Menu

Pomoc, můj Android je nakažen malwarem! Co dělat?

malware_ico

Na antivirové aplikace pro Android se dá dívat z mnoha úhlů pohledů. Na SvětAndroida.cz jsme se snažili doporučit nejlepší programy pro vaši bezpečnost v rámci cyklů “SvětAndroida doporučuje” (viz SvětAndroida doporučuje: 10x antiviry a bezpečnost) a “Čtenáři doporučují” (viz Čtenáři doporučují: 5x antiviry a bezpečnost – zamkneš, neztratíš, nenakazíš :)), nicméně hleděli jsme i ze druhé strany pomyslného hlediště, když jsme podrobně rozebrali otázku Je na Androidu potřeba antivirový program?

Dnes se podíváme na situaci, kdy jako uživatel získáte pocit, že váš telefon či tablet s Androidem je nakažen nějakým škodlivým kódem. Na webu totiž najdete mnoho informací o tom, jak infiltraci zabránit, ale podstatně méně zdrojů řeší, jak si počínat v okamžiku, kdy k něčemu takovému skutečně dojde.

Stručně o “virech pro Android”

Začněme prostým konstatováním, že viry pro Android (podobně, jako viry pro Linux, ze kterého Android vychází) jednoduše neexistují. Sice se toto slovo zažilo pro označení aplikací, které v systému dělají něco, co by dělat neměly, ale opravdové viry ve své původní podobě pro Android nebyly, a pokud nebude nalezena nějaká významná bezpečnostní trhlina, patrně ani nikdy nebudou.

Viry pro Android neexistují

Viry pro Android neexistují

Základním rysem virů je totiž schopnost jejich samostatného šíření a právě způsobilost přenášet se nějakým způsobem na další zařízení bez vědomí uživatele je na Androidu poměrně značně omezená. Teoreticky se prostě nic takového na Androidu nemůže stát díky režimu “sandboxu”, ve kterém programy běží odděleně od okolního prostředí.

Pokud si tedy budete chtít na Android nainstalovat malware, budete to muset být vy, v roli uživatele, kdo stiskne tlačítko a udělí souhlas s instalací. Samozřejmě to asi nebudete činit s myšlenkou “To je super! Nainstaluji si aplikaci, která mi ukradne data a vyluxuje účet!” Malware je často skryt do jiných programů, které si chcete nainstalovat, nebo se za ně vydává. Proto je často šířen na “warezu”, kde uživatelé, lačnící po získání hry či aplikace bez placení, často bezmyšlenkovitě souhlasí s čímkoli, co se po nich chce. Infikování zařízení z Obchodu Play je proti tomu výrazně méně pravděpodobná, neboť oficiální repozitář má řadu mechanismů, kterými brání tomu, aby se potenciálně nebezpečné programy dostaly k uživatelům.

Škodlivé aplikace si do systému nainstaluje nejčastěji uživatel

Škodlivé aplikace si do systému nainstaluje nejčastěji uživatel

Na rozdíl od Windows, na Androidu nehrozí ani zatažení škodlivého kódu otevřením nějaké webové stránky či přečtením e-mailové zprávy. Aby se malware dostal do telefonu či tabletu, je opravdu nutný nějaký projev souhlasu ze strany uživatele, spočívající nejčastěji v souhlasu s instalací.

Co dělat s malwarem v telefonu či tabletu?

Pojďme si nyní projít kroky, jak postupovat, pokud máte důvodné či prokázané podezření, že ve vašem zařízení řádí nechtěná havěť.

Zachovejte klid!

Nejprve se smiřte s tím, že pokud škodlivý kód měl provést nějaké akce, například něco poškodit, ukrást, odeslat, pak patrně v okamžiku, kdy začnete mít podezření na jeho přítomnost, již tyto akce provedl. Následky si musíte nést sami, nicméně vaším hlavním úkolem bude dostat malware ze zařízení. Teprve poté je vhodné zaměřit se například na změnu hesel ke kompromitovaným službám (včetně přístupu k účtu Google), zablokování platebních karet a tak podobně.

