Антивирусы с большой дороги

Антивирусы с большой дороги

Существует популярный миф о том, что разработчики противовирусного программного обеспечения и сами ответственны за распространение многообразных инфекций. На днях сторонники этой идеи получили аргумент в свою пользу - из Китая пришли новости о неподобающем поведении поставщика мобильных защитных решений NetQin.

В недобросовестности производителя уличили журналисты китайского государственного телевидения, которые обнаружили, что спустя некоторое время после установки продукта NetQin на мобильном устройстве появляется программа-загрузчик, определяемая как зараженный объект. Видимо, таким нехитрым способом компания решила обеспечить себе рост продаж - ведь угрозы для телефонов и планшетов пока еще исчезающе редки, а с такой схемой работы можно гарантированно не бояться появления строк вида "Обнаружено: 0".  

Соответственно, после внедрения программы в систему защитный продукт радостно генерирует уведомление о наличии угрозы. Впрочем, это еще не все: согласно появившимся в Сети сведениям, антивирусная программа информирует пользователя о том, что для надлежащей борьбы с заражением необходимо установить особое обновление - и за него нужно отдельно заплатить. Нет нужды напоминать, что это классическая тактика ложных антивирусов (с одной лишь разницей - последние обычно обнаруживают несуществующие угрозы, а не заражают компьютер).

Имеются также данные об агрессивном поведении китайского мобильного антивируса: утверждается, что он автоматически удаляет с устройства все прочие защитные решения - дабы те не определили вышеупомянутую инфекцию и не помешали исполнению задуманного. Если информация не преувеличена, то продукт NetQin уже можно смело заносить в базы как вредоносное программное обеспечение.

Источники в государственной телекоммуникационной компании China Telecom сообщают, что мобильные операторы Китая прекратили продажу разработок NetQin через свои магазины приложений и заблокировали доступ "защитника" к пользовательским счетам, чтобы его разработки не могли самостоятельно списывать плату за "обновление".

О комментариях со стороны представителей самой NetQin пока ничего не известно.

CNET Asia

Письмо автору

Android-троян RedHook включает отладку и лезет в систему как разработчик

Android-вредонос RedHook вернулся с апгрейдом, от которого владельцам смартфонов точно не станет спокойнее. Троян, впервые описанный в июле 2025 года, теперь умеет самостоятельно злоупотреблять ADB Wireless Debugging и получать шелл-права уровня uid 2000. Он не просто следит за экраном и крадёт данные, а лезет глубже в систему через легальные инструменты для разработчиков.

Базовый набор RedHook и раньше был неприятным: трансляция экрана, кейлоггер, управление интерфейсом через Accessibility, кража учётных данных. Но новые версии пошли дальше.

Вредонос использует разрешения Accessibility, чтобы сам включать режим разработчика, переходить в настройки и активировать беспроводную ADB-отладку. Всё это он делает за спиной пользователя, прикрываясь полноэкранным оверлеем.

 

Дальше в ход идёт встроенный ADB-клиент и подход в стиле Shizuku — легитимного инструмента, который позволяет приложениям работать с ADB-демоном локально. Только здесь удобство для энтузиастов превращается в подарок для атакующих.

 

После запуска привилегированного серверного процесса RedHook может выдавать себе разрешения, менять системные настройки, выполнять шелл-команды, тихо устанавливать и удалять приложения, а также перехватывать низкоуровневые касания без новых запросов к пользователю.

Распространяют RedHook по старинке — через социальную инженерию. Операторы подсовывают APK через фейковые сайты госорганов и финансовых организаций, а затем убеждают жертву установить приложение звонками или сообщениями. По данным Group-IB, кампания расширилась с Вьетнама на Индонезию, что указывает на более широкую активность в Юго-Восточной Азии.

 

За живучесть трояна тоже можно поставить мрачный плюс. Он использует однопиксельную активность, тихий звук в MediaSession, WakeLock, взаимный перезапуск процессов и восстановление после перезагрузки. После старта устройства RedHook снова включает Wireless ADB, подгружает ключи и быстро возвращает себе привилегированный доступ.

Командный сервер управляет вредоносом через WebSocket и REST: принимает пароли, СМС, скриншоты, кейлоги и отдаёт команды — от жестов на экране до включения камеры и установки APK.

RSS: Новости на портале Anti-Malware.ru