Как избавиться от шпионского ПО на смартфоне. Пользователи смартфонов, осторожно, Флингер наблюдает за вами !

[Abeke78]

Здравствуйте, дорогие форумчане! Я решил поделиться с вами одной своей проблемой.
Модель моего смартфона: Samsung galaxy J2 Prime, ОС: Android 6.0.1 Marshmallow. Недавно я выяснил, что за мной наблюдали больше года, используя мой смартфон. Более года назад , я имел неосторожность оставить свой смартфон без пароля на вход в систему, этим воспользовался кое-кто и установил на мой смартфон шпионское ПО , при помощи которого и следил за мной.
Что представляет из себя это шпионское ПО и почему я назвал его Флингером?
Данное приложение предоставляет удаленный доступ к "Рабочему столу" смартфона (Remote access), наподобие Radmin в Windows . Данное приложение не отображается в списке установленых приложений (Настройки -> Приложения). То есть, оно запускается, как системная служба, сразу-же после включения смартфона.
Для выявления данного приложения, большинство нынешних диспетчеров задач абсолютно бесполезны. Есть правда одна надежда на Network Master , но и он не всё может . О нём я ещё буду упоминать.
Антивирусы, насколько я понял тоже не видят данное шпионское ПО, по крайней мере, "Eset Nod 32 Beeline Казахстан" не видит данное шпионское ПО в упор. И что самое ужасное , что данное приложение предоставляет удаленный доступ (Remote access) при выключеных Internet, Wi-Fi и Bluetooth !!! По крайней мере, мне так показалось.
То есть, вы открываете верхнюю панель со значками и смотрите, что у вас включено/отключено и видите, что Internet, Wi-Fi и Bluetooth отключены, но при этом кто-то имеет полный доступ к "Рабочему столу" вашего смартфона. Мало того, вы ещё при этом находитесь в режиме "Самолетика" , то есть, в автономном режиме.
Для того чтобы, разобраться с проблемой, я установил Network Master. И он мне показал два подозрительных процесса:
1) System_server ;
2) System\bin\Surfaceflinger.

Вот поэтому, я и назвал данное шпионское ПО Флингером. Хотя возможно, оба этих процесса необходимы для функционирования Android-а и возможно они являются необходимыми частями данной ОС и дело вообще не в них.
Я тогда попытался остановить и данные процессы и службу "Удаленного доступа" , используя эмулятор терминала для Android. Я вводил в нем следующие команды :
1) kill 233 (233 - это ID Surfaceflinger) ;
2) am stopservice android.ui.ISurfaceComposer/.SurfaceFlinger
3) am stopservice android.app.enterprise.remotecontro l.IRemoteInjection/.remoteinjection
4) am stopservice mdm.samsung.IRemoteDesktopService/.mdm.remotedesktop

И в результате всго этого, я так понял, что нужны Root-права.

Тогда я ещё порылся в Интернете и нарыл одну командочку - ifconfig.
Тогда я снова отключил Internet, Wi-Fi и Bluetooth, перешёл в режим"Самолетика" и ввёл данную командочку в эмуляторе терминала. Вот, что он мне выдал :


u0_a137@grandpplte:/ $ ifconfig
tun0 Link encap:UNSPEC
inet addr:10.0.8.1 P-t-P:10.0.8.1 Mask:255.255.255.255
UP POINTOPOINT RUNNING MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:500
RX bytes:0 TX bytes:0

lo Link encap:UNSPEC
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope: Host
UP LOOPBACK RUNNING MTU:65536 Metric:1
RX packets:822 errors:0 dropped:0 overruns:0 frame:0
TX packets:822 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:88194 TX bytes:88194

u0_a137@grandpplte:/ $ ifconfig
tun0 Link encap:UNSPEC
inet addr:10.0.8.1 P-t-P:10.0.8.1 Mask:255.255.255.255
UP POINTOPOINT RUNNING MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:500
RX bytes:0 TX bytes:0

lo Link encap:UNSPEC
inet addr:1
UP LOOPBACK RUNNING MTU:65536 Metric:1
RX packets:822 errors:0 dropped:0 overruns:0 frame:0
TX packets:822 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:88194 TX bytes:88194

u0_a137@grandpplte:/ $ ifconfig
tun0 Link encap:UNSPEC
inet addr:10.0.8.1 P-t-P:10.0.8.1 Mask:255.255.255.255

Продолжение ниже в ответах

[Abeke78]

