие другие…. Этот странный список включил в себя вполне безобидные приложения, как туда попал вирус – чуть ниже. Если у вас проявляется этот вирус и установлено одно из этих приложений – удалите их. Если вы не знаете, в каком конкретно причина – воспользуйтесь утилитами выше.

Если у вас нет возможности удалить вирус, необходимо очистить данные этого приложения. Для этого необходимо перейти в Настройки – Приложения – «Название приложения». Там необходимо сначала его Остановить. Затем перейти в раздел Память и нажать кнопку «Очистить данные».

Также рекомендуется очистить все данные браузера Chrome, описанным выше способом. Кроме этого, в настройках Chrome зайдите в раздел Хранилище и удалите все данные сайтов. И еще наберите в строке браузера:

chrome://serviceworker-internals/

и отмените регистрацию всех подозрительных JS скриптов.

После этого симптомы вируса должны пропасть навсегда.

Если вы новичок в мире Android или хотите себя дополнительно обезопасить – установите один из бесплатных антивирусов: Malwarebytes, Kaspersky Internet Security, Антивирус  Dr.Web, Virustotal.

А был ли «вирус»?

И да, и нет. Это скорее рекламный модуль (или adware), который начал неправильно работать. По данному вопросу провели большую работу антивирусные специалисты из Malwarebytes и Check Point Software Technologies. Они выяснили, что все эти приложения скорее всего объединяет то, что при их разработке использовались инфицированные SDK (Software Development Kit).

Как они попали в приложение? Возможно, случайно. Разработчики, использовавшие эти SDK (в основном китайские), возможно, даже не знали, с чем имеют дело.

В обычном состоянии модули должны были просто собирать аналитику и показывать рекламу исключительно в своем приложении.

Но что-то пошло не так… Скомпрометировали себя такие SDK (китайские), как Batmobi, SWAnalytics, RXDrioder.

И, напоследок, несколько советов, тем, кто не хочет словить вирус на смартфоне:

• Старайтесь не устанавливать приложения не из Google Play.
• Не переходите на подозрительные/незнакомые вам сайты, не скачивайте оттуда приложения.
• Всегда проверяйте разрешения, которые запрашивает приложение при установке.
• Регулярно устанавливайте обновления безопасности Android.
• Если вы начинающий пользователь Android, установите мобильный антивирус.

Опубликовал: Exodus, 18 марта, 2019

https://www.kv.by/post/1056820-kak-spravitsya-s-neobychnym-virusom-na-android