Вместе с Android
реверс и программирование, обсуждение и обзоры
IntSystem.org | Веб-разработка, все о ней

Как удалить троян с телефона и других устройств на Android? 30.06.2015

how_to_remove_trojans_from_phone_logo

Сегодня поговорим о том, что делать, если беда уже пришла на устройство.

Локализация источника

Как правило, об установке не устройство вредоносного ПО большинство пользователей узнает из последствий: блокировка экрана, пропажа денег с привязанной банковской карты или SIM-карты, кража учетных записей и т.д. На данном этапе важно вспомнить, какие события предшествовали Вашему несчастью? Возможно, Вы получили ссылку от знакомого, SMS-сообщение от неизвестного контакта или, возможно, Вы устанавливали приложения из неизвестных источников.  О том, какими путями троянские программы и другие категории вредоносных программ попадают на устройства, можно почитать здесь.

Процедура лечения

В большинстве случаев, приложение заставляет пользователя выдать ему права администратора, соответственно, простое удаление приложения не поможет. Но Вы можете попробовать, бывают и такие примеры, когда обычное удаление зловредного приложения помогает. Также можно заблокировать привилегии администратора для приложения, а потом его удалить.

device_administrators
В противном случае, обладая правами root, можно перейти в каталог установленных пользователем приложений /data/app и удалить все необходимое, после чего перезагрузить устройство. В большинстве случаев все троянские программы ориентированы на типичного пользователя, не обладающего правами root. Поэтому для укрепления в системе они сами их тоже не запрашивают. Но, если у Вас нет root прав, придется загрузить свое устройство в режиме восстановления.  Делается это очень просто:  долгим нажатием на меню «выключение» перезагружаемся в безопасный режим и повторяем вышеописанную процедуру с удалением из администраторов и удалением приложения. Есть также видео о том, как это сделать.

А что если ничего из вышеописанного не работает?

В таком случае Вам, скорее всего, поможет только перепрошивка или hard-reset устройства. О том, как это сделать для конкретно Вашего устройства, можно ознакомиться на сайте производителя, либо Вы можете прочесть рекомендации о том, как это делать, из этой статьи.

Троян удален. Остался ли он в системе?

На сегодняшний день я еще не встречал образцов, которые бы заражали исполняемые файлы системы для закрепления. Этому есть две причины. Большинство вредоносного ПО пишется на Java на коленке за пару часов, чтобы быстренько срубить бабла и разбежаться. А также потому что Android OS устроен таким образом, что приложение имеет прямой доступ только к своим данным и внешним носителям (при этом ему нужны определенные привилегии). Конечно, ограничение операционной системы можно обойти, заразить нативные файлы, по типу вирусов для Linux, но такой код слишком дорогой для целей злоумышленников, да и подобные возможности как правило избыточны. А еще, далеко не у всех вирусописателей есть достаточная для этого квалификация. Поэтому будьте начеку и не позволяйте заражать Ваши устройства. Удачи!


  • Вася Дуркин:

    Здравствуйте!
    Как раз сталкнулся с троянами, которые невозможно удалить на не’r00t’овом планшете, без прав r00t. Что делать? Swipe не помог, заново загружается в системе, планшет bb-mobile Techno 9.7 3G, скриншот по ссылке —> http://i.imgur.com/LITkyGC.jpg

    • admin:

      Здравствуйте, скорее всего, информация для Вас уже неактуальна… Тем не менее, самым надежным способом будет либо загрузка в безопасном режиме и последующий сброс, либо перепрошивка через бб.

      • Денис:

        Скачал приложение сразу антивирусы заговорили про это приложение, что оно вредоносное. Захожу в антивирус пишет:,,угроза, вирус троян,,. Я сразу удалил приложение. Вирус остался в системе?

        • admin:

          Вероятнее всего нет. Т.к. у антивируса сработало событие «установлено приложение», после чего оно было удалено. А даже если приложение было перед удалением запущено, редкая малварь пытается выйти за пределы своей песочницы и закрепиться в системе.

