Android – популярна система, що підтримує багато програм. Завантажуючи з безпечного джерела, наприклад Google Плей, дає гарантію - віруси відсутні. Сумнівні джерела, ліві софт-портали можуть розповсюджувати програми, до яких входить вірусний код.

За інформацією, зазначені вище загрози є типом вірусу — троян. Android.Spy, за неперевіреною інформацією, може бути вбудований в модуль від виробника, що займається оновленням Android (OS).

Схожі загрози

Як видалити Android.Spy?

Аналізуючи безпекові форуми, вдалося зібрати деяку інформацію:

1. Видалення програми можливе, використовуючи рут-доступ. Отримання рут-доступу вимагає деякого досвіду від користувача, тому перед видаленням рекомендую відвідати профільний форум, наприклад 4PDA. При проблемах видалення Android.Spy - спробуйте заморозити вірусний софт. Як інструмент використовуйте Titanium Backup.
2. Другий варіант, складніший, підходить просунутим користувачам – оновити прошивку телефону. Зазвичай офіційний сайт пропонує певні прошивки з огляду на модель телефону. Теоретично в архіві з прошивкою може йти і додатковий софт (SP Flash Tool або аналог).
3. Згадки про вірус містяться на форумі Лікаря Інтернету, дата створення повідомлень - 2017 рік. Імовірно на даний момент (2018 рік) вірус детектується утилітою від Доктора Інтернету під Андроїд. Висновок — завантажте та проскануйте смартфон.
4. Деякі моделі телефонів, особливо дорогих, містять програму підтримки. Як варіант — зверніться до служби підтримки, вказавши вашу модель та питання.

Вірус Android.Spy.128.origin може мати ідентифікатори:

1. com.ximalaya.ting.android
2. com.yidian.xiaomi
3. com.miui.video

Ці ідентифікатори можуть бути знайдені під час перевірки пристрою утилітою Dr.WEB. Виявлені загрози необов'язково ставляться до троянами, проте можуть містити функціонал рекламних програм (malware, PUP).

Dr.WEB - найкращий інструментпошуку погроз як на ПК, так і на девайсах Андроїд

Висновок

Мої підсумкові думки:

1. Перевірити смартфон антивірус.
2. Почистити від сміття за допомогою CCleaner.
3. Незайвим буде зареєструватися на 4PDA, де тусуються багато сучасних користувачів, фахівці і навіть розробники софту, кастомних прошивок.
4. Крайній випадок – оновити прошивку. Можливо, варто встановити тільки оригінальну стокову версію.

Регулярно перевіряйте кількість встановлених програм. Деякі рекламні модулі здатні автоматично завантажувати та встановлювати інші програми.

Якщо смартфон або планшет на Android починає дивуватись, є невелика ймовірність того, що на пристрої завівся вірус. Сьогодні ми розповімо, як видалити вірус на Android і позбутися в майбутньому шкідливих програм.

Різні способи видалити віруси на телефоні та планшеті та які вони бувають

Віруси на Андроїді зустрічаються не так часто, проте вони є. Як правило, вони проникають в систему через програми сумнівного походження, тому краще завантажувати програми з офіційних магазинів, наприклад Google Play.

Ті, у кого гаджет збоїться через дії шкідливих програм, знайдуть у статті корисний опис того, як увійти в безпечний режим і, якщо необхідно, обмежити права програми, а потім видалити вірус.

Якщо цей варіант не спрацює, можна спробувати відкат до заводських установок, хоча без попередньо створеної резервної копії системи цього краще не робити.

Перш ніж перейти до основної частини статті, хотілося б наголосити на тому, що на смартфонах або планшетах з ОС Android немає вірусів у звичному розумінні цього слова.

Найчастіше дії вірусу полягають у демонстрації реклами, яка свідчить, що пристрій заражено, і видалення вірусу треба завантажити якийсь додаток чи повільної роботи устройства.

Android без вірусів – як це можливо?