UP POINTOPOINT RUNNING MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:500
RX bytes:0 TX bytes:0

lo Link encap:UNSPEC
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope: Host
UP LOOPBACK RUNNING MTU:65536 Metric:1
RX packets:822 errors:0 dropped:0 overruns:0 frame:0
TX packets:822 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:88194 TX bytes:88194

u0_a137@grandpplte:/ $ ifconfig
tun0 Link encap:UNSPEC
inet addr:10.0.8.1 P-t-P:10.0.8.1 Mask:255.255.255.255
UP POINTOPOINT RUNNING MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:500
RX bytes:0 TX bytes:0

lo Link encap:UNSPEC
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope: Host
UP LOOPBACK RUNNING MTU:65536 Metric:1
RX packets:854 errors:0 dropped:0 overruns:0 frame:0
TX packets:854 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:90778 TX bytes:90778



Что всё это значит? Коротко говоря, помимо всех этих ваших Вай-фаев, Эзернетов, Пи-Ту-Пи есть ещё некий "закольцованный интерфейс" через который и можно передавать данные. А мы-то глупенькие, наивные думали, что достаточно закрыть Internet, Wi-Fi и Bluetooth и ВСЁ , и смартфон будет закрыт не хуже сейфа в швейцарском банке !!! Ан нет, есть некий "закольцованный интерфейс" и он , наверное, и представляет из себя брешь, через которую и передаются данные.
После я уставливал Network monitor, Network connections, Packet Capture , запускал их, предварительно отключив Internet, Wi-Fi и Bluetooth. И что ? А ничего, тишина.


После этого я провёл кое-какую работу. И результаты её я и выкладываю теперь.

Ну, вроде как, более менее разобрался с этим шпионским ПО на своем смартфоне. Что это такое и как оно называется я не понял. Однако кое-что "нарыл". ЗначиЦЦо так, в Android 6.0.1 Marshmallow на Samsung Galaxy J2 Prime есть три системных приложения "Быстрое подключение" , "Общий доступ к Bluetooth " , "Обмен данными через Wi-fi direct" .
Используя эти три приложения (особенно первые два ), и можно "сварганить" шпионское приложение , которое будет способно давать удаленный доступ (Remote access) к рабочему столу смартфона , даже если на этом смартфоне отключены Internet, Wi-Fi и Bluetooth и он сам находится в автономном режиме. Насколько я понял, это шпионское приложение предоставляет из себя системное приложение. Оно сначала, вероятнее всего через Bluetooth, отсылает запрос (включить удаленный доступ (Remote access) или нет?). Получив согласие, оно запускает "Быстрое подключение" и "Общий доступ к Bluetooth " и через них и передаёт картинку со смартфона.
Есть такой таск-киллер Advanced task killer 2.2.1B216 . В нём в "Настройках" надо поставить галочку " Ignore service, front app" а также поставить уровень беопасности "Security level" - "low". Если это сделать то можно увидеть процесс com.android.samsung.qconnectlite . Это наверное и есть "Быстрое подключение ".
Ну, что кому-нибудь знакомо это шпионское приложение? Если да, то, пожалуйста, оставьте ссылочку на него в этой теме. Буду очень благодарен.
Есть такой таск-киллер Advanced task manager 6.4.2 , который способен убивать процессы регулярно каждые 5 минут, и он мог мне подойти для решения моей проблемы. Однако у него есть две беды. Во-первых он не видит "Быстрое подключение" и "Общий доступ к Bluetooth " , а во-вторых он не видит com.android.samsung.qconnectlite.

Ну, ладно, теперь мои рекомендации владельцам смартфонов :
1) обязательная установка пароля на вход в систему;
2) установка приложения "Блокировщик приложений " от ES ( ES_app_blocker);
3) на всякий случай можно установить Paranoia для блокировки доступа к камере ;
4) установка Advanced task killer 2.2.1B216 для временной блокировки com.android.samsung.qconnectlite ;
5) установка Network Master - для выявления подозрительных процессов;
6) регулярно полностью переустанавливать Android на своем смартфоне, каждые полгода;

Advanced task killer 2.2.1B216 , ES_app_blocker , Paranoia могут и не оказать серьезной помощи, но по крайней мере, они могут дать вам понять, как обстоит ситуация с вашим смартфоном.

Вывод: ОС Android , на сегодняшний день, представляет из себя огрызок ОС Linux и огрызок очень опасный. Стоит немного зазеваться, как на него установят шпионское ПО и будут следить за вами. И вы при этом ничего подозревать не будете. Ну а какие подозрения, ведь Internet, Wi-Fi и Bluetooth закрыты ?! Какой такой "закольцованный интерфейс" ?! Не грузите меня !!!

Ну, а теперь ваши советы, дорогие форумчане! И только, пожалуйста, не надо мне советовать установить Root-права через компьютер с использованием TWRP и переустановку Андроида.

