اندروید من ویروسی شد

[saman]

[quote="Naficy"]سلام
بله، راستش با توصیفات شما من هم مشتاق شدم بگیرم نصب کنم.

سوال اصلی الآن این است که این برنامه‌ها از کجا روی گوشی شما می‌آیند و اصلا چگونه بدون اطلاع شما نصب می‌شوند.
برای همین من چند سوال دارم:
۱- آیا گوشی شما روت است؟
۲- چه برنامه‌هایی امکان Device Administrator روی گوشی شما دارند؟ (برای دیدن این مورد به تنظیمات گوشی، بخش Security مراجعه کنید و گزینه‌ای به همین نام را بیابید)
۳- احیانا خاطرتان هست پیامی مبنی بر نصب این دو برنامه دیده باشید و Accept کرده باشید یا خیر؟

همانطور که گفتید یک روش پیدا کردن متهم این است که ببینیم کدام نرم‌افزار(ها) آخرین چیزهایی بودند که قبل از پیدا شدن این بدافزار نصب شده‌اند.
ولی اینکه این کار بدون پیغام انجام شده باشد عجیب است، برای همین سوال سوم حیاتی است. ضمنا مشخصات گوشی خودتان را هم برایمان ارسال کنید. (تصویر صفحه About Device که شامل ورژن آندروید باشد خیلی مفید است)[/QUOTE]
[quote]
سوال اصلی الآن این است که این برنامه‌ها از کجا روی گوشی شما می‌آیند و اصلا چگونه بدون اطلاع شما نصب می‌شوند.[/QUOTE]

بله. دقیقا. الان نزدیک 1 سال است برنامه جاسوس یاب روی گوشی من نصب است و تا بحال هیچ موردی را گزارش نکرده بود. اما چند روز بعد از نصب فایروال رایگان noroot firewall این داستان ها شروع شد و یکبار برنامه ای مخفی با پوشش play store و یک بار هم با پوشش ease روی گوشی پیدا شد.

من به noroot firewall بسیار مشکوک هستم. توصیه میکنم چند روزی روی گوشی نصب کنید و در زمان های اتصال به اینترنت آن را فعال کنید که ظاهرا از یک vpn استفاده می کند تا به قول خودش امنیت را فراهم کند!!!


[quote]۱- آیا گوشی شما روت است؟[/QUOTE]

نه روت نیست. و اصلا این فایروال را ریختم چون در توضیحاتش آمده بود که به روت نیاز ندارد.


[quote]۲- چه برنامه‌هایی امکان Device Administrator روی گوشی شما دارند؟ (برای دیدن این مورد به تنظیمات گوشی، بخش Security مراجعه کنید و گزینه‌ای به همین نام را بیابید)[/QUOTE]

اتفاقا همین برنامه جاسوس یاب هم مدیران سیستم را نمایش میدهد و البته به سادگی میتوان در تنظیمات گوشی هم آن را دید.

در این بخش تنها برنامه قفل دوربین(ساخته ی همان شیخ الاسلامی که برنامه جاسوس یاب را ساخته) وجود دارد که تیک خورده(به عنوان مدیر) و مدت زیادی هست روی گوشی من است و این مشکل وجود نداشته و دقیقا چند روز بعد از نصب noroot firewall این برنامه های مخفی پیدا شده اند.

[quote] ۳- احیانا خاطرتان هست پیامی مبنی بر نصب این دو برنامه دیده باشید و Accept کرده باشید یا خیر؟[/QUOTE]

اصلا به هیچ عنوان پیغامی نیامده که accept بزنم.


[quote]ولی اینکه این کار بدون پیغام انجام شده باشد عجیب است، برای همین سوال سوم حیاتی است. ضمنا مشخصات گوشی خودتان را هم برایمان ارسال کنید. (تصویر صفحه About Device که شامل ورژن آندروید باشد خیلی مفید است)[/QUOTE]

اطمینان داشته باشید هیچ پیغامی در مورد نصب چنین نرم افزارهایی accept نشده است.

حتما در پست بعدی تصویر About Device را ارسال میکنم.
ورژن اندروید من قدیمی است>> 4.2.2

من برنامه ای چینی برای عکاسی به اسم ucamera دارم که گاهی پیغام های تبلیغاتی برای برنامه های پیشنهادی نمایش میدهد اما هرگز چنین پیغام هایی را اصلا نمیزنم و فقط آنها را میبندم و بعید میدانم مشکل از این نرم افزار باشد چون مدت هاست آن را دارم و جاسوس یاب چیزی نمایش نداده بود.

تنها برنامه جدید گوشی من همین noroot firewall است.

