Information Security
Development of mobile applications
Development for Android
Comments 49
+24
Хорошая работа! Avast конечно красавец, могли бы на вас сослаться.
+7
Google play: это приложение содержит adware? нет, не слышали о таком, а вот это приложение и акаунт мы блокируем за использования названия такой-то песни!!!111
Насчет drWeb едиснтвенный который определил Trojan.BtcMine.599 в октябре, среди все «больших» антивирусов протестированных мной.
+4
Немного уточню:
1. Указанный Вами троян распространялся для пользователей ПК под управлением ОС Windows, кося под крайне нужную штуку для Steam — т.е к мобильным антивирусам вообще никакого отношения не имеет. У виндовых и мобильных антивирусов двиги/базы/методы детекта/эвристики разные. Зачем сюда мешать малварь для винды?
2. Чисто точности ради: Avast, Eset, Avira, McAfee обнаруживали зловреда раньше, чем DrWeb. А вот Каспер — да. Со своим детектом not-a-virus:RiskTool.Win32.BitCoinMiner.xhd на этого зловреда запоздал почти на месяц. Но это тоже к теме мало относится.

А если по теме:
Автору огромное спасибо за поднятую им волну. Но я предупреждаю — это лишь первая ласточка. Засилье адвари на андроид еще впереди. Сейчас лишь идут мини-разминки и пробные шарики.
-1
1.Да забыл уточнить что под windows,
2.Лично мной с последними обновлениями на тот момент были проверены Avast, Nod32, Avira, McAfee, Kaspersky, Symantech и все они ничего не находили. Только Malwarebytes нашел но не мог справиться, и только DrWeb нашел и удалил.
0
Возможно какие-то особенности отдачи обновлений разным тайм-зонам/странам — у указанных мной антивирусов (в т.ч и у доктора) обновы появились на этот зловред в одни и те же сутки. Так что вполне допускаю, что на Вашем компьютере было именно так, как Вы описали.
0
Это с форума Eset
28.12.2014 00:30:10
EAV-0116590000, ESET Smart Security 8.0.304.1, Windows 7 64
Периодически в диспетчере задач появляется процесс steam.exe (Bitcoin майнер так его называют), который к этой программе не относится и грузит процессор на 25%, а видеокарту на 100%.
При сканировании антивирус его не находит.
Хотелось бы избавиться от него и если это возможно, то занести в базу, чтоб впредь не было проблем от него.

а тут 13 Oct 2014 в базе он уже присутствует: live.dev.drweb.com/base_info/?id=196834

Тайм-зона у меня на час отстает от РФ
0
Окей, раз на слово мне веры нет, то вот пруф:
www.virustotal.com/ru/file/5666416f5ada433aaa23e6025e995ff4c9d610db96c4a00b38ab3f6472c46ba7/analysis/1413036602/ (это проверка ТОГО самого файла — он единственный в природе с таким детектом у Доктора). Как видно — данный скан от 2014-10-11, а как вы сами указали — он появился в базах у ДрВеба только 2014-10-13 — т.е спустя пару дней, но выше, дабы сгладить ситуацию я указал про обновы в один день (допустим, что базы дрвеб уже сделал 12 и сутки их тестировал — итого разница в сутки выходит).
А в сухом остатке имеем, что ДрВеб на двое суток позже его задетектил, а как вышло, что у вас на компьютере указанные мной антивирусы не обнаружили зловреда — не знаю. Предположил, что дело в обновах, в чем лично я — сомневаюсь.

А то, что вы приводите с форума есета — там речь о другом зловреде, просто он тоже имеет в системе имя steam.exe — их просто куча, а мы говорим вот про того конкретного.
0
Года 4 назад меня до глубины души поразило ингнорирование антивирусами (avp/nod/drweb), так называемых, червей. При том что настоящих вирусов я на тот момент года два уже не встречал. Зато все что сидело в автозапуске флешек и переносок пролетало со свистом. Остановить это безумие можно было только отключением последнего или usbguard-ом, который принудительно тер безобразие с подключаемых устройств.
+16
Пожалуйтесь в Avast за такое поведение!
Я имею в виду присваивание себе «аналитических» заслуг. У них там, на западе, ведь можно и засудить за такое!
+3
Вроде в статье есть ссылка на пост авастовского форума.
+2
Спасибо за статью. Именно по этой причине всех сторонних рекламщиков шлю лесом.
+3
Думаю не совру если предположу, что приложения App Store люто засандбоксены, Apple в отличии от Google предпочитает очень медленно и вдумчиво докручивать SDK, copy&paste и тот появился с большим опозданием, не то что подписка на разблокировку экрана.
0
Нет, к счастью, такой проблемы там нет, ибо SDK не позволяет, да и sandbox имеет место быть. По той же причине нет необходимости в антивирусах.
-3
Но ведь в результате вы победили и сделали этот мир чуть чище. Почти как в первых Ёлках, когда надо передать привет президенту(Гуглу), но он далеко и высоко, но через форумы сообщение доходит до Аваста, потом сми и правило 5ти рукопожатий…
+7
Гугл — разрабу: Вы варитесь на adware уже который год, тут вот на вас кляуза в газете появилась. Нам-то пофиг, но как-то некрасиво.
Разраб: А может, я удалю приложение и загружу его с другим названием?
Гугл: Мы ж говорим, нам пофиг, но удаляйте.