P.S.: Кто знает, какое приложение (*.apk ) могут заблокировать "Быстрое подключение "(com.android.samsung.qconnectl ite) и "Общий доступ к Bluetooth " раз и навсегда ;

P.S.-2: Кто-нибудь из вас , дорогие форумчане, встречал в Интернете нормальный менеджер "Удаленного доступа "(Remote access), который мог-бы хоть немного прояснить ситуацию с "Удаленным доступом "(Remote access), хотя-бы показать IP-адреса тех устройств, которые получили доступ к "Рабочему столу" смартфона?

[Abeke78]

Что касается подозрительных процессов, то вот ещё три штуки:

Помимо com.samsung.android.qconnectlite

com.sec.spp.push:RemoteDlcProcess
com.sec.spp.push:RemoteNotiProcess
org.simalliance.openmobileapi.servi ce:remote

[morg@n]

Если вас не устраивает та прошивка, которая установлена на вашем смартфоне, то кто вас удерживает от того чтобы установить кастом или же получить root права и не удалить приложения, которые вас не устраивают?

То что вы в чем то не разбираетесь и безпочвенно пытаетесь придумать какую либо небылицу, извините, но, напоминает те времена когда грозу считали гневом божьим а не естественной природной реакцией...

[Abeke78]

morg@n, я в силу сложившихся обстоятельств не могу рутануть свой смартфон. И мне не до шуток и как вы говорите небылиц. Положение действительно критичное. Вы бы вместо того чтобы меня критиковать, лучше бы подсказали, например, как в эмуляторе терминала вывести IP-адреса, к которым обращаются приложения, через сетевой интерфейс LO. И вообще как его прощупать в эмуляторе терминала.

[morg@n]

Цитата:

Сообщение от Abeke78

morg@n, я в силу сложившихся обстоятельств не могу рутануть свой смартфон.

Марка и модель смартфона? Обычно большинство моделей прекрасно рутуется, а то что вы не можете, то, извините, но, обстоятельства должны быть, действительно серьезными....

Цитата:

Сообщение от Abeke78

И мне не до шуток и как вы говорите небылиц. Положение действительно критичное.

Ок, тогда ответьте мне на вопрос- чем, собственно, оно критично? Только не надо ваших безпочвенных подозрений, где реальные факты? Кроме вашего мнения и вашей паники я в этом топике ни чего не увидел.

Цитата:

Сообщение от Abeke78

Вы бы вместо того чтобы меня критиковать, лучше бы подсказали, например, как в эмуляторе терминала вывести IP-адреса, к которым обращаются приложения, через сетевой интерфейс LO. И вообще как его прощупать в эмуляторе терминала.

Извините, но я бы вам помог если бы считал это необходимым для вас, однако: ко мне много кто обращался в свое время с проблемами на смартфоне да и я сам не первый день работаю системным администратором, так что, по любому бы уже знал о подобной причине еще раньше чем вы(и, соответственно, методах борьбы с подобной заразой).

Но в прочем, каждый человек в праве изъявлять свое собственное мнение, так что, можете по сути считать что угодно, но, в таком случае, постарайтесь, за одно, найти и методы борьбы...

[Black Fregat]

Цитата:

Сообщение от Abeke78

как в эмуляторе терминала вывести IP-адреса, к которым обращаются приложения, через сетевой интерфейс LO

Цитата:

Сообщение от Abeke78

Код:

lo Link encap:UNSPEC
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope: Host
UP LOOPBACK RUNNING MTU:65536 Metric:1

Цитата:

Сообщение от Abeke78

есть ещё некий "закольцованный интерфейс" через который и можно передавать данные.

ТС по ходу боится трафика на 127.0.0.1 ))

[morg@n]

Цитата:

Сообщение от Black Fregat

ТС по ходу боится трафика на 127.0.0.1 ))

В том и дело... При чем, вводит команду ifconfig, даже, не понимая что она делает и для чего нужна.

Код:

u0_a137@grandpplte:/ $ ifconfig
tun0 Link encap:UNSPEC
inet addr:10.0.8.1 P-t-P:10.0.8.1 Mask:255.255.255.255
UP POINTOPOINT RUNNING MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:500
RX bytes:0 TX bytes:0

lo Link encap:UNSPEC
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope: Host
UP LOOPBACK RUNNING MTU:65536 Metric:1
RX packets:854 errors:0 dropped:0 overruns:0 frame:0
TX packets:854 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:90778 TX bytes:90778

[Alex11223]

Цитата:

Сообщение от Abeke78

достаточно закрыть Internet, Wi-Fi и Bluetooth

такой смартфон не нужен никому.

[morg@n]

Цитата:

Сообщение от Alex11223

такой смартфон не нужен никому.

Samsung galaxy J2 Prime? Поверьте мне- попади он мне в руки я бы смог не только его оптимизировать по феншую для еще большей скорости работы и снятия у клиентов различных фобий, но в том числе и выгодно(для себя, конечно) продать.