template-builder.php

Odzyskiwanie danych po wirusie na telefonie
belka-A

Odzyskiwanie danych po wirusie na telefonie

Pojęcie wirusa dotyczy nie tylko komputera. Wysoko rozwinięte technologicznie urządzenia mobilne, takie jak telefony, czy tablety doczekały się równie pokaźnej liczby wirusów, co pecety i laptopy.

PowerOfHijack

  • Zagrozenia:

Szpieguje urządzenie, które zostało zainfekowane. Rejestruje dźwięki i nagrywa materiały video wykorzystując aplikacje znajdujące się na urządzeniu. Wykrada dane w postaci plików multimedialnych, SMS, książek adresowych, czy haseł. Wykonuje nieautoryzowane połączenia na losowo wybrane numery telefonu (w tym również premium).

  • Sposób infekcji:

Infekuje zrootowane urządzenia. Źródłem infekcji są sklepy z aplikacjami (chińskie pochodzenie ściąganych programów). Dotyczy urządzeń z oprogramowanie w wersji starszej niż 5.0 Lillipop. Włącza się w momencie, gdy użytkownik restartuje swój telefon. W niektórych przypadkach wymusza jego wyłączenie. Podszywa się pod wygasły ekran.

Trojan-SMS.AndroidOS.FakeInst.ef

Skierowany w użytkowników korzystających z aplikacji i stron pornograficznych. Jest imitacją programu będącego bazą tego typu filmów. Wymaga ona autoryzacji za pomocą SMS, który przybiera formę płatności za dostęp. Użytkownik uzyskuje treści. Wiadomości zostają jednak nadal wysyłane, co równa się ze wzrostem kosztów za rachunek telefoniczny.

Poniżej inf. od Kaspersky Lab

Jeśli użytkownik wyśle taką wiadomość, trojan otworzy stronę dla dorosłych – jednak jest ona darmowa i równie dobrze można ją odwiedzić bezpośrednio, bez dokonywania żadnych płatności. Następnie szkodnik bez wiedzy użytkownika smartfona wysyła dodatkowe wiadomości SMS na numery premium. Koszt jednego takiego SMS-a może wynosić nawet 2 dolary. Najpoważniejszym zagrożeniem jest jednak to, że trojan może także przechwytywać, usuwać a nawet odpowiadać na przychodzące SMS-y.

Trojan-SMS.AndroidOS.FakeInst.ef

“Aby uniknąć takich zagrożeń i związanych z nimi strat finansowych, należy instalować oprogramowanie wyłącznie jedynie z oficjalnych źródeł. Warto także wyłączyć opcję ‘Zezwalaj na instalowanie aplikacji z nieznanych źródeł’ w ustawieniach Androida i zainstalować mobilną aplikację bezpieczeństwa”

klp_fakeinst_wyglad

JiFake

Załączany do wiadomości e-mail w postaci załącznika. Odpowiada za wysyłanie SMS-ów premium, generując koszty.

  • Zagrożenia:

Generowanie kosztów poprzez automatyczne i nieustanne wysyłanie wiadomości SMS na numery premium.

  • Sposób infekcji:

Otwieranie załączników z nieznanych i podejrzanych wiadomości e-mail. Instaluje się na urządzeniu. O jego obecności świadczy pojawiająca się w panelu telefonu ikonka aplikacji.

Android.BankBot.34.origin

Wymaga instalacji. Podszywa się pod inny program i funkcjonuje jako jego aktualizacja. Uruchamia się przy restartowaniu telefonu, bądź poprzez kliknięcie wygenerowanej na ekranie ikony skrótu do aplikacji (np. Instagram, Gmail, Skype). Odpowiada za przechwytywanie danych oraz kradzież pieniędzy z kont bankowych użytkownika.

Zagrożenia:

Wykrada dane użytkownika skupiając się na loginach i hasłach bankowych. Dodatkowo, przechwytuje dane logowania do portali społecznościowych. Wyświetla okienka (phishing) podszywające się pod panel logowania do serwisów. Posiada funkcję blokowania przypadkowych numerów, a także kasowania i wysyłania wiadomości SMS. Może generować koszty za połączenia pod nieznane numery telefonu.