Гугл спокмен — прессе: Мы завершили операцию по поиску злоумышленников (нам-то пофиг) и удалили все ТРИ приложения из магазина (нам-то пофиг), теперь их в плее стало на целых ТРИ меньше (я не в курсе о тех паре тысяч других, что там есть), и до следующей загрузке в магазин десяти других в мире будет как бы (нам-то пофиг) чище!

Avast: Мы — молодцы, вы заметили? Купите премиум! Чуваку из России мы ничего не передаем, все равно кто он и кто мы. Купите премиум!

А пофиг или нет — читаю geektimes.ru/post/245326/ и радуюсь. А потом вижу страницу в браузере, а на баннерах такого понаписано… и ничего.
0
[05.02.2015 11:01] Я: habrahabr.ru/post/249765/
[05.02.2015 11:01] Я: Детектим?
[05.02.2015 11:01] Victor: да
[05.02.2015 11:02] Я: Всё с этим модулем или каждое отдельно? :)
[05.02.2015 11:02] Victor: всё с этим модулем
[05.02.2015 11:02] Я: Отлично, спасибо

Так что да, автор правильно поступил, что сообщил всем, кому нужно было сообщить.
0
Конечно не он. :)

Но на самом деле не имеет значения, какой именно это Виктор. Важен сам итог — компании детектируют модуль и это будет происходить на всех поделках с этим модулем. Таким образом достигнута одна из целей.
0
Я могу попробовать повторить с Виктором на которого я сослался вышеприведенный диалог, посмотрим будет он таким же или другим :)
+3
Написал в гугл на днях как превратить телефон в кирпич из кода без запроса дополнительных пермишенов. Ответил бот как обычно — здравствуйте, мы рассмотрим, мы подумаем, чпаибо до свидания. Подожду еще недельку и начну видимо через форумы пытаться донести
+1
Попробуйте в Bug Bounty написать. Если премию и не дадут, то хотя бы отреагируют быстро.
+1
я там общий принцип описал, если непонятно — не стесняйтесь пинать меня в личке. Так же у меня где то был сорец приложения (оно не во вредоносных целях создавалось, мы раздавали телефоны (свои) — партнерам, и была задача чтобы они не могли ни звонить ни смски с них слать, ни в однокласниках сидеть) — и вобщем ее удалось решить на удивление просто
+3
Однажды я поставил себе на Android научный калькулятор. Все хорошо, полностью меня устраивает, но как-то предложил он мне поставить апдейт. Я смотрю: при обновлении надо подтвердить разрешение выходить в интернет. Зачем калькулятору выходить в интернет??? Ясен пень, что для рекламы.

Я мечтаю, что когда-нибудь при установке приложений можно будет выбирать, какие разрешения давать приложению, а какие нет.
0
В CyanogenMod такой функционал давно был. Скорее всего и сейчас есть.
0
В Cianogen, я слышал, можно.
Очень удивился, когда узнал, что при установке приложения из гугл.плей список пермишенов чисто информационный, думал можно тут же запрещать.
0
С удивлением обнаружил такую настройку в стоковом 4.4.2. Называется «операции в приложениях» и позволяет управлять разрешениями по одному. К сожалению, оно каждый раз выдает сообщения вида «тому-то запретил то-то», и с некоторыми приложениями сообщение постоянно висит на экране. Вроде как эта штука встроена с версии 4.3, но нигде не удалось найти способа убрать эти оповещения.
0
Так уж устроена система монетизации Google Play: либо вы платите автору приложения пару долларов, либо получаете бесплатный вариант, но с сюрпризом. Ради денег многие разработчики готовы продать душу дьяволу рекламщикам и это естественно — не для того были прочитаны десятки умных книг и просижены тысячи часов за компьютером, чтобы бесплатно давать пользователям свой продукт.
UFO landed and left these words here
+1
И та же Вики каждый год вывешивает баннер: если вы нам не поможете, то нам кирдык :-(
0
Поддерживать большую инфраструктуру — дорого, пусть уж лучше каждый год баннер, чем вики обвешается рекламой как новогодняя ёлка.
+1
DrWeb для Андроид тоже уже обнаруживает такую пакость.

На мой вопрос к вирусному аналитику, как там с обнаружением, был такой диалог [здесь же модно приводить диалог с разработчиком (= ]
"
dev (16:11:30 5/02/2015) да, мы это во вторник закомитили
me (16:11:53 5/02/2015) То есть теперь будет обнаруживаться такая пакость?
dev (16:12:12 5/02/2015) да
me (16:12:24 5/02/2015) Достаточно только обновления вирусных баз?
dev (16:12:31 5/02/2015) да
"
0
Странно, у меня стоит приложение Дурак из топика, но такой рекламы я никогда не видел. Может быть ее AdFree блокирует, в настройках Cyanogen ничего приложению не запрещал.
Но вообще это наглость, не понимаю, почему Google не отреагировал (тем более это оттягивает разработчиков от AdMob, как мне кажется, в этой партнерке платят больше). Может быть они реагируют только когда жалуются многие?
0
Вы сами ответили на свой вопрос — конечно AdFree блокирует рекламу в т.ч. и в упомянутых автором топика приложениях.
0
Справедливости ради: AdFree далеко не всю рекламу блокирует, например в Asphalt 8 она периодически пролазит.
UFO landed and left these words here
+1
для меня, самая большая проблема с таким поведением рекламы, это найти какое приложение её показывает.
0
Такое впечатление что Гугл получает процент с такой рекламы
0
мб, я и ошибаюсь, но Admob по моему гугловская мобильная реклама)) — какие шутки? — Ой или это не мне было адресовано)
Only those users with full accounts are able to leave comments. , please.