Вход | Регистрация



На андроиде с мисты качается НидФорАндроид.апк

На андроиде с мисты качается НидФорАндроид.апк
Я
   Shved_72
 
20.09.16 - 19:56
Это только у меня? Что это?
 
 
   1sanekmaloi1
 
1 - 20.09.16 - 19:58
Это не с мисты, а с гугл рекламы которая присутствует на месте.у всех качается эта гадость, антивир в помощь или тупо не открывать и удалять
   GROOVY
 
2 - 20.09.16 - 20:01
А что там устанавливается?
   1sanekmaloi1
 
3 - 20.09.16 - 20:03
Троянчик, палит инфу , смс, банк приложения, перехватывает коды с банка и прочее, версии разные
   Shved_72
 
4 - 20.09.16 - 20:05
Не рискнул ставить тем более сам гугл и пишет что это неизвестный источник и предлагает помолиться.  Не думаю что с гугла. Да и блоков рекламы такой не видел и тем более не тыкал
   1sanekmaloi1
 
5 - 20.09.16 - 20:08
Не знаю можно ли тут ссылки, тут аналог http://4pda.ru/forum/index.php?showtopic=762443
   1sanekmaloi1
 
6 - 20.09.16 - 20:09
Гугл даже сам признал что дырища была, но сейчас кончится что все починили, но это не так
   Shved_72
 
7 - 20.09.16 - 20:12
Ага и такой файл тоже есть в загрузке
   Shved_72
 
8 - 20.09.16 - 20:13
Ну гугла же много в каких сайтах сидит, а качается только с мисты
   1sanekmaloi1
 
9 - 20.09.16 - 20:16
С мэйла качается тоже, гугл же разную рекламу сует, таргетированную, изредка видимо сует случайную, вот в ней и зловреды живут, механизм мне не известен)
   Garykom
 
10 - 20.09.16 - 20:19
Тащусь от вирей под linux/android... которые самим нуна скачивать/устанавливать... Интересно а они тока arm или x86 тоже?
 
 Рекламное место пустует
   Asmody
 
11 - 20.09.16 - 20:23
(8) С нас ничего качаться не может. У нас никаких апк на сервере нет.
   Torquader
 
12 - 20.09.16 - 20:25
(10) Ну, под Windows это тоже - пройденный этап - все шифровальщики именно так на компьютеры жертв и попадают.
   Asmody
 
13 - 20.09.16 - 20:25
(10) Так у людей рефлекс: скачал - запустил.
И многие же живут с включенной галкой про установку из левых источников.
   Shved_72
 
14 - 20.09.16 - 20:25
поставил вэбы. нашел убил. прикольные звуки издает :)
http://i.imgur.com/ZUzVodV.png
   Shved_72
 
15 - 20.09.16 - 20:27
а вот как начинается
http://i.imgur.com/zG6sh2Q.png
   1sanekmaloi1
 
16 - 20.09.16 - 20:28
Нормальный такой зоопарк
   Смотрящий
 
17 - 20.09.16 - 20:28
(11) Как так нет ? А 14, 15 ?
   Shved_72
 
18 - 20.09.16 - 20:31
В ответ бот получает список следующих команд, которые передаются ему в формате JSON:

8e9ql9skqf – установить время следующего соединения с командным центром;
server – изменить адрес командного центра;
izqfugi7n8 – занести в конфигурационный файл список номеров, сообщения с которых будут скрываться от пользователя;
mzybm1q2eh – занести в конфигурационный файл список номеров, сообщения с которых будут пересылаться на управляющий сервер;
hgany9c0rj – убрать из конфигурационного файла список номеров, сообщения с которых будут скрываться от пользователя;
tyo2pxb1wr – убрать из конфигурационного файла список номеров, сообщения c которых будут пересылаться на управляющий сервер;
gz7j2ph7eg – отправить СМС-сообщение с заданным текстом на указанный в команде номер;
ligtd7jxxr – загрузить и попытаться установить приложение (необходимо подтверждение пользователя);
hmq3nlddk3 – попытаться удалить заданное в команде приложение (необходимо подтверждение пользователя);
notification – вывести в область уведомлений сообщение с заданным в команде текстом;
1lo8lsn7un – открыть в браузере заданный в команде веб-адрес;
ozs44xicjk – отправить на управляющий сервер список контактов;
88h4s39ead – отправить на управляющий сервер список установленных приложений.
Троянец выполняет рассылку СМС-сообщений на сервисные номера нескольких российских кредитных организаций, а также одной из популярных платежных систем с целью получения информации о состоянии банковского счета пользователя и принадлежащих ему банковских карт. В случае получения необходимых сведений Android.BankBot.33.origin при помощи специальных СМС-команд переводит все доступные денежные средства на счет злоумышленников.
   Shved_72
 