Sposób infekcji:

Upodabnianie się do layout-u aktualizacji oprogramowania w telefonie. Ściągany podczas akceptacji pola zatwierdzenia procesu update-owania. Niewidoczny na panelu telefonu. Kryje się pod ikonami aplikacji (np. Facebook Skype, Gmail). Tworzy ich drugą wersję, dzięki czemu użytkownik posiada podwójne ikony skrótu do aplikacji na ekranie telefonu.

Android.Fakedefender

Niemożliwa do usunięcia (czasem nawet i po przywróceniu ustawień fabrycznych) i blokująca inne programy zainstalowane na urządzeniu. Jego ingerencja wymaga działań firm recovery jeśli użytkownik chce zatrzymać dane znajdujące się na urządzeniu.

  • Zagrożenia:

Uniemożliwia uruchomienie aplikacji zainstalowanych na urządzeniu. Zmienia ustawienia telefonu w sposób niemożliwy do odwrócenia poprzez przywrócenie ustawień fabrycznych (sam nie ulega wtedy również dezinstalacji). Wymaga reinstalacji systemu, a więc skutkuje utratą danych z urządzenia.

  • Sposób infekcji:

Podszywanie się pod aplikację antywirusową dedykowaną systemowi Android. Wymaga instalacji przez użytkownika.

Android.BBridge.A (BaseBridge)

Funkcjonuje jako załącznik do maila, bądź sprzężony z uruchamianiem stron pornograficznych. Spowalnia pracę urządzenia i otwiera do niego dostęp, pozwalając na zdalne  przeszukiwanie zawartości smartfona.

  • Zagrożenia:

Kradzież informacji o urządzeniu oraz użytkowniku. Do najistotniejszych należą hasła, wiadomości sms, loginy, model telefonu i wersja systemu). Największą szkodę wyrządzają jednak automatycznie generowane i wysyłanie wiadomości SMS na płatne numery z klasy premium.

Kasuje powiadomienia zwrotne i losowe wiadomości przychodzące. Wykonuje nieautoryzowane połączenia na płatne numery (również zagraniczne). Dodatkowo odpowiada za infekowanie telefonu innymi, zewnętrznymi wirusami, uniemożliwiając działania aplikacjo antywirusowym.

  • Sposób infekcji:

Instalacja zarażonych aplikacji ze sklepu Google Play. Dzięki ściągnięciu pliku, wirus włamuje się do konta root w systemie.

backdoor.AndroidOS.Obad.a

Wirus pracujący w tle. Jest programem szpiegowskim, który nie pozostawia po sobie śladów. Przejmuje i rozprzestrzeniania dane użytkownika.

  • Zagrożenia:

Monitoruje saldo konta. Wysyła wiadomości SMS. Rozprzestrzenia dane użytkownika do pobliskich urządzeń. Samowolnie pobiera pliki i dokonuje instalacji, a także ładuje je na serwery.

  • Sposób infekcji:

Występuje w formie aplikacji. Działa dzięki wykorzystaniu błędów w DEX2JAR i błędów systemowych. Pracuje w tle. Nie zostawia po sobie śladów.

Podec

Obchodzi zabezpieczenia CAPTCHA. Zamawia usługi premium w sposób niewidoczny dla użytkownika. Ukrywa cenniki i komunikaty autoryzacji dla wybieranych usług i funkcji.

Zagrożenia:

Bez zgody użytkownika korzysta z usług premium. Wysyła wiadomości, łączy z numerami, a także autoryzuje zamawiane płatne funkcje. Ukrywa panele uwierzytelniania, dlatego też każdy ruch jest niewidoczny dla użytkownika.

Sposób infekcji:

Infekuje poprzez odwiedzanie podejrzanych domen. Wiele przypadków odnotowano, jako źródło Vkontakte – portalu społecznościowego w Rosji.

Android.Backdoor.Ssucl.A

  • Zagrożenia:

Generowanie i rozsyłanie wiadomości SMS na wybrane numery telefonu. Przekierowuje połączenia wychodzące. Kopiuje książkę telefoniczną oraz pliki znajdujące się w pamięci urządzenia.

