Android.triada.4563. Ложное срабатывание?
У меня Samsung S7 edge.
Сканер начал цепляться к приложениям,в том числе к Сберу, что обнаружен вирус Android.triada.4563.
Сбер сам молчит.
Полная проверка показала аж 192 угрозы, в том числе в системных файлах.
Сегодня обновил базы, проверил выборочно папку system/vendor/lib64,обнаружил 32 угрозы.
Послал в лабораторию несколько файлов из этой папки. Ответ пришел, что угроз нет.
Вопрос простой: кому верить и что делать?
Установите последнюю версию приложения.
Keep yourself alive
И чем отличается Life,который у меня стоит, от Space?
kkarapuz, здравствуйте.
В чём разница между двумя последними?
Что необходимо сделать для перехода на последнюю версию? И придется ли мне платить второй раз за безлимитную лицензию?
Вы где Security Space Life покупали? Если в Google Play, то просто заходите туда и обновляете приложение.
kkarapuz, где вы покупали приложение?
kkarapuz, если при заходе в Google Play у вас для приложения Dr.Web Security Space Life нет кнопки Обновить, значит у вас не лицензионная программа и обновить вы её сможете только, купив новую или обратившись по месту продажи с вопросом, откуда это приложение и где ваша лицензия.
Keep yourself alive
Mari.m.m, т.к. Ваше сообщение не имеет отношения к этой теме, то рекомендую создать новую тему, в которой подробно описать ситуацию.
В этой теме с проблемой разобрались.
—
меня вот что возмутило. что даже не начинают толком диалог сразу дампы. © alehas777
Как удалить Triada (вирус) с телефона
Некоторые вирусы умеют перехватывать Рут-права для своих целей и впоследствии могут загружать на телефон другие приложения и другие вирусы, в частности Триаду. Triada – один из самых сложно обнаруживаемых вирусов в системе Андроид. Давайте рассмотрим, как удалить Triada, и как предотвратить попадание вирусов в телефон.
Как удалить Triada с Android смартфона
Мы советуем всегда устанавливать новые обновления операционной системы, потому что каждая версия более защищена, чем предыдущая. Каждую новую версию разработчики стараются сделать менее уязвимой.
Как обновляться вы можете узнать здесь.
Бывали случаи, когда даже в официальном магазине Гугл попадались трояны. Поэтому стоит обезопасить себя антивирусом.
Триада пробирается в самые сокровенные места и может заблокировать работу вашего устройства. Триада способна внедриться в шаблон всех приложений и заменить любой системный файл. Вирус может подменить реквизиты оплаты игры и совершить другие финансовые операции, которые вы, скорее всего, не заметите.
Как удалить вирус Триада (Triada) с Андроида, если устройство пока нормально функционирует:
Если вирус заблокировал устройство:
Если вы уверены, что Триада есть на вашем телефоне, но ни один антивирус её не находит, перепрошейте гаджет или сделайте Hard Reset.
Поделитесь в комментариях своим опытом уничтожения Триады.
Triada: организованная преступность на Android
Triada — это модульный троян, использующий права суперпользователя, чтобы заменять системные файлы, и исполняющий другие хитрые трюки, чтобы оставаться максимально незаметным
Как обычно передвигаются армии: вперед посылают разведчиков, чтобы те узнали, все ли в порядке, и скорректировали маршрут для основных сил. По крайней мере, примерно так это выглядело до пришествия эпохи кибервойн. Как оказалось, троянцы ведут себя примерно так же.
Существует очень много мелких троянцев для Android, которые получают права суперпользователя и используют их в своих грязных целях. Никита Бучка и Михаил Кузин, вирусные аналитики из «Лаборатории Касперского», могут с ходу назвать 11 семейств таких троянцев. Большинство из них практически безобидны — в основном они специализируются на показе рекламы и скачивании себе подобных. На Securelist есть целая статья, посвященная как раз таким зловредам.
Если продолжать военную аналогию, то эти «невинные» троянцы — как раз и есть разведчики. Как мы уже упоминали, права суперпользователя дают им возможность скачивать и устанавливать другие программы. Именно поэтому стоит одному такому троянцу попасть в систему, как через несколько минут в ней появляются и все остальные. Наши исследователи предположили, что рано или поздно их начнут использовать для доставки «на дом», то есть к вам в телефон, гораздо более опасных зловредов.
Три летних семейства мобильных троянцев, использующих рут-права https://t.co/AbWUfkS69R
Именно так и произошло. Мелкие троянцы вроде Leech, Ztorg и Gopro теперь скачивают один из самых сложных и хитрых троянов на сегодняшний день. Мы называем его Triada.