1. Не встановлювати програми: не встановлювати програми від невідомих джерел, якщо ви впевнені в їх надійності. Взагалі, функція блокування установки сторонніх програм зазвичай вимкнена за замовчуванням. Включається в налаштуваннях смартфона або планшета. Відкриваємо "Налаштування", далі заходимо в розділ "Безпека" і знімаємо галочку навпроти рядка "Невідомі джерела".
2. Утриматися від встановлення додатків-клонів: навіть якщо завантажувати програми лише з Google Play, програми зі шкідливим кодом можуть зустрічатися і там. Тому не варто завантажувати програми-клони від невідомих розробників, як і програми, які елементарно не виконують свої функції.
3. Перевіряти права програми:не важливо, звідки скачується додаток, перед установкою потрібно перевірити, до яких функцій та сервісів він запитує доступ. Не можна в жодному разі давати програмі права адміністратора, оскільки в цьому випадку виникнуть деякі труднощі з видаленням. Вас має насторожити, якщо відеоплеєр для чогось запитує доступ до контактів. Також можна пошукати відгуки про програму в Інтернеті або зайти на сайт розробника, щоб мати чіткіше уявлення про нього.
4. Оновлювати систему:можливо, сама остання версія операційної системи Android і не буде доступна для вашого пристрою, проте, не зайвим буде перевірити, щоб вона була якомога свіжішою. Відповідно, варто віддавати перевагу тому виробнику, який регулярно випускає оновлення для програмного забезпечення свого пристрою (наприклад, Nokia).
5. Встановити антивірус:на Андроїді можна обійтися і без антивірусу, але тим, хто турбується про те, як би не підчепити вірус, з ним буде спокійніше. Також антивірусні програми, як правило, крім основної, мають ще кілька додаткових. корисних функцій. Майте на увазі, що у антивірусу на Android можуть траплятися хибні спрацьовування, на які можна не звертати уваги, якщо ви точно впевнені у чистоті програми.

Як позбавитися від вірусу на Андроїді

Входимо у безпечний режим на смартфоні чи планшеті. У цьому режимі програми від сторонніх розробників не зможуть запуститися, у тому числі зі шкідливим кодом.

На багатьох пристроях для виклику меню відключення потрібно натиснути та утримувати кнопку живлення, потім вибрати «Вимкнути живлення» і пристрій після перезавантаження ввімкнеться безпечному режимі.

Якщо не вдається увійти в безпечний режим за нашим описом, відкриваємо Google і вводимо «Як увійти в безпечний режим на [тут пишемо модель свого пристрою]» і дотримуємося знайдених інструкцій.

Завантажившись у безпечному режимі, бачимо напис «Безпечний режим» у нижній лівій частині екрана.

Установки “Додатки”

Відкриваємо «Налаштування», заходимо до «Додатків» і переходимо у вкладку «Завантажені» або «Приховані».

Ми заходимо сюди за тим, що висока ймовірність того, що користувач дізнається про програму, після встановлення якої гаджет почав глючити, зіставивши час появи збоїв та час встановлення нової програми.

Якщо ви не знаєте, яка програма заважає нормальній роботі смартфона або планшета, варто пройтися по списку всіх програм і знайти якусь підозрілу або ту, яку ви взагалі не встановлювали.

Тиснемо на шкідливий додаток і потрапляємо на екран з інформацією про нього, тиснемо «Видалити».

У більшості випадків цієї дії достатньо для видалення вірусу, але може бути так, що кнопка «Видалити» недоступна.

Відбувається це через те, що програма має права адміністратора.

Тоді виходимо з розділу «Додатки», повертаємося до «Налаштувань», йдемо до «Безпеки» та шукаємо рядок «Адміністратори пристрою». Тут у вигляді списку зберігаються всі програми з правами адміністратора.

• Просто знімаємо галочку із програми, яку хочемо видалити.
• Повертаємося до «Додатків» і бачимо, що тепер можемо видалити програму.
• Вірус видалено, залишилося лише перезавантажити пристрій для переходу у звичайний режим.

