Форум программистов
 
Контакты: о проблемах с регистрацией, почтой и по другим вопросам пишите сюда - alarforum@yandex.ru, проверяйте папку спам! Обязательно пройдите активизацию e-mail.

Вернуться   Форум программистов > Операционные системы > Мобильные ОС (Android, iOS, Windows Phone)
Регистрация

Восстановить пароль
Повторная активизация e-mail


Донат для форума - использовать для поднятия настроения себе и модераторам

А ещё здесь можно купить рекламу за 25 тыс руб в месяц! ) пишите сюда - alarforum@yandex.ru

Ответ
 
Опции темы
Старый 05.07.2019, 10:51   #1
Abeke78
 
Регистрация: 05.07.2019
Сообщений: 4
Репутация: 10
По умолчанию Как избавиться от шпионского ПО на смартфоне. Пользователи смартфонов, осторожно, Флингер наблюдает за вами !

Здравствуйте, дорогие форумчане! Я решил поделиться с вами одной своей проблемой.
Модель моего смартфона: Samsung galaxy J2 Prime, ОС: Android 6.0.1 Marshmallow. Недавно я выяснил, что за мной наблюдали больше года, используя мой смартфон. Более года назад , я имел неосторожность оставить свой смартфон без пароля на вход в систему, этим воспользовался кое-кто и установил на мой смартфон шпионское ПО , при помощи которого и следил за мной.
Что представляет из себя это шпионское ПО и почему я назвал его Флингером?
Данное приложение предоставляет удаленный доступ к "Рабочему столу" смартфона (Remote access), наподобие Radmin в Windows . Данное приложение не отображается в списке установленых приложений (Настройки -> Приложения). То есть, оно запускается, как системная служба, сразу-же после включения смартфона.
Для выявления данного приложения, большинство нынешних диспетчеров задач абсолютно бесполезны. Есть правда одна надежда на Network Master , но и он не всё может . О нём я ещё буду упоминать.
Антивирусы, насколько я понял тоже не видят данное шпионское ПО, по крайней мере, "Eset Nod 32 Beeline Казахстан" не видит данное шпионское ПО в упор. И что самое ужасное , что данное приложение предоставляет удаленный доступ (Remote access) при выключеных Internet, Wi-Fi и Bluetooth !!! По крайней мере, мне так показалось.
То есть, вы открываете верхнюю панель со значками и смотрите, что у вас включено/отключено и видите, что Internet, Wi-Fi и Bluetooth отключены, но при этом кто-то имеет полный доступ к "Рабочему столу" вашего смартфона. Мало того, вы ещё при этом находитесь в режиме "Самолетика" , то есть, в автономном режиме.
Для того чтобы, разобраться с проблемой, я установил Network Master. И он мне показал два подозрительных процесса:
1) System_server ;
2) System\bin\Surfaceflinger.

Вот поэтому, я и назвал данное шпионское ПО Флингером. Хотя возможно, оба этих процесса необходимы для функционирования Android-а и возможно они являются необходимыми частями данной ОС и дело вообще не в них.
Я тогда попытался остановить и данные процессы и службу "Удаленного доступа" , используя эмулятор терминала для Android. Я вводил в нем следующие команды :
1) kill 233 (233 - это ID Surfaceflinger) ;
2) am stopservice android.ui.ISurfaceComposer/.SurfaceFlinger
3) am stopservice android.app.enterprise.remotecontro l.IRemoteInjection/.remoteinjection
4) am stopservice mdm.samsung.IRemoteDesktopService/.mdm.remotedesktop

И в результате всго этого, я так понял, что нужны Root-права.

Тогда я ещё порылся в Интернете и нарыл одну командочку - ifconfig.
Тогда я снова отключил Internet, Wi-Fi и Bluetooth, перешёл в режим"Самолетика" и ввёл данную командочку в эмуляторе терминала. Вот, что он мне выдал :


u0_a137@grandpplte:/ $ ifconfig
tun0 Link encap:UNSPEC
inet addr:10.0.8.1 P-t-P:10.0.8.1 Mask:255.255.255.255
UP POINTOPOINT RUNNING MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:500
RX bytes:0 TX bytes:0

lo Link encap:UNSPEC
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope: Host
UP LOOPBACK RUNNING MTU:65536 Metric:1
RX packets:822 errors:0 dropped:0 overruns:0 frame:0
TX packets:822 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:88194 TX bytes:88194

u0_a137@grandpplte:/ $ ifconfig
tun0 Link encap:UNSPEC
inet addr:10.0.8.1 P-t-P:10.0.8.1 Mask:255.255.255.255
UP POINTOPOINT RUNNING MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:500
RX bytes:0 TX bytes:0

lo Link encap:UNSPEC
inet addr:1
UP LOOPBACK RUNNING MTU:65536 Metric:1
RX packets:822 errors:0 dropped:0 overruns:0 frame:0
TX packets:822 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:88194 TX bytes:88194

u0_a137@grandpplte:/ $ ifconfig
tun0 Link encap:UNSPEC
inet addr:10.0.8.1 P-t-P:10.0.8.1 Mask:255.255.255.255