Zachovejte klid!

Zachovejte klid!

Identifikujte a odstraňte malware

Jako první krok tedy doporučujeme vyzkoušet nainstalovat některý z antivirových programů. V Obchodě Play je jich nespočet a mnohé jsou přitom k dispozici zdarma alespoň ve funkčně omezené verzi. Pokud se povede identifikovat nákazu (ideálně nějakým jménem či označením), vypněte zařízení a z počítače (nebo jiného čistého systému) zkuste dohledat další podrobnosti a informace. Přinejmenším si zjistěte, jak úspěšné byly v odstranění infiltrace různé nástroje, případně najděte postupy, jak se záškodníka zbavit jiným způsobem – třeba manuálně. Vyhodnoťte nejlepší strategii, zapněte svého Androida a nainstalujte z Obchodu Play nástroje, které by vám měly pomoci.

Identifikujte a odstraňte malware

Identifikujte a odstraňte malware

Zjistěte a vyřešte případné následky

V první řadě si uvědomte, jaké citlivé údaje máte uložené ve svém zařízení. Podle toho dále jednejte.

  • V první řadě jde o peníze, takže doporučujeme navštívit banku a změnit své přihlašovací údaje pro online bankovnictví.
  • Stejně tak doporučujeme zablokovat stávající a požádat o vydání nových platebních karet. Bude vás to něco stát, ale určitě to bude méně peněz, než když vám přes kartu nakoupí na druhém konci světa.
  • Změňte heslo ke svému účtu Google!
  • Změňte přihlašovací údaje všech dalších on-line účtů, jako je Yahoo!, Microsoft, e-mail a další.
  • Zjistěte, jak jste na tom s účtem u svého mobilního operátora. Samozřejmě ideální je stav (pokud je to s ohledem na vaše požadavky možné), kdy máte zablokovaná volání a zasílání textových zpráv na telefonní čísla se zvýšeným tarifem.
  • Pokud zaznamenáte podezřelou aktivitu (platby vaší kartou, posílání příspěvků na Facebook, bankovní převody), zajistěte, aby zodpovědné či zúčastněné osoby věděly, že se nejedná o vaši aktivitu. Samozřejmě si (z čistého systému) změňte přihlašovací údaje.
Doporučujeme zablokovat stávající a požádat o vydání nových platebních karet

Doporučujeme zablokovat stávající a požádat o vydání nových platebních karet

Pořád to nejde?

Pokud se vám nepovedlo identifikovat a/nebo odstranit malware, pak existuje sice nepříjemná, ale poměrně spolehlivá cesta – návrat telefonu do továrního nastavení. Přijdete sice o všechny nainstalované aplikace, data, možná i další soubory, nicméně jistota, že se zbavíte nechtěných vetřelců, je takřka stoprocentní. Návrat do továrního nastavení je vhodný především v případech, kdy máte důvodné podezření, že je váš Android infikován, nicméně antivirové aplikace nic nenašly, nebo nejsou schopné škodlivý kód zlikvidovat. Šance, že by malware přežil reset do továrního nastavení je (na zařízení bez roota) prakticky nulová.

Pořád to nejde?

Pořád to nejde?

Před provedením tohoto radikálního řezu důrazně doporučujeme provést zálohu dat! Například obrázky, fotky, hudbu a videa můžete zálohovat na Disk Google, 50 GB prostoru vám poskytne úložiště MEGA, menší objemy uložíte také do Dropboxu. Pro písničky doporučujeme zálohu do Hudby Obchodu Play, kam si můžete uložit až dvacet tisíc souborů. Jestliže si kontakty, události kalendáře a další údaje synchronizujete s účtem Google, budete mít o několik starostí méně – tato data se totiž obnoví automaticky po přihlášení k účtu.

Dále vyjměte paměťovou kartu a zapojte ji (přes příslušný adaptér) do počítače či notebooku. Zkopírujte všechna data na disk, následně smažte její obsah, případně (pro větší jistotu) nástrojem na správu disků odstraňte všechny oddíly.