  • Sposób infekcji:

Sklepy z aplikacjami (w tym również Google Play). Potrafi zainfekować komputer z innym systemem operacyjnym (Windows) lub tablet pracujący w tym samym systemie. Symuluje program do usuwania wiadomości z telefonu.

Android.Elite.1.origin

  • Zagrożenia:

Formatuje kartę pamięci w telefonie. Uniemożliwia uruchomienie zainstalowanych aplikacji. Blokuje powiadomienia push o wiadomościach w skrzynce odbiorczej, a także ich odczytanie. Rozsyła wiadomości pod numery znajdujące się w książce telefonicznej urządzenia.

Ich treść to: “Elite atakuje. Podporządkuj się albo zostań zhakowany”.

  • Sposób infekcji:

Podszywa się pod aplikacje społecznościowe i komunikatory. Wymaga uprawnień administratora, które wyłudza od użytkownika.

Android.Toorch.1.origin

  • Zagrożenia:

Wirus wyświetla zestawy reklam na ekranie telefonu. Sam instaluje aplikacje i usuwa je. Odpowiada za to zdalne sterowanie przez cyberprzestępców.

  • Sposób infekcji:

Ściągnięcie aplikacji latarki, bądź poprzez reklamy emitujące się podczas użytkowania niektórych z aplikacji. Wirus próbuje dostać się w ustawienia root systemu i wprowadzić modyfikacje.  Nie dezinstaluje się w momencie usunięcia aplikacji.

Zeus

  • Zagrożenia:

Kradzież przychodzących wiadomości SMS, które transmitowane są do cyberprzestępców. Ma na celu zbieranie informacji autoryzacyjnych z banku.

  • Sposób infekcji:

Poprzez ściągnięcie aplikacji Android Security Suite Premium. Ma ona imitować program antywirusowy. Aplikacja działa w tle. Podczas pierwszego uruchomienia wymaga potwierdzenia kodem weryfikacyjnym.

SpitMo

Zagrożenia:

Udostępnianie osobom trzecim wiadomości SMS (w tym bankowych kodów autoryzacyjnych).

Sposób infekcji:

Za pośrednictwem podłączenia do zainfekowanego komputera. Podszywa się pod zabezpieczenia

DroidKungFu

  • Zagrożenia:

Wykrada prywatne dane użytkownika i wprowadza modyfikacje w ustawieniach systemu. Pobiera apliacje. Instaluje na urządzeniu inne wirusy.

  • Sposób infekcji:

Aplikacje z nieautoryzowanych sklepów i kanałów pobierania. Nie dezinstaluje się po usunięciu aplikacji. Zaliczany do botnetów.

Geinimi

  • Zagrożenia:

Pobiera programy i aplikacje. Pozwala na zdalną kontrolę telefonu.

  • Sposób infekcji:

Namierzanie geograficzne telefonu, jego lokalizacji. Dzięki temu może przejąć kontrolę nad urządzeniem

Android.Couterclank

  • Zagrożenia:

Wykradanie danych z urządzenia użytkownika, a także emisja niechcianych reklam. W panelu telefonu pojawiał się widget „Szukaj”, którego usunięcie było trudne z poziomu abonenta.

  • Sposób infekcji:

Podczas ściągania gier. Pliki zawierały złośliwe oprogramowanie, które infekowało system. Istotnym jest kontrola uprawnień, jakie przyznajemy aplikacji. Podczas instalacji widzimy, jakie przywileje uzyskuje ściągnięty program. Przykładowe gry zarażone wirusem to np. Balloon Game, czy Sexy Girls Photo Game

Gunpowder

Zagrożenia:

Przesyła i kontroluje zakładki przeglądarki, a także historię odwiedzanych witryn. Wysyła nieautoryzowane wiadomości SMS do osób z książki telefonicznej. Emituje reklamy w celu generowania kliknięć. Przestaje się rozprzestrzeniać w momencie wykrycia użytkownika pochodzącego z Chin.