Проблема усунена, проте не зайвим буде створити резервну копіюважливих даних на своєму пристрої та встановити антивірус для превентивного захисту.

Китайці, нарешті, навчилися робити якісні телефони і ці телефони значно дешевше корейських/японських/європейських. Це факт.

Годувати російських бариг зовсім не хочеться. Телефон на алі/ебеї буде вдвічі дешевшим, ніж в офіційному магазині. Це також факт.

Але є нюанс. Великий шанс купити у китайців телефон із уже вбудованим у прошивку вірусом. Ось особисто у мене за місяць після покупки телефон раптово став банери на екрані крутити. А міг і гроші через платні смс красти. Пощастило.

На щастя, проблема вирішувана. До суті. Шкідливого ПЗ в андроїді може бути кілька видів:

1. Шпигунське програмне забезпечення від Гугла. Є в будь-якому телефоні, збирає статистику та надсилає його безпосередньо спецслужбам.
2. Віруси, які ставляться з лівим софтом, якого мільйон у маркеті.
3. Троянці, які ставляться дбайливими китайськими виробниками. В цілому відносно нешкідливі, але в теорії можуть зробити з телефоном все, що завгодно - від шпигунства і крадіжки персональних даних і прихованої установки будь-якого шкідливого ПЗ.
4. Віруси, що ставляться китайськими (чи російськими?) перекупниками, модифікуючи стокові прошивки. От у мене саме такий і був.

На перше можна забити. Ну, нехай АНБ (чи ФСБ?) знає, що я дружину попросив пряників до чаю купити. Мені не шкода. Друге лікується за допомогою будь-якого антивірусу або простим видаленнямвстановлену програму.

3 і 4 спочатку перебувають у прошивці. Роби хоч factory reset, воно буде спочатку. Безболісний спосіб вирішити 4 - прошити на заводську прошивку. Від 3 пункту це не рятує, але хоча б явні віруси видаляє.

Що було в мене:

1. Android.Backdoor.origin.303. Приблизно через місяць після покупки почав крутити банери на весь екран при включенні, мимоволі скачував і встановлював програми, при тому, що заборона на встановлення зі сторонніх джерел була включена. Зашитий у прошивку.

2. Adups FOTA Reboot. Це бекдор, який встановлюється у штатні китайські прошивки (п. 3). Є спочатку майже на будь-якому китайці. За запитом від сервера він може:

Кожні 72 години надсилати всі SMS-повідомлення з пристрою на сервер Adups;
- кожні 72 години надсилати вміст журналу дзвінків на сервер Adups;
- збирати особисті дані, що дозволяють встановити особистість користувача, і кожні 24 години надсилати їх на сервер Adups;
- збирати інформацію про IMSI та IMEI, геолокаційні дані та список встановлених додатків;
- видаляти чи оновлювати програми;
- завантажувати та встановлювати нові програми без відома користувача;
- оновлювати прошивку пристрою;
- віддалено виконувати довільні команди та підвищувати свої привілеї на пристрої.
via

Відповідно, навіть прошивши на стік, друга проблема залишиться. Як я це вирішив:

1. Порутав пристрій. докладна інструкціяє на 4pda.ru
2. Встановив SystemApp remover.
3. Вилучив усіх зловредів.
4. Почистив кошик, щоб випадково не запустити.

PS. Якщо ви прочитали це повідомлення до кінця, і не були в курсі проблем - я рекомендую перевірити смартфон Dr. Web.

Якщо на Android з'явився spy 128 origin, то не поспішайте видаляти його: виробники стверджують, що це не троян, а системний компонент, необхідний для надсилання важливих відомостей про роботу пристрою. Але якщо ви серйозно налаштовані позбавитися підозрілих файлів, то спочатку доведеться отримати root-права.