        • Что за антивирус пож скажи

  • анна:

    Как узнать, что это именно то приложение? Антивирус пишет что обнаружен трудноудалимый троян

    • admin:

      Зависит от конкретного примера. Антивирус (некоторые из них вовсе не антивирусы, а просто имитаторы полезной деятельности), список установленного ПО. В конце концов, кому как не Вам — хозяину устройства, знать, какие программы Вы устанавливали, а какие — нет? На крайний случай всегда можно сделать восстановление системы (сброс настроек), либо через перепрошивку с помощью ПК.

      • Alex:

        Здравствуйте!
        Так, какой же антивирус является действующим, а не категорией «смотри мультик мой android и покойся….». Ваше мнение?

  • Сабрина:

    Это просто супер всё удалилось телефон лучше работает

  • Олесь:

    У меня проблема куда хуже. На свой Nomi i503 решил установить роот права программой kingoroot но после установки Рут телефон перешёл в состояние кирпич. Перепрошил,и телефон начал роботать и после подключения к интернету установилось приложение media729_wg20.apk и оно устанавливает программу phone. После удаления, оно устанавливается опять. Перепрошивал, делал зброс,форматировал флешку но ничего не помогает он все равно устанавливается, и устанавливается на флешку. Антивирусники перепробовал все, устанавливал Рут, но они просто удаляют а вирус устанавливается опять.

    • admin:

      В вашем случае неизвестно что это за софт, возможно это вполне себе обычное обновление, пусть и принудительное (кого этим удивишь в 2016 году). Еще роль играет то, откуда была взята прошивка. Вполне вероятно, что все это дело находится внутри. В таком случае, если прошивка скачана с официального сайта производителя, то тех. поддержка сможет ответить (по крайней мере, должна) что это за приложения и зачем они нужны. В противном случае следует понимать, что установка кастомных прошивок это определенный риск.
      Еще можете предоставить образец приложения, было бы интересно поковырять его.

  • А вот смотрите,у меня такая проблема…
    Установил PRO-torrent(с интернета конечно,потому что 200 р. Жалко было)вроде пока было ничего,но под вечер была реклама,на следующий день(т.е. сегодня) поползло куча реклам,(антивируса не было, т.к. много заряда жрет)установил Clean master,он написал что этот торрент заражен трояном,я удалил его,а рекламы остались.а отключение административных прав не работает(нажал на откл.и заблокировплся экран,постоянно включался) помогите пожалуйста! (((

  • Маруся:

    Здравствуйте, может вы подскажите как мне решить мою проблему. Замучал вирус-троян com.google.keyguard, я его удаляю, а он снова устанавливается. Боролась разными способами, ничего не помогает((

    • admin:

      Здравствуйте, возможно упомянутое приложение не единственное вредоносное. Причем, откуда известно что оно вредоносное? Имя приложения само по себе ничего не значит. Также не описаны способы, возможно я насоветую уже то, что было сделано и не помогло. Но точно поможет перепрошивка устройства прошивкой, взятой с официального сайта производителя.

  • Alex:

    Планшет Voyo X6i. Прошивку не найти. Откат через рекавери на заводские настройки не помогает. Есть рут, CWM, поставил титаниум и рутексплорер. Но удалить какой-то троян так и не удается. Заморозил все что можно, но при включении Wi-Fi упорно лезет реклама, включая и другие вирусы. Как узнать какие процессы активны (находятся в оперативной памяти)? Мне кажется, что этот троян, въевшийся в прошивку, не виден в списке работающих программ.
    И второе — можно ли, сохранив образ через CWM, разобрать, удалить все лишнее и прошить обратно?