Продолжение ниже в ответах
Abeke78 вне форума   Ответить с цитированием
Старый 05.07.2019, 10:55   #2
Abeke78
 
Регистрация: 05.07.2019
Сообщений: 4
Репутация: 10
По умолчанию

UP POINTOPOINT RUNNING MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:500
RX bytes:0 TX bytes:0

lo Link encap:UNSPEC
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope: Host
UP LOOPBACK RUNNING MTU:65536 Metric:1
RX packets:822 errors:0 dropped:0 overruns:0 frame:0
TX packets:822 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:88194 TX bytes:88194

u0_a137@grandpplte:/ $ ifconfig
tun0 Link encap:UNSPEC
inet addr:10.0.8.1 P-t-P:10.0.8.1 Mask:255.255.255.255
UP POINTOPOINT RUNNING MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:500
RX bytes:0 TX bytes:0

lo Link encap:UNSPEC
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope: Host
UP LOOPBACK RUNNING MTU:65536 Metric:1
RX packets:854 errors:0 dropped:0 overruns:0 frame:0
TX packets:854 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:90778 TX bytes:90778



Что всё это значит? Коротко говоря, помимо всех этих ваших Вай-фаев, Эзернетов, Пи-Ту-Пи есть ещё некий "закольцованный интерфейс" через который и можно передавать данные. А мы-то глупенькие, наивные думали, что достаточно закрыть Internet, Wi-Fi и Bluetooth и ВСЁ , и смартфон будет закрыт не хуже сейфа в швейцарском банке !!! Ан нет, есть некий "закольцованный интерфейс" и он , наверное, и представляет из себя брешь, через которую и передаются данные.
После я уставливал Network monitor, Network connections, Packet Capture , запускал их, предварительно отключив Internet, Wi-Fi и Bluetooth. И что ? А ничего, тишина.


После этого я провёл кое-какую работу. И результаты её я и выкладываю теперь.

Ну, вроде как, более менее разобрался с этим шпионским ПО на своем смартфоне. Что это такое и как оно называется я не понял. Однако кое-что "нарыл". ЗначиЦЦо так, в Android 6.0.1 Marshmallow на Samsung Galaxy J2 Prime есть три системных приложения "Быстрое подключение" , "Общий доступ к Bluetooth " , "Обмен данными через Wi-fi direct" .
Используя эти три приложения (особенно первые два ), и можно "сварганить" шпионское приложение , которое будет способно давать удаленный доступ (Remote access) к рабочему столу смартфона , даже если на этом смартфоне отключены Internet, Wi-Fi и Bluetooth и он сам находится в автономном режиме. Насколько я понял, это шпионское приложение предоставляет из себя системное приложение. Оно сначала, вероятнее всего через Bluetooth, отсылает запрос (включить удаленный доступ (Remote access) или нет?). Получив согласие, оно запускает "Быстрое подключение" и "Общий доступ к Bluetooth " и через них и передаёт картинку со смартфона.
Есть такой таск-киллер Advanced task killer 2.2.1B216 . В нём в "Настройках" надо поставить галочку " Ignore service, front app" а также поставить уровень беопасности "Security level" - "low". Если это сделать то можно увидеть процесс com.android.samsung.qconnectlite . Это наверное и есть "Быстрое подключение ".
Ну, что кому-нибудь знакомо это шпионское приложение? Если да, то, пожалуйста, оставьте ссылочку на него в этой теме. Буду очень благодарен.
Есть такой таск-киллер Advanced task manager 6.4.2 , который способен убивать процессы регулярно каждые 5 минут, и он мог мне подойти для решения моей проблемы. Однако у него есть две беды. Во-первых он не видит "Быстрое подключение" и "Общий доступ к Bluetooth " , а во-вторых он не видит com.android.samsung.qconnectlite.