З вірусом Spy 128 Origin найчастіше стикаються власники китайських смартфонів від таких виробників, як Meizu, Xiaomi та ZTE. У них троян знаходиться в офіційної прошивкита визначається як системний компонент, видалити який без root-доступу не можна. Зараженим визначається файл video.apk, необхідний відтворення відео на мобільному пристрої.

При цьому виробники стверджують, що це не вірус, а системна утиліта, яка справді відсилає дані про роботу смартфона, але не зловмисників, а розробників для покращення прошивки. Як троян файл визначається тому, що не використовується на пристрої тривалий час.

Є й інше пояснення існування вірусу в телефонному прошивці, пов'язане з особливостями китайського інтернету. Нібито дані надсилаються у рамках роботи сервісу Baidu Push Notification. Це китайський аналог Google Cloud Messaging, обидва сервіси активуються разом і ніяк не пов'язані з особистими даними користувача. Наявність файлу серед системних компонентів говорить лише про те, що прошивка підтримується на китайському ринку. Обидва протоколи використовуються для забезпечення коректної підтримки на міжнародному та китайському ринках.

Але є й інша думка: троян справді виконує шкідливі завдання, надсилаючи зловмисникам різну особисту інформацію, зокрема SMS-листування. Якщо вам неспокійно від того, що антивіруси на телефоні виявляють невідомий файл із сумнівними функціями, видаліть його, використовуючи файловий менеджер.

Видалення Spy 128 Origin

Щоб видалити Spy 128 Origin, необхідно отримати доступ до root. На телефонах Meizu це можна зробити через налаштування облікового запису Flyme.

Після створення облікового записуповерніться до налаштувань мобільного пристрою, введіть логін та пароль у полі «Акаунт» та натисніть «Вхід». Переконайтеся, що синхронізація та Flyme повідомлення увімкнені, після чого натисніть «Завершити».

Перейдіть до розділу з особистими налаштуваннями – назва його співпадатиме з ім'ям облікового запису. Знайдіть пункт "Відкрити доступ до системи".

Прочитайте попередження та натисніть «OK». Для завершення операції потрібно ввести пароль від облікового запису Flyme. Після підтвердження інформації мобільний пристрій перезавантажиться.

Для отримання root-прав на інших пристроях можна використовувати спеціальні програми Baidu ROOT, Vroot, KingoRoot, FramaRoot. Коли маєте права суперкористувача, встановіть файловий менеджер (наприклад, Total Commanderабо ES Провідник) і за його допомогою переходьте до папки /system/priv-app/video.apk або /system/app/MiuiVideo/MiuiVideo.apk. Видаліть файл video.apk (MiuiVideo.apk). Щоб з відтворенням відео не виникло проблем, встановіть сторонній медіаплеєр або додайте файл video.apk із однієї зі старих прошивок – наприклад, трояна точно немає у Flyme 3.

Інші віруси на Android

На Андроїд зустрічаються й інші віруси та трояни, призначення яких не викликає суперечок – їхня діяльність точно носить руйнівний характер. Допомогти зрозуміти, що в системі з'явився шкідливий код, допоможуть деякі симптоми.

• Пристрій самостійно перезавантажується, довго вмикається або несподівано вимикається.
• В історії дзвінків та повідомлень є невідомі записи, походження яких ви не можете пояснити.
• З рахунку списуються гроші.
• На екрані з'являється реклама.
• Програми встановлюються без вашого відома.
• З'являються помилки під час запуску додатків, невідомі процеси та іконки.
• Батарея розряджається набагато швидше ніж раніше.

Наявність одного симптому необов'язково свідчить про зараження пристрою. Але якщо ви помітили кілька подібних факторів, та ще й антивірус після перевірки показав наявність шкідливого коду, необхідно терміново приступати до чищення системи.

Найпростіший спосіб позбутися шкідливого ПЗ – використовувати антивірус для мобільного пристрою. Якщо антивірус виявив вірус, він зможе його знешкодити.