    • admin:

      Да, вполне возможно, что нагрузка вшита в прошивку, возможно даже не отдельным модулем, а внутри какой-то стандартной программы. Тут только методом эксперимента искать, потому что спрятать нагрузку внутри прошивки можно тысячей разных способов, и при должном подходе с этим ничего не сделать (хотя я думаю с этим не заморачивались, а просто модифицировали оригинальные apk). В любом случае я бы начал с общения с тех. поддержкой производителя. это же они http://en.myvoyo.com?

  • Alex:

    Вот что они отвечают

    Sorry, thats long time, and we lost the backup. now we not have framework or ROM can offer. sorry
    ——————
    Let me hear from you
    Best Regard
    VOYO sales manager

    Если перевести на нормальный язык, то получается — выбросите этот утиль и купите новый планшет.
    Интернет подсказал, что в данном случае имеем дело с вирусом «triada». Как и предполагалось он скрывает свое присутствие и в списке работающих программ его не видно.
    Пробовал разные варианты, но «воз и ныне там..»
    Хотелось бы узнать узнать у тех, кто знаком с андроидом получше, можно ли все-таки разобрать слитый с устройства образ и почистить (скажем по датам файлов или еще как)?

    • admin:

      Что касается «можно ли все-таки разобрать слитый с устройства образ и почистить»?
      Если знать от чего именно чистить, то наверняка можно, но лучше о модификации прошивок/бекапов и прочего спросить/поискать на 4pda или XDA. У меня нет в этом опыта.

      В остальном же, если малварь от производителя, то он может запрятать ее очень далеко, потому что все возможные пути у него открыты. Но возможно стоит просто методом тыка делать бекапы, удалять приложения и наблюдать за устройством. Возможно никто в дебри системы и не залезал, а только модифицировал стандартные apk.

  • Kirya:

    Здравствуйте. Что делать? Брат скачал программу Game Hacker, и дал этому приложению административные права. Теперь когда пытаюсь удалить его экран блокируеться! Пробовал в настройках безопастности отключить админ.права, тоже самое, экран просто блокирует! Подскажите плиз что делать?!

    • admin:

      Добрый день. Сделать сброс настроек на заводские, он же factory reset. Если есть рут права, то можно просто удалить приложение из /data/app и перезагрузить телефон. В крайнем случае перепрошивка устройства.

  • Данил:

    Вот реклама мучает сильно через каждую секунду,не могу удалить,антивирус нечего не ищет,установил потом CCleaner,почистил кэш браузера(потому что в браузере реклама открывается)все порошло,но на следующий день снова началось.Ещё вылетает гугл и говорит у вас возможно есть угрозы,установите наше приложение и все пройдет. Я устанавливаю говорят дайте номер телефона(если дам потом деньги снимут).Ваши способы не действуют.Планшет страшно мучается все 2 дня как у меня вирус!Подскажите!

  • XapD:

    ТЕПЕРЬ есть троян ,который не удалить таким способом. Встречайте: Triada! Я подцепил, вот сейчас «лечусь»… Все обычные пляски вроде удаления заражённого приложения, заводского сброса и т.п. не работают. Так что всем нужно срочно учиться пользоваться SPFlashTools…

  • Саша:

    Здравствуйте!Прочитала вашу статью и возникли вопросы.Вообщем,на днях столкнулась с проблемой, на телефон с Play Market начали устанавливаться различные приложения и часто появлялась реклама на экране,я не поняла в чем дело и решила же поискать в интернете.И как все пишут ,это троянский «неубиваемый» вирус который попадает на Android и может пользоваться всеми данными ,вообщем тем,что связанно с конфидециальностью.Ия обнаружила,что вирус называется Malwarе.Я перепробовала различные антивируски и они удаляли этот вирус,но через пару дней снова приходили оповещения что телефон под угрозой. Пользовалась такими как Malwarebytes’ Anti-Malware и Stubbotn Trojan Killer.И вроде вирус удален,но обнаружился еще один вирус находящийся (скорее всего маскирующийся) под приложение settings,естественно оно стандартное и его удалить не возможно. Вообщем,мои вопросы:
    1.Этот вирус проникает в систему и удалить его не возможно,только лишь прошивка?
    2.Прошивку нужно делать только у мастера?
    3.Поможет ли обладание root-правами убрать эти вирусы,если да то как приобрести root-права?
    4.Как быть с settings,удалить невозможно но и оставлять вирус ,опасно.
    5.Эти вирусы обладают правами конфидециальности,к чему это может привести?Исчезновения денежных средств.А может ли вирус завладеть данными учетных записей и полностью ими распоряжаться?
    6.Кроме утечка конфидециальности,что может быть с телефоном?Могут ли быть различные глюки или что-то подобное?