Речь идет о модульном троянце, активно использующем root-привилегии для того, чтобы изменять системные файлы. Кроме того, он существует по большей части лишь в оперативной памяти устройства, поэтому его очень сложно засечь.
Темный путь «Триады»
Попав в устройство, эти троянцы первым делом собирают данные о системе: модель устройства, версия ОС, объем SD-карты, список установленных приложений и тому подобное. Затем зловред отправляет собранную информацию на командный сервер. Мы засекли целых 17 таких серверов, расположенных на четырех разных доменах. Как видите, авторы данного ПО вполне знакомы с тем, что такое резервирование.
Получив сообщение от троянца, командный сервер в ответ посылает ему файл с конфигурациями, содержащий персональный ID зараженного устройства и набор настроек: через какие временные промежутки зловред должен будет связываться с сервером, какие модули ему нужно установить и тому подобное. После установки модулей они стираются из памяти устройства и остаются только в оперативной памяти. Так троянец прячет себя.
Есть еще несколько причин, почему «Триаду» так сложно обнаружить и почему она так впечатлила наших исследователей. Во-первых, этот троянец модифицирует процесс Zygote. Это один из базовых процессов в ОС Android, который используется как своего рода основа для любого другого приложения. В результате, как только «Триада» добирается до «Зиготы», хитрый зловред становится частью каждого установленного на устройстве приложения.
Во-вторых, «Триада» также умеет подменять системные функции и использует это для того, чтобы скрывать свои модули из списков запущенных процессов и установленных приложений. Поэтому жертва вообще не замечает, что что-то не так с устройством, и не беспокоится ни о чем.
Это не весь список того, что троянец меняет в системе. Также «Триада» наложила свою лапу на отправляемые SMS и заполучила возможность фильтрации входящих сообщений. Именно таким образом киберпреступники решили монетизировать свою разработку.
Много подробностей о том, как SMS-троянец служит вирусописателям, обходя CAPTCHA и делая другие крутые штуки: http://t.co/AmdIRxQlmK
Некоторые приложения используют SMS вместо Интернета для совершения внутренних покупок. Основное преимущество такого метода — то, что для покупки не нужно подключение к Интернету. Пользователи не видят таких сообщений, так как они обрабатываются не программой для чтения SMS, а собственно приложением, инициирующим перевод, например, очередной условно бесплатной игрой для мобильного.
«Триада» использует этот прием, чтобы выводить деньги со счета пользователя. Троянец модифицирует финансовые сообщения таким образом, чтобы деньги приходили не на счет разработчиков мобильных приложений, а на счет преступников. В результате жертвами «Триады» становятся либо пользователи, не получившие игровую «плюшку», за которую заплатили, либо разработчики мобильных приложений, до которых не дошли деньги (если пользователь все-таки получил свой игровой предмет).
Пока это единственный способ, с помощью которого преступники могут получать прибыль от «Триады», но не забывайте: мы говорим о модульном троянце. Стоит дописать еще пару модулей, отправить команду на их скачивание — и он может научиться делать буквально что угодно: права доступа у него для этого есть.
Коллеги обнаружили банковский троянец Asacub, атакующий пользователей Android-устройств: https://t.co/OzaLCtkBcZ pic.twitter.com/kaZ4bWC2Sm
Как прогнать преступников из своего телефона?
Самое неприятное в истории с «Триадой» то, что от нее с большой вероятностью могут пострадать очень много людей. Согласно нашим данным, во второй половине 2015 года каждый десятый пользователь Android был атакован теми самыми мелкими троянцами, получающими права суперпользователя, которые среди прочего могут устанавливать на устройство «Триаду». Таким образом, жертвами этого троянца уже могут быть миллионы пользователей.
Так как защитить себя от мерзкого проныры? Не так уж сложно.
1. Во-первых, всегда устанавливать последние системные обновления. Мелким зловредам сложно перехватить root-привилегии в устройствах с Android 4.4.4 и выше, так как большое количество уязвимостей в этих версиях ОС было закрыто. Если на вашем телефоне установлена более-менее современная операционная система, вы находитесь в относительной безопасности. Однако наша статистика показывает, что около 60% пользователей Android сидят на Android 4.4.2 и более древних версиях этой ОС. И вот для них шанс заразиться весьма высок.
