Какой алгоритм поиска доказательств наличия spyware на Android?
Мне взломали телефон и установили нечто типа шпиона. Я не знаю каким образом мне устанавливают этот шпион. Считаю себя крайне осторожным пользователем и никогда не ставлю левые приложения из вне "Play Market".
После первого понимания, что у меня стоит шпион я сбросил свой android до заводских настроек и стал быть еще более внимательным. Использовал крайне ограниченный список приложений. К моему несчастью спустя очень короткое время мне опять дали понять, что не я один управляю телефоном. И опять же никаих левых приложений я не устанавливал и более того уже использовал антивирус после сброса, но это не помогло :) Доступ к микрофону, к перепискам и т.д. был у злоумышленика.
Начал разбираться, как же так это бывает. Прочитал, что существуют эксплойты и есть всякие "zero-click" уязвимости, что позволяют выполнить код на уязвимом устройстве даже без ведома жертвы. Учитывая то, что я не устанавливал левых приложений и не ходил по всяким ссылкам - очень похоже, что я столкнулся с чем-то подобным.
Третья попытка избавится от этого всего - установить некоторую "безопасную" или "анономиную" прошивку. Почитал что Lineage OS может быть одним из вариантов, так как она позволяет дополнительно отключить микрофон и камеру. Плюс сверху я поставил уже приложение RethinkDNS и заблокировал практически всему чем я не пользуюсь доступ в интернет. Оставил крайне ограниченный список приложений. Думаю, ну теперь я в безопасности) Но опять таки в очень краткий период времени мне дали понять, что микрофон слушается на телефоне и все мои разговоры цитируются.
Я пробовал "Mobile Verification Toolkit" - ставил линукс, включал режим разработчика и отладки по юсб проганял все проверки - все тщетно. Ничего такого оно не нашло.
На данный момент просто изолировал свое устройство от связи с интернетом и имею крайнее желание найти что это за штука такая, только не знаю в какую сторону копать. Обращаться в органы в моей стране не совсем считаю разумный вариант без наличия собственных доказательств, так как боюсь ввиду того что я очень простой человек мне скажут, что я сумасшедний и просто не будут этим заниматься. Я понимаю кто это делает, но ничего без доказательств противопоставить не могу.
Из особеностей, что я заметил: оно умеет само включать WIFI, оно вроде как выключает телефон (но на самом деле - нет), оно имеет доступ к заметкам, микрофону, камере, перепискам. Подобные проблемы не только с моим телефоном, а и у моего близкого круга общения: семья и ближайшие друзья. У всех андроид.
Мне интересно, каким образом можно обнаружить это приложение, которое получает полный контроль над моим телефоном. Какой алгоритм его обнаружения, куда копать.
Должен ли я сделать образ моего телефона и поместить возможно его в виртуальную среду и как-то анализировать траффик? Разбирать каждое приложение по отдельности? А может ли быть такое что шпион это не приложение, а что-то как часть ядра. Прошу прощения за мои делитантские вопросы. Я просто обычный человек, который пытается разобраться с такой проблемой, которая портит жизнь.
скорее всего инфу сливает или ПК, или кто то из друзей \ родственников
либо у Вас какой то облачное хранилище работает, и злоумышленник получил к нему доступ
насчет телефона - смени его на айфон, проблема с вероятностью 99% решится
Drno, я эксперементирую со сливом этой инфы путем дезинформации и изоляции разных устройств уже двольно длительное время) Подумывал даже об каких-то аналоговых устройствах у себя дома. В общем методом исключения неоднократно приходили что проблема именно с android устройствами. Некто "умный" как-то очень хорошо умеет их ломать. Я пробовал менять локации и устройства. Сходилось именно на адроиде.
iphone да это варинт или кнопочный) но все же хотелось бы разобраться из любопытсва кто и что это. Довольно много пакостей было сделано таким образом.
Не отрицая, что в природе существует и вредоносное ПО и уязвимости, я бы всё-таки искал более простые объяснения... А кстати, о чём речь-то? Вы за весь длинный рассказ так ни одного подозрительного симптома внятно не описали.
В любом случае, поищите для этих неописанных в вопросе беспокоящих Вас симптомов другое объяснение.
AlexVWill, На данный момент redmi note 7, lineage os 21, android 14. До этого стояла прошивка от производителя - сброс до заводских, как я уже писал выше не помогал. Обновление до последней стоковой также. Ну и собственно lineage os тоже не оказалась панацеей
сброс до заводских, как я уже писал выше не помогал
Сброс до заводских не поможет, если ты купил смартфон с уже внедрённым в ОС бэкдором. Тем более если ставил какие то кастомные прошивки.
Найди на официальном сайте или на XDA образ чистой официальной прошивки и скачай оттуда же прошивальшик (а не не пойми откуда!) и прошей девайс заново.