  • Михаил:

    Спасибо. помогло. все перепробовал, не чего не помогало. даже мастера своего дела говорили, что нужно перепрошивать. антивирусы тоже гав.о, не видят не чего

  • Гржемилик:

    Привет всем больным и докторам)) расскажу, как я излечил планшет с помощью Касперского, здравого смысла и быстроты реакции)
    заразился трояном SMS_S, который все время пытался отправить смс на номер 900 (говорят что это сбербанк, может он хотел там кредит оформить, не знаю, у него не прокатывало, потому что я симку предусмотрительно извлек) и главное, зараза, схлопывал окна, которые я открывал, Т.е. я не мог ни в настройки войти, ни еще как-либо его отключить. Сброс настроек до заводских, как рекомендуют на некоторых умных сайтах, он проигнорировал с издевательским смехом в стиле Фантомаса. Но тут он первый раз лоханулся — после N-й попытки передать смс, которую я запретил, он обиделся и перестал со мной общаться. К тому же он не блокировал браузер и я смог скачать антивирус Касперского. Но установить его я не мог, т.к. этот конь сворачивал окно установки через дою секунды. Но он гад не знал что у меня хорошая реакция и координация движений и отменное терпение) я раз 30 открывал окно установки и тыкал пальцем в кнопку «Начать установку» в то мгновение, пока окно было открыто, и — о, чудо! — установка началась!!! Еще раза 3 мне удалось удачно ткнуть в иконку ОК и Продолжить)) и готово, Каспер встал в боевую стойку. Еще одно быстрое движение и запустился скан, через 30 сек он победоносно обнаружил вирус, который все еще сопротивлялся из последних сил, но я с 3 попытки попал-таки в кнопку Удалить. УРА!!! Победа!!!
    ВЫВОД: Ребята, никогда не паникуйте и не ищите сложных путей, ищите простые. Человеческие возможности по быстродействию все еще намного превышают компьютерные)))
    И не ведитесь на сообщения с незнакомого номера типа «Виктор Шиномонтаж, посмотри фото, надо разобраться! (далее адрес сайта)» На сайте вам предложат установить приложение для просмотра данного контента и привет. Да, Андроид будет вас сто раз предупреждать. что вы делаете?! но вам же очень интересно. что это там за фото компрометирующее вас, ради этого вы пойдете на все и разрешите этой программе делать на вашем смартфоне все что захочет. Постарайтесь просто не косячить))

  • Saints Row:

    Здравствуйте, был до этого Андроид 6.0.1, устанавливал майнкрафт пиратский, гта пиратские, взломанные игры, скачал наверное антивирусов 20, ничто ничего, устройство работает нормально, только иногда реклама выскакивает «не гугловская». Обновил до андроид 7.1.1 Samsung galaxy j5 (2016) зашел в finder и высвечивается в табличке «trojan», а ниже «android», вряд ли вы поняли бред, тот что я написал, но если вы поняли, то ответьте пж

    • Saints Row:

      Возможно, это результаты моих поисков на шестерке, ибо «trojan» это может быть моими попытками самими найти и удалить вирус, а «Android» я искал, чтобы кинуть в эту папку кэш от гта.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Яндекс.Метрика