--- ویرایش شده ---

این هم به پست قبلی من اضافه کنید>>

فایل ضمیمه 4707.jpg دیگر موجود نیست

[Naficy]

سلام
نحوه نصب شدن این بدافزار - که بدون نمایش پیغام بوده است - فقط سه احتمال برای من متصور است:
۱- گوشی شما روت است (و خبر ندارید!)
۲- نرم‌افزاری که دسترسی «نصب بدون پرسش» نرم‌افزارها را دارد این بدافزار را نصب کرده است. به طور کلی این دسترسی محدود به نرم‌افزارهای سیستمی (مثل گوگل پلی) است و اگر نرم‌افزاری از طرف سازنده firmware گوشی تایید نشده باشد این دسترسی را ندارد.
۳- یک حفره امنیتی (exploit) باعث این مساله شده است.

ما نرم‌افزار no root firewall را بررسی کردیم و حداقل تا الآن که رفتار مشکوکی از خود نشان نداده است. از نظر دسترسی و ... نیز امکان این کار را ندارد.
تنها راهی که به ذهن من می‌رسد، بررسی گوشی و برنامه‌های آن از نزدیک است. با توجه به اینکه این کار برای شما مشکل خواهد بود، قبل از آن لطفا برنامه‌های app store مانند (بخصوص مال خود گوشی) و برنامه‌های Device Admin را به روش مشابه برای ما ارسال کنید تا ببینیم چیزی پیدا می‌شود یا خیر.

آیا مساله باز هم تکرار شده است یا دیگر خبری نبوده است؟

[saman]

[quote="Naficy"]سلام
نحوه نصب شدن این بدافزار - که بدون نمایش پیغام بوده است - فقط سه احتمال برای من متصور است:
۱- گوشی شما روت است (و خبر ندارید!)
۲- نرم‌افزاری که دسترسی «نصب بدون پرسش» نرم‌افزارها را دارد این بدافزار را نصب کرده است. به طور کلی این دسترسی محدود به نرم‌افزارهای سیستمی (مثل گوگل پلی) است و اگر نرم‌افزاری از طرف سازنده firmware گوشی تایید نشده باشد این دسترسی را ندارد.
۳- یک حفره امنیتی (exploit) باعث این مساله شده است.

ما نرم‌افزار no root firewall را بررسی کردیم و حداقل تا الآن که رفتار مشکوکی از خود نشان نداده است. از نظر دسترسی و ... نیز امکان این کار را ندارد.
تنها راهی که به ذهن من می‌رسد، بررسی گوشی و برنامه‌های آن از نزدیک است. با توجه به اینکه این کار برای شما مشکل خواهد بود، قبل از آن لطفا برنامه‌های app store مانند (بخصوص مال خود گوشی) و برنامه‌های Device Admin را به روش مشابه برای ما ارسال کنید تا ببینیم چیزی پیدا می‌شود یا خیر.

آیا مساله باز هم تکرار شده است یا دیگر خبری نبوده است؟[/QUOTE]

[quote]
۱- گوشی شما روت است (و خبر ندارید!)
[/QUOTE]

بعید است اینگونه باشد>> تصویر زیر با نرم افزار root checker basic نشان میدهد گوشی من روت نیست>>

فایل ضمیمه Screenshot_2015-07-04-16-02-47.jpg دیگر موجود نیست

دوما در فاروم سازنده گوشی صفحات زیادی در مورد آموزش روت کردن این گوشی آورده شده که من هم گوشی را از نمایندگی این شرکت خریداری کردم و بعید است دست دوم و یا روت شده باشد.
مگر اینکه برای فرار از بعضی تحریم ها برای این شرکت ایرانی چیزی بین روت شدن و روت نشدن!!!! وجود داشته باشد که اگر اینگونه باشد هم باشد من بی اطلاعم.

البته نرم افزار فوق الذکر که نشان میدهد گوشی روت نیست.
[quote]
نرم‌افزاری که دسترسی «نصب بدون پرسش» نرم‌افزارها را دارد این بدافزار را نصب کرده است. به طور کلی این دسترسی محدود به نرم‌افزارهای سیستمی (مثل گوگل پلی) است و اگر نرم‌افزاری از طرف سازنده firmware گوشی تایید نشده باشد این دسترسی را ندارد.
۳- یک حفره امنیتی (exploit) باعث این مساله شده است.[/QUOTE]

اینکه کدام نرم افزار من دسترسی نصب بدون پرسش دارد بی اطلاع هستم و اگر میخواهید راهنمایی کنید تا اطلاعات لازم را ارسال کنم.