Однак цей спосіб може не спрацювати з таких причин:

• Антивірус перестав працювати коректно або зовсім не виявив вірус, але ви, напевно, знаєте, що проблема існує.
• Шкідливе програмне забезпечення самостійно відновлюється після видалення.
• Телефон або окремі функції заблоковані вірусом.

Якщо у звичайному режимі видалити вірус не виходить, спробуйте в безпечному режимі. Проблема у цьому, що у безпечному режимі перестають функціонувати як віруси, а й антивіруси. Тому вам знадобляться root-права, файловий менеджер та відомості про те, де знаходиться шкідливий файл. Зазвичай можна знайти таку інформацію на форумах користувачів.

З використанням комп'ютера для видалення вірусу з Андроїда також можуть виникнути труднощі. Як USB-накопичувачі сучасні смартфони не визначаються, а навіть якщо виявляються системою, то антивірус на комп'ютері може не розпізнати віруси для Андроїда. Але це не означає, що позбавитися вірусу ніяк не вдасться. Є радикальні способи, які допоможуть.

Співробітник компанії Kryptowire купив на відпочинку смартфон BLU R1 HD та випадково помітив, що пристрій генерує якийсь підозрілий мережевий трафік. Детальне вивчення питання виявило, що девайс тримав зв'язок з китайськими серверами (bigdata.adups.com, bigdata.adsunflower.com, bigdata.adfuture.cn і bigdata.advmob.cn), що належать компанії Shanghai Adups Technology Company, більш відомої як Adups.

Незабаром дослідники Kryptowire зрозуміли, що проблема не обмежується одним пристроєм. Компанія Shanghai Adups Technology Company розробляє та продає власну систему оновлення ПЗ FOTA (Firmware Over The Air), яку використовують багато виробників Android-пристроїв. У FOTA, власне, вбудований бекдор, який постійно тримає зв'язок із серверами китайської компанії. Отримавши відповідну команду від сервера, FOTA може:

• кожні 72 години надсилати всі SMS-повідомлення з пристрою на сервер Adups;
• кожні 72 години надсилати вміст журналу дзвінків на сервер Adups;
• збирати особисті дані, що дозволяють встановити особистість користувача, і кожні 24 години надсилати їх на сервер Adups;
• збирати інформацію про IMSI та IMEI, геолокаційні дані та список встановлених додатків;
• видаляти чи оновлювати програми;
• завантажувати та встановлювати нові програми без відома користувача;
• оновлювати прошивку пристрою;
• віддалено виконувати довільні команди та підвищувати свої привілеї на пристрої.

За даними Kryptowire, вся шкідлива функціональність сконцентрована всередині двох. системних додатків, відключити або видалити які користувач просто не може: com.adups.fota.sysoper та com.adups.fota.

Згідно з інформацією, опублікованою на офіційному сайті Adups, системою оновлень FOTA користуються понад 400 мобільних операторів, виробників і так далі. Рішення компанії використовують понад 700 млн. Android-пристроїв по всьому світу. Варто сказати, що йдеться не лише про бюджетні Android-смартфонах(хоча їх явно більшість), але й про інші гаджети. Які саме компанії користуються продуктами Adups, не підозрюючи про їхню небезпеку, достеменно невідомо, але достеменно відомо, що до них входять Huawei і ZTE.

Представники BLU Products вже прокоментували оприлюднену дослідниками Kryptowire інформацію та повідомили, що вони не знали про те, на що здатна FOTA, і незабаром видалять небезпечний продукт зі своїх девайсів. За даними видання The New York Times , проблема торкалася 120 000 пристроїв, і вони вже одержали оновлення.

UPD
Представники Huawei зв'язалися з виданням ArsTechnica і повідомили, що "зазначена компанія ніколи не входила до списків довірених постачальників, і ми ніколи не вели з нею жодного бізнесу".

Представники самої Adups заявили виданню The New York Times, що інформація збиралася не для уряду Китаю, просто "приватна компанія припустилася помилки".