Ну, ладно, теперь мои рекомендации владельцам смартфонов :
1) обязательная установка пароля на вход в систему;
2) установка приложения "Блокировщик приложений " от ES ( ES_app_blocker);
3) на всякий случай можно установить Paranoia для блокировки доступа к камере ;
4) установка Advanced task killer 2.2.1B216 для временной блокировки com.android.samsung.qconnectlite ;
5) установка Network Master - для выявления подозрительных процессов;
6) регулярно полностью переустанавливать Android на своем смартфоне, каждые полгода;

Advanced task killer 2.2.1B216 , ES_app_blocker , Paranoia могут и не оказать серьезной помощи, но по крайней мере, они могут дать вам понять, как обстоит ситуация с вашим смартфоном.

Вывод: ОС Android , на сегодняшний день, представляет из себя огрызок ОС Linux и огрызок очень опасный. Стоит немного зазеваться, как на него установят шпионское ПО и будут следить за вами. И вы при этом ничего подозревать не будете. Ну а какие подозрения, ведь Internet, Wi-Fi и Bluetooth закрыты ?! Какой такой "закольцованный интерфейс" ?! Не грузите меня !!!

Ну, а теперь ваши советы, дорогие форумчане! И только, пожалуйста, не надо мне советовать установить Root-права через компьютер с использованием TWRP и переустановку Андроида.

P.S.: Кто знает, какое приложение (*.apk ) могут заблокировать "Быстрое подключение "(com.android.samsung.qconnectl ite) и "Общий доступ к Bluetooth " раз и навсегда ;

P.S.-2: Кто-нибудь из вас , дорогие форумчане, встречал в Интернете нормальный менеджер "Удаленного доступа "(Remote access), который мог-бы хоть немного прояснить ситуацию с "Удаленным доступом "(Remote access), хотя-бы показать IP-адреса тех устройств, которые получили доступ к "Рабочему столу" смартфона?
Abeke78 вне форума   Ответить с цитированием
Старый 07.07.2019, 10:16   #3
Abeke78
 
Регистрация: 05.07.2019
Сообщений: 4
Репутация: 10
По умолчанию

Что касается подозрительных процессов, то вот ещё три штуки:

Помимо com.samsung.android.qconnectlite

com.sec.spp.push:RemoteDlcProcess
com.sec.spp.push:RemoteNotiProcess
org.simalliance.openmobileapi.servi ce:remote
Abeke78 вне форума   Ответить с цитированием
Старый 07.07.2019, 23:46   #4
morg@n
Форумчанин
 
Аватар для morg@n
 
Регистрация: 23.06.2019
Сообщений: 158
Репутация: 252
Сообщение

Если вас не устраивает та прошивка, которая установлена на вашем смартфоне, то кто вас удерживает от того чтобы установить кастом или же получить root права и не удалить приложения, которые вас не устраивают?

То что вы в чем то не разбираетесь и безпочвенно пытаетесь придумать какую либо небылицу, извините, но, напоминает те времена когда грозу считали гневом божьим а не естественной природной реакцией...
morg@n вне форума   Ответить с цитированием
Старый 09.07.2019, 16:14   #5
Abeke78
 
Регистрация: 05.07.2019
Сообщений: 4
Репутация: 10
По умолчанию

morg@n, я в силу сложившихся обстоятельств не могу рутануть свой смартфон. И мне не до шуток и как вы говорите небылиц. Положение действительно критичное. Вы бы вместо того чтобы меня критиковать, лучше бы подсказали, например, как в эмуляторе терминала вывести IP-адреса, к которым обращаются приложения, через сетевой интерфейс LO. И вообще как его прощупать в эмуляторе терминала.
Abeke78 вне форума   Ответить с цитированием
Старый 10.07.2019, 02:50   #6
morg@n
Форумчанин
 
Аватар для morg@n
 
Регистрация: 23.06.2019
Сообщений: 158
Репутация: 252
По умолчанию

Цитата:
Сообщение от Abeke78 Посмотреть сообщение
morg@n, я в силу сложившихся обстоятельств не могу рутануть свой смартфон.
Марка и модель смартфона? Обычно большинство моделей прекрасно рутуется, а то что вы не можете, то, извините, но, обстоятельства должны быть, действительно серьезными....

Цитата:
Сообщение от Abeke78 Посмотреть сообщение
И мне не до шуток и как вы говорите небылиц. Положение действительно критичное.
Ок, тогда ответьте мне на вопрос- чем, собственно, оно критично? Только не надо ваших безпочвенных подозрений, где реальные факты? Кроме вашего мнения и вашей паники я в этом топике ни чего не увидел.