[quote]یک حفره امنیتی (exploit) باعث این مساله شده است[/QUOTE]

خب چطور باید متوجه این مشکل شد؟

[quote]
نها راهی که به ذهن من می‌رسد، بررسی گوشی و برنامه‌های آن از نزدیک است. با توجه به اینکه این کار برای شما مشکل خواهد بود، قبل از آن لطفا برنامه‌های app store مانند (بخصوص مال خود گوشی) و برنامه‌های Device Admin را به روش مشابه برای ما ارسال کنید تا ببینیم چیزی پیدا می‌شود یا خیر.[/QUOTE]

در این فایل فشرده ارسالی چندین برنامه موجود است>>

http://s3.picofile.com/file/8197733884/ ... k.zip.html

رمز: padvish

سه تا فروشگاه اندرویدی که 2 تا شناخته شده( بازار و مایکت) دیگری فروشگاه اندرویدی خود سازنده است که مال خود گوشی است(app center) و ظاهرا پروژه ای رها شده است و هرگز هم از آن استفاده نکرده ام و از 1 سال پیش هم با خرید گوشی موجود بوده ولی همچین داستانی وجود نداشته است.

دیگری نرم افزار قفل دوربین از سازنده برنامه جاسوس یاب است که تنها نرم افزار دارای دسترسی device admin در گوشی است و البته مدت زیادی هم هست که نصب است و همچین مشکلی(بدافزار) دیده نشده بود

دیگری نرم افزاری چینی برای عکاسی با گوشی است به نام ucamera که چون خودم به آن مشکوک بودم برای شما ارسال کردم.(گاهی تبلیغاتی در بخش اعلان سیستم به زبان چینی نمایش میدهد)

[quote] آیا مساله باز هم تکرار شده است یا دیگر خبری نبوده است؟ [/QUOTE]

جالب است که بعد از 2 بار که به شما اطلاع دادم، خبری از تولید و ورود این بدافزار ها به گوشی ندیدم!!!! و فعلا خبری نیست. ولی عجیب بود که استفاده از no root firewall دقیقا با شروع این مشکل همراه بود.

[saman]

نمیدونم پست آخر من دیده شد یا نه؟

[Naficy]

[quote="saman"]نمیدونم پست آخر من دیده شد یا نه؟[/QUOTE]
سلام
بله دیدیم.
تا الآن مساله مشخصی از هیچ یک از این برنامه‌ها پیدا نشده است:
البته در مورد یکی از این برنامه‌ها یک آسیب‌پذیری احتمالی پیدا کردیم، ولی حتی مورد پیدا شده برای نصب بدافزار کافی نیست. هیچ یک از این نرم‌افزارها نیز دسترسی نصب بدون پرسش را ندارند.
از طرف دیگر بررسی آماری این دو بدافزار، نشانی از همبستگی (correlation) با هیچ یک از این برنامه‌ها را نشان نمی‌دهد، یعنی در بین آمار گوشی‌هایی که آلوده به این بدافزارها بوده‌اند، هیچ برنامه‌ای به طور مشخص پیدا نمی‌شود که با این بدافزارها همزمان پیدا شده باشد.
اجرای برنامه‌ها در محیط ایزوله هم رفتاری که گفتید را نشان نمی‌دهد که البته با توجه به اینکه برای شما هم دیگر تکرار نشده است طبیعی است.

به همین علت به نظرم مجبوریم صبر کنیم ببینیم دوباره این مساله رخ می‌دهد یا خیر.

[saman]

[quote="Naficy"]سلام
بله دیدیم.
تا الآن مساله مشخصی از هیچ یک از این برنامه‌ها پیدا نشده است:
البته در مورد یکی از این برنامه‌ها یک آسیب‌پذیری احتمالی پیدا کردیم، ولی حتی مورد پیدا شده برای نصب بدافزار کافی نیست. هیچ یک از این نرم‌افزارها نیز دسترسی نصب بدون پرسش را ندارند.
از طرف دیگر بررسی آماری این دو بدافزار، نشانی از همبستگی (correlation) با هیچ یک از این برنامه‌ها را نشان نمی‌دهد، یعنی در بین آمار گوشی‌هایی که آلوده به این بدافزارها بوده‌اند، هیچ برنامه‌ای به طور مشخص پیدا نمی‌شود که با این بدافزارها همزمان پیدا شده باشد.
اجرای برنامه‌ها در محیط ایزوله هم رفتاری که گفتید را نشان نمی‌دهد که البته با توجه به اینکه برای شما هم دیگر تکرار نشده است طبیعی است.