2. Во-вторых, лучше вообще не испытывать судьбу и не подсчитывать вероятность тех или иных шансов. Надежную защиту вашего устройства обеспечит только хороший антивирус. Известно немало случаев, когда даже в официальных магазинах Google находили троянцев (собственно, мелкие зловреды, скачивающие «Триаду, как раз из таких). Так что рекомендуем вам установить надежное защитное решение.
Kaspersky Internet Security для Android обнаруживает все три модуля, используемых «Триадой», и может защитить ваш счет от загребущих ручек создателей троянца. Только не забывайте, что в бесплатной версии мобильного антивируса сканирование нужно запускать вручную и достаточно регулярно.
Подведем итоги: «Триада» — это еще один весьма наглядный пример неприятной тенденции. Разработчики вредоносного ПО начали воспринимать Android всерьез. Более того, они научились эффективно использовать его уязвимости.
Образцы мобильных троянцев, обнаруженные нами в последнее время, почти такие же сложные и скрытные, как и их Windows-собратья. Единственный способ эффективной борьбы с ними — это не дать им попасть в устройство, поэтому так важно установить хорошее защитное решение.
Android.triada.4563. Ложное срабатывание?
У меня Samsung S7 edge.
Сканер начал цепляться к приложениям,в том числе к Сберу, что обнаружен вирус Android.triada.4563.
Сбер сам молчит.
Полная проверка показала аж 192 угрозы, в том числе в системных файлах.
Сегодня обновил базы, проверил выборочно папку system/vendor/lib64,обнаружил 32 угрозы.
Послал в лабораторию несколько файлов из этой папки. Ответ пришел, что угроз нет.
Вопрос простой: кому верить и что делать?
Установите последнюю версию приложения.
Keep yourself alive
И чем отличается Life,который у меня стоит, от Space?
kkarapuz, здравствуйте.
В чём разница между двумя последними?
Что необходимо сделать для перехода на последнюю версию? И придется ли мне платить второй раз за безлимитную лицензию?
Вы где Security Space Life покупали? Если в Google Play, то просто заходите туда и обновляете приложение.
kkarapuz, где вы покупали приложение?
kkarapuz, если при заходе в Google Play у вас для приложения Dr.Web Security Space Life нет кнопки Обновить, значит у вас не лицензионная программа и обновить вы её сможете только, купив новую или обратившись по месту продажи с вопросом, откуда это приложение и где ваша лицензия.
Keep yourself alive
Mari.m.m, т.к. Ваше сообщение не имеет отношения к этой теме, то рекомендую создать новую тему, в которой подробно описать ситуацию.
В этой теме с проблемой разобрались.
—
меня вот что возмутило. что даже не начинают толком диалог сразу дампы. © alehas777
Triada — самый опасный Android-троян
«Лаборатория Касперского» обнаружила нового трояна для платформы Android, который с технической точки зрения значительно превосходит все другие аналогичные вредоносные программы. Зловред получил имя Triada.
Отличительными особенностями Triada являются его способность внедрять свой код во все приложения, имеющиеся на заражённом устройстве, и возможность менять логику их работы. Кроме того, троян характеризуется модульной архитектурой и наличием ряда инструментов для эффективного сокрытия своих следов на инфицированном мобильном устройстве.
Доступ ко всем приложениям Triada получает в результате использования процесса Zygote, который является шаблоном для всех Android-приложений. Попадая в этот процесс, зловред становится частью шаблона. «Лаборатория Касперского» подчёркивает, что это первый известный случай эксплуатирования злоумышленниками процесса Zygote — ранее подобные техники рассматривались исключительно с теоретической точки зрения.
Благодаря модульной архитектуре зловреда злоумышленники получают возможность загружать на устройство жертвы только те компоненты, которые требуются для проведения конкретной атаки. При этом троян скрывает свои модули из списка установленных приложений и пакетов, а также из списков запущенных сервисов. Все они хранятся в системных папках, доступ к которым зловред получает благодаря несанкционированно приобретённым правам суперпользователя.
В текущем виде Triada используется для кражи денег пользователей или разработчиков в процессе покупки дополнительного контента в легитимном приложении. Для этого троян перехватывает, модифицирует и фильтрует платёжные SMS. К примеру, когда пользователь покупает что-то во внутриигровом магазине, злоумышленники могут модифицировать исходящее платёжное SMS-сообщение таким образом, чтобы получить деньги пользователя вместо разработчиков игры.
Особую угрозу вредоносная программа представляет для пользователей Android версии 4.4.4 и младше. Более подробную информацию о Triada можно найти здесь.
