这里有一个可怕的想法:移动设备可能很快就会在所需的系统应用程序上预装恶意软件。虽然这听起来像是一个可怕的预言,但预装的手机恶意软件是未来不幸的现实。

在过去,我们已经看到了预装恶意软件与臭名昭著Adups威胁,其中其他.“预装”是指恶意软件已经安装在系统级的设备上,因此无法删除;只有禁用。然而,通过使用一种变通方法来卸载应用程序,纠正这些预先安装的恶意软件的迭代是可能的当前用户。该方法包括在移动设备连接到PC,并使用ADB命令行工具跟随我们的导游,Adups的移除说明, 了解更多。

这种方法虽然有点乏味,它的工作原理来修复恶意软件。相比之下,补救预装恶意软件的新版本已经变得更加困难。我们现在看到所需的设备正常运行恶意软件编写者的目标系统的应用程序。通过注入这些必要的应用程序中的恶意代码,威胁演员们重塑预装恶意软件变得更糟景观。

预装的应用程序的类型

根据应用程序在设备上的位置,有两种预装应用程序。这个位置也决定了应用程序的重要性。

第一个位置是/系统/应用程序/。在此位置应用程序通常是你想拥有的东西,但不是关键的设备运行。例如,包含在功能上的相机应用,蓝牙,装置,或图片浏览上FM广播被存储在该位置。这个位置也是设备制造缓存的地方有些可能会考虑什么臃肿软件.卸载其中一些应用程序可能会降低用户体验,但不会阻止设备正常运行。

另一个位置是/系统/ priv-app /。这是非常重要的应用程序所在的地方。例如,像设置和系统UI这样的应用程序,它包含了/回家在Android设备上的按钮,都存储在这里。换句话说,应用,您绝对不能没有本质上打破了手机卸载这些。可悲的是,最新的预装恶意软件的目标是这个位置。

证据

鉴于这种新的,可怕的预装恶意软件,让我们看看两个案例研究。

案例研究1:风险软件自动安装在系统界面

该设备是THL T9 Pro。感染是安卓/ PUP.Riskware.Autoins.Fota.INS.尽管代码看起来与众所周知的预安装恶意软件Adups相似,但它纠缠在关键的系统应用程序系统UI中,而不是在一个独立的应用程序中,如升级。这种感染会引起头痛,因为它会反复安装变种安卓/ Trojan.HiddenAds.它是未知的,如果这是Adups的做自己,或在另一方面,如果代码是从Adups自动安装和取出插入到系统的用户界面。无论出现哪种情况是好的。

案例研究2:在设置中监控

这次的设备是UTOK Q55。感染是Android / Monitor.Pipe.Settings."监视器"这个类别是潜在的不需要的程序(幼崽).顾名思义,监控应用程序从设备收集和报告敏感信息。此外,这个特殊的Monitor应用程序是在非常重要的设置应用程序中硬编码的。实际上,用于卸载其他应用程序的应用程序需要自己卸载,以弥补这纯粹的讽刺。

试图修复

这是这些感染的最大问题——目前还没有好的治疗方法。我曾与几个感染了这些病毒的客户合作过,但尽管我做了很多尝试,我仍然没有找到一个好的解决方案。不过,我可以提供一些指导。如果可以找到一个干净版本的系统应用程序来替代恶意版本,你就可以替换它。你需要寻找与设备当前Android操作系统版本匹配的系统应用程序。如果找到,可以尝试使用以下方法:

  • 阅读免责声明Adups的移除说明
  • 按照下面的步骤恢复应用程序的到设备上(不恢复出厂设置)在删除说明中,用于保存适当的< apk>的完整路径待更换系统应用程序的。
  • 下载一个干净的版本的系统应用到您的PC。
    • 你可以使用流行的网站VirusTotal以确定它是否干净与否。
  • 将系统应用程序从PC移动到设备上。
    • adb push \ / sdcard / download /
  • 卸载旧的,恶意版本的系统应用程序。
    • ADB壳时卸载-k -user 0 <包恶意系统应用程序的名称>
  • 安装新版本的系统应用程序。
    • adb shell pm install -r -user 0 / sdcard / download /
  • 看它是否有效。
    • 常见的失败错误:
      • (INSTALL_FAILED_VERSION_DOWNGRADE)
      • [INSTALL_FAILED_UPDATE_INCOMPATIBLE]
      • [INSTALL_FAILED_OLDER_SDK]
    • 如果新版本安装失败,您可以恢复到旧的系统应用程序。
      • ADB壳时安装-r -user 0 <从第二步骤中保存的apk的完整路径>

正如上面提到的,我还没有找到一个版本的任何遇到的成功安装的感染。如果您需要帮助,随意张贴在我们的论坛移动恶意软件移除帮助和支持

真正可以做什么?

目前,应对这些感染的最佳方法是:

  1. 从这些感染的设备望而却步。以下是到目前为止已经完成的冲击,我们已经看到了厂家/型号:
    • THL T9临
    • UTOK Q55
    • BLU Studio的G2 HD
  2. 如果你已经买了一个,返回该设备。
  3. 如果你已经买了设备,不能退货,请联系制造商。

极度沮丧

作为一名手机恶意软件研究人员,写一些我们目前无法修复的恶意软件让我痛苦不已。然而,公众需要知道这些类型的感染存在于野外。任何人都不应该容忍任何移动设备上的这种感染,不管它的价格点和/或恶名。我将继续寻找治疗这些感染的方法。与此同时,在外面注意安全。

APK样品

检测方法:Android / PUP.Riskware.Autoins.Fota.INS
MD5:9E0BBF6D26B843FB8FE95FDAD582BB70.
包名称:com.android.systemui

检测方法:Android / Monitor.Pipe.Settings
MD5: DC267F396FA6F06FC7F70CFE845B39D7
包名称:com.android.settings