Sposób infekcji:

Podszywa się pod emulator Nintendo i wymaga opłaty za aktywację. Dostępny w sklepie Google Play oraz Apple Store.

Usuwanie wirusów z urządzeń mobilnych w systemie Android 

Wirusy, choć groźne dla danych użytkownika, są usuwalne. Niekiedy posiadają zabezpieczenia przed ich skasowaniem, jednak można je obejść. Pokażemy w kilku krokach co zrobić, żeby oczyścić smartfona z systemem Android. Wirusy często sprzężone są z różnego typu aplikacjami, warto więc pamiętać, żeby ściągać je z autoryzowanych sklepów (jak np. Google Play). Aby mieć pewność, że plik pochodzi z zaufanego źródła warto przejść do Ustawień w swoim telefonie i w sekcji bezpieczeństwa odznaczyć nieznane źródła. Tryb pracy działania powinien być uruchomiony, jako Bezpieczny. Będzie to zaporą dla szkodliwych plików.

W menu, wybierając opcję Ustawienia możemy sprawdzić pobrane pliki. W tym celu przechodzimy w Aplikacje, a następnie do zakładki Pobrane. Każdy nieznany nam plik może świadczyć o jego szkodliwości. Jeśli nie wzbudza on Twojego zaufania, odinstaluj go. Każdy niemożliwy do usunięcia plik mógł uzyskać status administratora. W ustawieniach możemy wybrać pozycję Bezpieczeństwa i Administratora, a następnie odznaczyć go. Od tej chwili dezinstalacja powinna być już możliwa. Po wykonaniu niniejszych czynności wyłącz swoje urządzenie, a następnie włącz w standardowym trybie.

U2 Songs of Innocence BackDoor

nazwany wirusem w praktyce nieszkodliwy. Oznaczał instalację albumu U2 na kontach wszystkich użytkowników. Proces był darmowy, jednak oburzył społeczność, która nie wyraziła chęci posiadania utworów zespołu na swoim telefonie.

Find and Call

wirus w formie aplikacji, który po zainstalowaniu pobierał zawartość książki telefonicznej i wykorzystywał ją jako bazę do wysyłki spamu.

Unlock Now Free

wirusem można zarazić się poprzez przeglądarkę Safari. Infekcja objawia się pojawieniem się komunikatu o szybkim odblokowaniu. W momencie jego potwierdzenia na ekranie wyświetla się informacja wskazująca na obecność wirusa. Skutkiem zainstalowania i rozprzestrzeniania się jest wyczyszczenie pamięci telefonu. Działa on na wszystkich wersjach systemu iOS.

Unicode of Death

infekcja rozpoczyna się wraz z otrzymaniem wiadomości rozpoczynającej się od „Effective.Power”oraz serii arabskich oraz chińskich słów. Jest zagrożeniem dla posiadaczy iOS 8.3. Jego instalacja powoduje permanentne czytanie wiadomości SMS, a co za tym idzie spowolnienie pracy smartfona, a także możliwość utraty danych.

AceDeceiver

wirus atakujący telefony zarówno ze złamanym systemem (jailbreak), jak i unikalne i nienaruszone. Korzysta z techniki Man-in-the-Middle. Wykrada dane, do których zaliczane są również hasła. Infekcja obecnie zarejestrowana jedynie w Chinach.

WireLurker

atakuje system iOS bezpośrednio po podłączeniu do komputera poprzez port USB. Do infekcji nie jest potrzebny jailbreak. Jak większość tego typu maleware-u wykrada informacje o użytkowniku.

System iOs jest jednym z najrzadziej infekowanych wśród systemów operacyjnych urządzeń mobilnych. Ilość wirusów jest niewielka, a część z nich nie doczekała się nazwy. Zamkniętość systemu utrudnia jego zarażenie. Dodatkowo, ilość użytkowników urządzeń marki Apple wiąż jest dużo niższa niż w przypadku Androida, czy Windows Phone.s Phone.

Windows Phone najrzadziej infekowanym systemem?