19 - 20.09.16 - 20:31
блин. рано выбросил 3110
   romix
 
20 - 20.09.16 - 20:39
(13) Виктор ты понял что это было? Я сейчас попробую андроидом зайти...
   romix
 
21 - 20.09.16 - 20:40
У меня ничего не вылезло, куда надо нажать чтобы вирус возник?
   romix
 
22 - 20.09.16 - 20:41
Или оно уже установилось? O_o
   Волшебник
 
Модератор
23 - 20.09.16 - 20:43
(0) У меня тоже такое было. NOD32 сразу удалял. Я грешил на WiFi в метро
   Cyberhawk
 
24 - 20.09.16 - 20:44
(23) А как чужой вай-фай может подсовывать в страницу всякую гадость? Проксирование что ли какое-нибудь?
   romix
 
25 - 20.09.16 - 20:47
(24) На чужой вайфай кузовок не разевай. (навеяло).
   Asmody
 
26 - 20.09.16 - 21:15
(20) Вариант #1 - левый баннер в АдСенсе
Вариант #2 - подмена баннеров всякими публичными вайфаями, прокси-серверами, ну и провайдерами
   Garykom
 
27 - 20.09.16 - 21:19
(26) Если не https|ssl то публичные (и не очень публичные) wifi легко что угодно подменят ))

Типа качает кто то официальное .exe/.msi приложение... а получает с троянчиком ))
   Garykom
 
28 - 20.09.16 - 21:21
(27)+ гугл же не просто так начинает все сайты принудительно на ssl сертификаты переводить
   DGorgoN
 
29 - 20.09.16 - 22:05
Блин раньше на винде нельзя сидеть было, теперь и до андроида добрались. Кстати насколько я понял эта хрень устанавливается только у того, у кого можно посторонние приложения ставить - так?
   Asmody
 
30 - 20.09.16 - 23:24
(29) Она сама не устанавливается, она предлагает себя установить
   Shved_72
 
31 - 21.09.16 - 06:35
загрузка начинается при кликаньи мышки в любом месте страницы, а не в банере, т.е. гдето чтото перехватывает нажатие. наверно дыра в хроме андроида
   Asmody
 
32 - 21.09.16 - 07:43
(31) Перехват клика элементарно делается парой комманд на javascript или activescript.
Я вот не помню, в Андроиде флеш отключить можно?
   Shved_72
 
33 - 21.09.16 - 07:53
(32) в настройках не нашел, но есть отключить javascript.
а та пара команд всетакие должна физически записаться в файлы на хостинге сайта? или в ком и где
 
 
   Dmitry1c
 
34 - 21.09.16 - 08:25
Xenium E570 только что вышел - полгода(!) без подзарядки в режиме ожидания.

Самое время купить
   Dmitry1c
 
35 - 21.09.16 - 08:25
(34) правда, на нем мисту читать не получится
   Vladal
 
36 - 21.09.16 - 11:57
(26) Именно, подмена. Я на википедию как-то зашел с "бесплатного вифи" на ж/д вокзале и увидел туеву хучу баннеров и всяких "типа новостей" - всякие рекламы и накрутки счетчиков посещения.

Отключился.
Включил свой модем 3Г.
Включил википедию со своего модема - чисто, красиво, баннеров нет.
   Vladal
 
37 - 21.09.16 - 11:58
(32) А с выключенным джава-скрипт миста не работет
   Сильф
 
38 - 21.09.16 - 12:04
Мне вчера такое прилетело, не знаю даже, откуда. Удалил сразу.
   Сильф
 
39 - 21.09.16 - 12:06
Кстати, вопрос к общественности: CM Security действительно обнаруживает вирусы, или тупо фикция?