به همین علت به نظرم مجبوریم صبر کنیم ببینیم دوباره این مساله رخ می‌دهد یا خیر.[/QUOTE]

برادر گرامی جناب آقای نفیسی اول از لطف شما برای پیگیری موضوع سپاسگزارم و واقعا بهترین پشتیبانی در ایران قطعا مربوط به شرکت شماست.

آخرین مورد را در این مسئله پرسش میکنم شاید کمکی کند و اگر موضوع دیگر تکرار نشد مسئله را کنار می گذارم.

شاید برای متخصص اندروید شرکت شما جالب باشد که لانچری توسط شرکت سازنده روی سیستم من از ابتدا نصب بود که این شرکت در تولیدات بعدی این گوشی به دلیل مصرف زیاد باطری یا خر دلیل دیگری(شایدم امنیتی) این لانچر را حذف کرد اما به این دلیل که من گوشی را آپدیت نکرده ام این لانچر همچنان موجود است و داستان اینکه نرم افزار امنیتی چینی 360 security که در واقع همان qihoo هست در اسکن گوشی من موردی در رام سیستم و برای کول لانچر پیدا می کند که تصویرش را در پایین می آورم و دقیقا متوجه نمی شوم علتی که آن را تهدیدی امنیتی میداند چیست>>>

مشاهده بفرمایید>>

فایل ضمیمه 6486.jpg دیگر موجود نیست

مورد 2 اینکه
آیا ممکن است علت این مشکل استفاده no root firewall از vpn بظاهر امن باشد؟!!

[saman]

باز هم یک نمونه دیگر که ناگهان روی صفحه ظاهر شد و البته برنامه جاسوس یاب نشان میدهد که دسترسی به دوربین دارد>>

http://s6.picofile.com/file/8202933284/ ... 9.zip.html

این برنامه آیکونی بی نام روی صفحه ریخته که در در زمان درخواست برای uninstall برنامه آن را با نام com.exam.result نشان میدهد و برنامه airdroid نامی برای آن ندارد و تنها ورژن آن را 1 نشان میدهد.

پادویش هم آن را نمی شناسد.

[a.parijaee]

[quote="saman"]باز هم یک نمونه دیگر که ناگهان روی صفحه ظاهر شد و البته برنامه جاسوس یاب نشان میدهد که دسترسی به دوربین دارد>>

http://s6.picofile.com/file/8202933284/ ... 9.zip.html

این برنامه آیکونی بی نام روی صفحه ریخته که در در زمان درخواست برای uninstall برنامه آن را با نام com.exam.result نشان میدهد و برنامه airdroid نامی برای آن ندارد و تنها ورژن آن را 1 نشان میدهد.

پادویش هم آن را نمی شناسد.[/QUOTE]

با سلام
فایل شما توسط افراد تیم تحلیل در حال برسی میباشد.
نتیجه بررسی در ادامه همین پست به اطلاع خواهد رسید.
با تشکر

[mohammadktabriz]

[quote="davarian"]نوشته اصلی توسط saman
آنتی ویروس های اندروید میتوانند بدافزار های اندرویدی را تشخیص دهند. بعید میدانم با آنتی ویروس های ویندوزی(حداقل خیلی هایشان) بتوان بدافزار اندرویدی را پیدا کرد.

به هر حال این خیلی مشکوک است
1- بدون اجازه من play store ساختگی با ورژن 1 !!! روی صفحه اضافه شده

2- این برنامه خودش را مخفی کرده بوده و برنامه جاسوس یاب باعث شد متوجه حضور آن شوم.

چرا باید یک برنامه خودش را مخفی کند؟

نمیدانم فایل مخفی شده اصلی این بوده که من فرستادم یا نه.(توضیحاتش را در پست اول داده ام)


سلام

فایل شمال بررسی و به عنوان بدافزار شناسایی شده است .
این فایل در به روز رسانی صبح یک شنبه ۷.۴.۹۴ توسط پادویش شناسایی خواهد شد .

با تشکر

--- ویرایش شده ---



سلام

فایل شمال بررسی و به عنوان بدافزار شناسایی شده است .
این فایل در به روز رسانی صبح یک شنبه ۷.۴.۹۴ توسط پادویش شناسایی خواهد شد .

با تشکر[/QUOTE]

جاله همون فایل را اجرا کردم پادویش گفت امن هست تازه خنده دارش اینجاست که ویروسی که اندرویدیه پادویش نسخه ویندوزش شناسایی می کنه ولی نسخه اندرویدیش نه [IMG]http://cdn.persiangig.com/preview/ec14w84p1t/24.gif[/IMG]

[IMG]http://s6.picofile.com/file/8221556484/Capture.JPG[/IMG]