Wirusy nie są domeną wyłącznie komputerów. W czasach mobilności przeniosły się na płaszczyznę telefonów, smartfonów i tabletów przenikając się wzajemnie. Którzy z właścicieli systemów mogą czuć się więc najbardziej bezpiecznie?

Zagrożenia mobilne wyrażane w liczbach sugerują znaczny wzrost ilości różnego rodzaju wirusów. Porównując każdy z kwartałów ubiegłego roku, każdy z nich zawierał ok. 17% maleware-u więcej od poprzedniego. Według raportów najczęściej infekowanym systemem był i wciąż pozostaje Android (niemalże 98% przypadków). W przeciwieństwie do niego Windows Phone nie rejestruje złośliwego oprogramowania. IOS i Symbian stanowią jedynie odsetek.

Zarażanie urządzeń zmieniło na przestrzeni lat swój charakter. Niegdyś stanowiło formę zabawy i uprzykrzania użytkowania systemu innym. Dziś jest narzędziem do zarabiania, okradania z danych, czy generowania kosztów. Może to stanowić wyjaśnienie dla zainteresowania platformą Android, która do tej pory ma największą ilość rzeczywistych użytkowników. Z pewnością jest to jeden z czynników, jednak istotna jest także forma zabezpieczeń systemu. Microsoft, tak jak Apple są komórkami zamkniętymi, które są gigantami na rynku. Mogą sobie one pozwolić na wieloetapowe sprawdzanie aplikacji, elementów systemu, zmniejszanie ryzyka błędów i testy. Dodatkowo, Windows Phone umożliwia transmisję plików jedynie przez dedykowaną platformę, tak samo, jak w przypadku pobierania plików. Zewnętrzne instalacje nie są możliwe. Pliki muszą pochodzić z zaufanego i autoryzowanego źródła, jakim jest np. Windows Phone Store.

Atutem systemu jest jego zamknięta forma, która uniemożliwia modyfikacje. Może wpływać to na mniejszy zakres funkcjonalności Windows Phone, przekłada się to jednak na bezpieczeństwo użytkownika. Wyjątkiem są zagrożenia z sieci, które wynikają z braku zabezpieczeń względem transmisji danych przez sieci Wi-fi. Microsoft dopiero szykuje się na zmiany w tym zakresie (przewidziana opcja VPN).

Poziom bezpieczeństwa, jaki utrzymuje system jest stabilny, jednak nie oznacza to, że nie ulegnie zmianie. Zainteresowanie systemem wzrasta, zarówno po stronie konsumentów, jak i cyberprzestępców. Doskonale wiemy, że producenci zawsze są o krok w tył przed nowatorskimi rozwiązaniami w zakresie maleware-u. Prewencja nie zawsze wystarcza, jednak zachowanie ostrożności w działaniach może uchronić użytkowników przed szkodami, jakie wyrządzają obecnie wirusy.

zamów usługę

Cztery kroki odzyskiwania danych z MiP Data & Forensic

Krok 1

dostarczenie nośnika

Nośnik danych jest dostarczany do laboratorium lub punktu przyjęć bezpośrednio przez klienta lub za pośrednictwem kuriera. W celu odbioru nośnika skontaktuj się z biurem, bądź wypełnij formularz na stronie.

Krok 2

analiza

Analiza nośnika opiera się na zdiagnozowaniu możliwości odzyskania danych. Analiza jest płatna 150 zł netto + 23% VAT. Dzięki uzyskanym informacjom, klient poznaje proces działania I koszty usługi. Analiza nie zobowiązuje do realizacji zlecenia przez MiP Data & Forensic.

Krok 3

Odzyskiwanie danych po wirusie na telefonie obejmuje stworzenie kopi nośnika w celu zabezpieczenia danych, a także każdą pracę podjętą na nośniku w celu przywrócenia utraconych plików, czy jego struktury itp. Czas trwania różni się w zależności od przyjętego trybu prac.

Krok 4

odbiór danych

Gdy w panelu klienta status zlecenia przyjmie formę zrealizowanego, klient uzyskuje dostęp do swoich danych. Nośnik jest odsyłany, bądź niszczony na życzenie klienta. Może on również odebrać go osobiście w laboratorium.