Вот этот: https://play.google.com/store/apps/details?id=com.cleanmaster.security
   Shved_72
 
40 - 21.09.16 - 12:11
я почитал про антивирусы что им почему то религия не позволяет использовать рут-права, а без них, установленного виря уже не удалить - только сможет уведомить и дальше сам
   Torquader
 
41 - 21.09.16 - 12:20
(40) Рут-права никакая программа получать не должна априори, если сделать так, что какие-то программы могут их получить, то значит, что остальные (в том числе и вирусы) точно также смогут их получить.
(32) Вот почему нельзя сделать чтение форума без javascript - так как в этом режиме никто и ничего не перехватывает вообще ???
   Asmody
 
42 - 21.09.16 - 12:24
(41) Ты еще в gmail или facebook напиши, почему ими нельзя пользоваться без javascript.
   Shved_72
 
43 - 21.09.16 - 12:25
а как быть если бабушка нажала УскорнитьАдроид и дала согласие на рут и он все везде "ускорил", чем лечить если антивири только покажут и домой уйдут
   Asmody
 
44 - 21.09.16 - 12:30
(33) Для непонятливых — этот код подсасывается не с сайта мисты. По пути следования от сервера до вашего браузера есть масса точек, где можно вмешаться и вставить что-то свое. Начиная от сомнительных прокси (с помощью которых многие любят обходить выверты Роскомнадзора), через провайдеров и операторов открытых и не очень WiFi (показываем пальцем на WiFi в метро, где в страницы вставляется левая реклама),
заканчивая ПО на телефоне. Были случаи, когда производители подсовывали свои "особенные" модули.
   Asmody
 
45 - 21.09.16 - 12:32
У супруги на аппарате я долго боролся с левыми всплывашками и меняющейся стартовой страницей, пока не поменял дефолтный "самый удобный и красивый" лончер от производителя на более другой из маркета.
   Asmody
 
46 - 21.09.16 - 12:33
(43) Откуда у бабушки рут на Андроиде?
   Aistovich
 
47 - 21.09.16 - 12:46
получается что уже рулит Акронис для Андроида...
   Torquader
 
48 - 21.09.16 - 13:02
(42) Для gmail есть приложение для чтения почты.
Что там с facebook я не знаю - я им никогда не пользовался.
   Torquader
 
49 - 21.09.16 - 13:03
Дома я вчера через свой же WiFi заходил на мисту с андройда - искал где же что-то скачивается - и так ничего и не нашёл.
Куда шлёпнуть мышью - не очень понятно, так как попадание пальцем мимо ссылки приводит или к перемасштабированию или к выделению части текста.
P.S. браузер был Firefox.
 
 Рекламное место пустует
   Shved_72
 
50 - 21.09.16 - 13:05
(46) у бабушки может и нет, но согласилась на установку. а некоторые трояны после установки сами могут получить рут.
"Одновременно зловред пытается повысить свои системные привилегии до уровня root, для чего использует модифицированный злоумышленниками хакерский пакет com.apkol.root. В случае успеха вредоносная программа устанавливает в системный каталог /system/app приложение NetworkProvider.apk,"
(49) у меня тоже не каждый раз это срабатывает и браузер нужен родной хром
   Gary417
 
51 - 21.09.16 - 13:09
(50) этож чтобы согласится, надо пойти в настройки, включить установку недоверенных приложений, и ещё раз запустить установщик.


Список тем форума
Рекламное место пустует  Рекламное место пустует
ВНИМАНИЕ! Если вы потеряли окно ввода сообщения, нажмите Ctrl-F5 или Ctrl-R или кнопку "Обновить" в браузере.
Тема не обновлялась длительное время, и была помечена как архивная. Добавление сообщений невозможно.
Но вы можете создать новую ветку и вам обязательно ответят!
Каждый час на Волшебном форуме бывает более 2000 человек.
Рекламное место пустует