Вскрытие android-ных зловредов, что скрывается под капотом различной «заразы»!? Часть-II
Недавно, точнее вчера, зашел на ресурс trashbox.ru (это скорее предуреждение любителям «халявы» и поиска софта на ресурсах Рунета:( )
Скачал два игровых приложения, всеми известных: BLOOD & GLORY (NR) 1.1.5 / MOD и Skies of Glory Reloaded 1.1.2
Установил на свою таблетку….и….понеслась душа в АД!:(
1. после инсталла и запуска BLOOD & GLORY (NR) 1.1.5 / MOD — ярлык приложения на рабочем столе подозрительно мигнул и погас, приложение не запустилось…ну ничего бывает подумал я и перешел к другому приложению — Skies of Glory Reloaded 1.1.2 — и тут началось все интересное:)
и так:
— ярлык запуска приложения мигнул и также наступила «могильная тишина», вырубил сразу подключение к WiFi сети — успел сделать это:) хорошо на данном аппарате, нет модуля 3G/LTE :))))! и таким образом доступа через sim-cart к телефоннуму счету:)
— затем возникли ошибки в приложениях Google Play и Yandex Store, хотя они не были запущенны от имени пользователя?:(, затем был остановлен процесс антивирусного приложения TrustGo, и на последок процесс com.google.media — короче что-то настырно вызывало ошибки, и на последок красивое полупрозрачное окно Database Error! зашел через файловый менеджер, глянул структуру каталогов, появился новый каталог — Chartboot, пустой…!?:(
Планшет обладает кнопкой — аппаратного reset(а) — нажал сразу после изучения структуры каталогов во встроенной памяти и на microSD, решил не ждать продолжения….!:)
После запуска, вытащил microSD, и сбросил аппарат до заводских настроек…после этого восстановил все, что необходимо через бэкап…
И так…видим классическую деятельность зловреда…какого именно пока не знаю, но выясняю!?:)
Кстати после предварительного сканирования файлов перед установкой на планшет, из сети в виде apk-шек, делаю так всегда,….clam — показал, что данные файлы запакованны неизвестным упаковщиком, то есть использовывался скриптор!;)
Хотя на самом ресурсе, каждый apk проверяется и это они публикуют под ссылкой на скачку файла, типа: «WS.Reputation.1 — Symantec:)))))
Мы проверяем файлы на наличие вирусов с помощью сервиса Virustotal.
Время последнией проверки: 15 июня 2014 — 12:18.»
Но тогда, что это после скана clam(а): «PUA.WIN32.PACKER.PrivateEXEProte-7», это комрады…упаковщик с наличием скриптера….но зачем честному приложению это всЁ!????????????????????????
И зачем авторам и владельцам trashbox.ru — так нагло обманывать обывателей, строкой — «….Мы проверяем файлы на наличие вирусов с помощью сервиса Virustotal.
Время последнией проверки: 15 июня 2014 — 12:18″!!!!