Цитата:
Сообщение от Abeke78 Посмотреть сообщение
Вы бы вместо того чтобы меня критиковать, лучше бы подсказали, например, как в эмуляторе терминала вывести IP-адреса, к которым обращаются приложения, через сетевой интерфейс LO. И вообще как его прощупать в эмуляторе терминала.
Извините, но я бы вам помог если бы считал это необходимым для вас, однако: ко мне много кто обращался в свое время с проблемами на смартфоне да и я сам не первый день работаю системным администратором, так что, по любому бы уже знал о подобной причине еще раньше чем вы(и, соответственно, методах борьбы с подобной заразой).

Но в прочем, каждый человек в праве изъявлять свое собственное мнение, так что, можете по сути считать что угодно, но, в таком случае, постарайтесь, за одно, найти и методы борьбы...
morg@n вне форума   Ответить с цитированием
Старый 10.07.2019, 04:04   #7
Black Fregat
Программист
Профессионал
 
Аватар для Black Fregat
 
Регистрация: 23.06.2009
Сообщений: 1,472
Репутация: 1021
По умолчанию

Цитата:
Сообщение от Abeke78 Посмотреть сообщение
как в эмуляторе терминала вывести IP-адреса, к которым обращаются приложения, через сетевой интерфейс LO
Цитата:
Сообщение от Abeke78 Посмотреть сообщение
Код:
lo Link encap:UNSPEC
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope: Host
UP LOOPBACK RUNNING MTU:65536 Metric:1
Цитата:
Сообщение от Abeke78 Посмотреть сообщение
есть ещё некий "закольцованный интерфейс" через который и можно передавать данные.
ТС по ходу боится трафика на 127.0.0.1 ))
Black Fregat вне форума   Ответить с цитированием
Старый 10.07.2019, 07:32   #8
morg@n
Форумчанин
 
Аватар для morg@n
 
Регистрация: 23.06.2019
Сообщений: 158
Репутация: 252
По умолчанию

Цитата:
Сообщение от Black Fregat Посмотреть сообщение
ТС по ходу боится трафика на 127.0.0.1 ))
В том и дело... При чем, вводит команду ifconfig, даже, не понимая что она делает и для чего нужна.

Код:
u0_a137@grandpplte:/ $ ifconfig
tun0 Link encap:UNSPEC
inet addr:10.0.8.1 P-t-P:10.0.8.1 Mask:255.255.255.255
UP POINTOPOINT RUNNING MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:500
RX bytes:0 TX bytes:0

lo Link encap:UNSPEC
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope: Host
UP LOOPBACK RUNNING MTU:65536 Metric:1
RX packets:854 errors:0 dropped:0 overruns:0 frame:0
TX packets:854 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:90778 TX bytes:90778

Последний раз редактировалось morg@n; 10.07.2019 в 07:36.
morg@n вне форума   Ответить с цитированием
Старый 10.07.2019, 10:44   #9
Alex11223
Модератор
Заслуженный модератор
 
Аватар для Alex11223
 
Регистрация: 12.01.2011
Сообщений: 19,029
Репутация: 3738

icq: 512-765
skype: alexp.frl
По умолчанию

Цитата:
Сообщение от Abeke78 Посмотреть сообщение
достаточно закрыть Internet, Wi-Fi и Bluetooth
такой смартфон не нужен никому.
Alex11223 вне форума   Ответить с цитированием
Старый 10.07.2019, 18:38   #10
morg@n
Форумчанин
 
Аватар для morg@n
 
Регистрация: 23.06.2019
Сообщений: 158
Репутация: 252
По умолчанию

Цитата:
Сообщение от Alex11223 Посмотреть сообщение
такой смартфон не нужен никому.
Samsung galaxy J2 Prime? Поверьте мне- попади он мне в руки я бы смог не только его оптимизировать по феншую для еще большей скорости работы и снятия у клиентов различных фобий, но в том числе и выгодно(для себя, конечно) продать.
morg@n вне форума   Ответить с цитированием
Ответ

Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Как включить фонарик на смартфоне андроид ? mc13 Общие вопросы C/C++ 13 19.01.2015 18:53
Делаем Wi Fi на смартфоне Nokia через компьютер valerka92 Помощь студентам 1 01.11.2011 21:19
Программирование на смартфоне/КПК Secam Общие вопросы C/C++ 4 21.07.2010 15:04
И я С Вами! Elm0 Свободное общение 21 26.06.2007 20:19


05:19.


Powered by vBulletin® Version 3.8.11
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.