Але для початку підіб'ємо список особливостей і можливостей бекдора:
Вражає? Тоді під кат, де я продемонструю кілька скріншотів.
Для дослідження я взяв Backdoor.AndroidOS.Obad.a з md5 E1064BFD836E4C895B569B2DE4700284. Шкідливий не працює на емуляторі. Можливо його вдалося б запустити після модифікції емулятора через командний рядок, але мені простіше використовувати реальний пристрій. Увага! Не повторюйте такого!
Додаток важить 83 кілобайт. Установку я зроблю з примусовою перевіркою додатки антивірусом від Google:
Я не думаю, що хтось чекав, що шкідливий буде виявлений. Ну добре. Оскільки установка відбувається через штатний інсталятор, то всі запити показані. У тому числі ті, що стоять грошей. Ах, якби читали хоча б третина користувачів.
Тепер найнебезпечніше - запуск. Попередньо я видалю пароль для своєї WiFi точки. SIM карта була витягнута ще раніше.
Я заборонив використання root прав. Тут і без них досить "щастя" буде. На задньому плані йде зворотний відлік до появи екрана надання прав адміністратора пристрою. Я надав ці права. Усе. Якщо ваш аппарт НЕ рутованних, то ви не зможете вилучити цю програму. Ви вже бачили, що кнопки видалення недоступні. Але навіть якщо викликати видалення іншим чином, його не можна завершити через уразливість в Device Admin. Зараз я спробую викликати видалення з Kaspersky Mobile Security.
Як ви можете переконатися, в списку DA шкідливий дійсно не видно. А значить права адміністратора системи забрати у нього не можна. Так що якщо ви не впевнені в своїх знаннях і досвіді, краще використовуйте перевірений антивірус. Будь-який. Головне, щоб у нього була заслужена чудова репутація. Як фахівець, я б рекомендував антивіруси вітчизняних виробників, тому що в Росії поки ще не забивають на реальні дослідження і тестування.
Але це був відступ. Давайже ж видаляти шкідливий! Благо прав root у нього немає, а можливість надати їх перевірених засобів - є. Все, що використовується мною для нейтралізації загрози має права root. Я не буду показувати цього, але після кожної спроби я перевіряю, що шкідливий залишився / видалений відразу двома способами. Спочатку я знаходжу його в списку додатків (до речі, скріншот цього списку в шапці статті), потім перевіряю нашим атівірусом. Вердикт антивіруса приоритетнее; я знаю як працює він і знаю, як працює система.
Почну з неспеціалізованого додатки - з популярного файлового менеджера ES Explorer.
Як бачимо, він не впорався. Тоді спробуємо просто видалити шкідливий руками. Благо знаємо ім'я пакета.
Є! Але вийшло, що спеціальний інструмент в ES Explorer не впорався, а "ручний режим" впорався. Робимо висновок - автомат в ньому марний.
Другий додаток - спеціалізована утиліта для видалення сміття, в тому числі додатків - SD Maid.
Цілком очікувано додаток бачить шкідливий, але видалити не змогло. При цьому зробило якесь невиразне заяву про приховування системного застосування. Ну, раз і тут автомат не впорався, переходимо на ручник.
Але тут немає папки шкідливий. Очевидно, що ручник не пристосований взагалі для серйозної роботи, тільки для очищення сміття.
Добре, раз в режимі "руками" ми змогли знести заразу, спробуємо зробити цей з adb shell. як мене попросили в Juick. Власне, тут чекати проблем не доводиться.