Есть интересная закономерность. Время от времени сюда набигает некто, рассказывает жуткую историю о том, что его взломали и он никак не может понять, кто и как это сделал - но упорно отказывается дать какие-либо детали, доказывающие то, что это было на самом деле, а не приглючилось ему по укурке :)
Технически, описанное провернуть возможно. Наверное. Но это требует нехилых таких компетенций и не менее нехилых расходов - из-за обычного человека на такое вряд ли пойдут :)
Какие, как говорится, Ваши доказательства? Все, что Вам "намекали" - вполне могли получить другими путями.
CityCat4 Ну, тут просто я не расскрываю так сказать личные подробности. Однажды оскорбил по неосторожности очень, как оказалось упрямого человека, который может и нашел какие-то связи/способы.
Из наблюдаемых приколов:
- Приходят в разных социальных сетях смс от каких-то анонимных аккаунтов сообщения, которые описывают по контексту разговоры у телефона
- Слились личные переписки тем кому не хотело сь бы и испортиились отношения с рядом людей. И так же с разговорами в живую, есть вещи, которые людям в лицо не скажешь, а дома "на кухне" можно обсудить и они тоже судя по всему слились.
- Исчезали файлы на телефоне - разные документы и важные мне вещи. Их попросту удалили.
- Появлялись в некоторых приожениях в истории просмотра то, что я никак не мог смотреть.
- Перед важными событиями я устанавливал будильник и он почему-то просто отключался) Такая маленькая шалось, но проблем доставляло.
- Когда начал эксперементировать: выключал телефон, оставлял его единственным в комнате из устройств. Спустя время заходим в комнату и начинаем болтать. И тут "магия", он у нас на глазах включается. Словно в этот момент кто-то удаленно управлял.
- Оставляю выключеным wifi 3g/4g, прихожу он включенный) Однажды прям прикол был я выключаю wifi и у меня на глазах включается 3g, выключаю 3g и включается bluetooth, я выключаю bluetooth и он опять включается и так несколько раз подряд :D Словно кто-то по ту сторону издевается.
- Из банального конечноже гораздо быстрее стала садиться батарея.
В общем за пол года наблюдений я уже не поверю что это все совпадения. Я бы согласился что у меня галюцинации в том случае если бы только с моим телефоном были такие приколы, но и у близких тоже так.
Я когда-то так баловался с удаленным управлением для пк. Думаю для телефонов такое же есть, но учитывая что оно умеет обходить все блокировки типа RethinkDNS и работает якобы с режима выключенного телефона, то это что-то как по мне крутое с точки зреняя инженерной мысли)
Не знаю имеет ли смысл того, что я вам выше все перечислил? Может Вы знаете каков порядок поиска такого софта на телефоне. На данный момент телефоны изолированы от связи с внешним миром.
user999111222, Начинают обычно с:
- модель телефона (и , если куплен не в магазине лично Вами - откуда взялся)
- версия оси
- наличие рута (и если да, то каким сопсобом)
Почему имеет значение откуда взялся? Производители могут вшивать непосредственно в телефон "с завода" определенные модули для удаленного управления в зависимости от страны, куда телефон пойдет.
Почему имеет значение наличие рута и способ его получения? Потому что если брали потом какую-то прогу или даже прошивку целиком - в ней может уже быть точно так же вшито ПО для удаленного управления.
CityCat4, На данный момент redmi note 7, lineage os 21, android 14. До этого стояла прошивка от производителя - сброс до заводских, как я уже писал выше не помог. Обновление до последней стоковой тоже не помогло. Я надеялся на lineage os, так как там есть дополнительная блокировка микрофона и камеры и + так как она не стандартная, то будет как дополнительная трудность для всяких хакеров.
user999111222, Старичок... Xiaomi известна тем, что финтит ушами с загрузчиком - я когда получил от конторы Mi Pad 4, достаточно долго и вдумчиво читал 4pda, прежде чем решился шить twrp. Ничего, загрузчик оказался разлоченым, twrp встал, рута получил.
Прежде всего нужно сделать полный бэкап тела. Не знаю, опознаются ли redmi в SP FlashTool, это нужно тему на 4pda читать, но в любом случае нужен полный бэкап тела, снимаемый в состоянии "только зарядка" - если в системе есть агент - он там есть - он же должен сохраняться при перезагрузке :) или как минимум дроппер ;)
Потом можно проконсультироваться на 4pda, как разобрать дамп. Придется конечно погрузиться в детали системы :) Заодно я бы посоветовал перешить загрузчик на twrp - вообще говоря агент может и там сидеть :)
user999111222, Если разлоченый - почему и нет? Именно поэтому на телефонах с разлоченным загрузчиком банковские приложухи не работают. Именно поэтому разлочка загрузчика - это автоматический сброс к заводу - чтобы "правозащитники" за свою переписку с Известно Кем не тряслись.
user999111222, Я, когда рута на 9-ке получал, тоже особо голову не грел - запатчил boot.img магиском, зашил обратно - все, я крут, я рут. А потом гугл придумал хранить контрольные суммы раздделов и чекать их при загрузке, и если не совпало - бутлуп, если загрузчик не разлочен (если разлочен - грозное страшшшшное предупреждение, но все равно грузится).
Простой