Obnovení továrních dat

Obnovení továrních dat

Pak ve svém telefonu či tabletu najděte v systémovém nastavení v sekci Zálohování a obnovení dat položku Obnovení továrních dat (názvy položek se mohou mírně lišit v závislosti na verzi systému a výrobci zařízení). Proveďte úplné obnovení továrního nastavení, včetně vymazání obsahu úložiště. Tento krok nelze vrátit zpět, proto se před jeho provedením raději ještě jednou ujistěte, že máte všechna důležitá data zálohovaná.

Když máte práva roota…

Pokud máte na svém systému možnost pracovat s nejvyššími právy – oprávněním roota – pak počítejte s tím, že vaše problémy, způsobené infiltrací nežádoucí aplikace, mohou být podstatně většího rázu, zejména pokud jste škodlivé aplikaci práva roota udělili. Na druhé straně ale také máte v ruce silnější kalibr pro boj s malwarem.

I zde platí jako první krok, který byste měli udělat, provedení zálohy všech důležitých dat. Následně můžete restartovat zařízení do alternativní konzole pro obnovení (“recovery”), provést vymazání všech dat (data, cache, dalvik) a nahrát novou/čistou ROMku. Tímto způsobem uvedete systém do stavu, v jakém byl po instalaci alternativní ROM, nebo (v případě použití oficiálního firmwaru) po rozbalení z krabice.

Změňte své zvyky a zažité postupy

Možná nikdy nezjistíte, jak se dostal malware do vašeho telefonu nebo tabletu, ale můžete (a měli byste) zvážit, zda není vhodné dělat některé věci trochu jinak, abyste minimalizovali riziko, že se to bude opakovat. Například byste měli přestat používat pirátské “obchody s aplikacemi”, nebo neklepat na tlačítka “OK”, aniž byste četli to, s čím vlastně souhlasíte. Stejně tak byste mohli zvážit stahování respektive otevírání a spouštění e-mailových příloh. Není sice jisté, že jste to právě vy, kdo zavlekl infekci do systému, ale vy jste jediným článkem, který může zabránit jejímu opakování.

Zdroj: inspirováno článkem Help! My Android has malware! Jerryho Hildenbranda.

 

Komentáře

Mannik

Mannik

5.4.2015 20:24

Podle mě jsou tvůrci toho malware houpí, pokud si to nainstaluje někdo s rootem, tak bych přepsal kus recovery pro nejznámější (a nejpoužívanější) telefony a pak bych to tam flashnul :) (ono by to šlo vlastně udělat pro všechny podporované zařízení twrp či cwm, protože device-specific jsou jen drivery, takže když už by někdo tohle udělal s recovery, mohl by to mít pro všechny oficiálně podporované zařízení) No a i instalace jiné rom by nepomohla :D jediná pomoc by bylo přehrát mobil přes nějakou flashtool od výrobce.

Skautik

Lukáš Kymla 0

5.4.2015 20:31

Hezky clanek.
Mozna by stalo za zminku ,zejmena pro ty s ROOTem kteri jej maji jen proto ze je to prej dobry, informace o kontrolnich souctech ( MD5…) u veci ktere flashuji vcetne ROM a recovery. Jak z hlediska pripadneho skodliveho kodu tak pro vetsi klid pri flashovani a necekane nefunkcnosti. Samozrejme muzeme zacit spekulovat o duveryhodnosti ale to uz pak nemusime verit ani sami sobe pomalu.

FAKTUZMETEDZACINATEULTRASTVAT

6.4.2015 1:45

Pokud je Androidí uživatel nakažen malware,. měl by se v prvné řadě zamyslet nad výší svého inteligenčního kvocientu. Následně by si měl uvědomit, že ROOT je stejně jako CM pro primitivní jedince a v neposlední řadě číst oprávnění, které každá aplikace vyžaduje. Pokud leze na bordel weby, pak mu žádný návod nepomůže.

Nathaniell

6.4.2015 13:45

Není pravda, že na Androidu nejde infikovat telefon otevřením webové stránky. Existují dokonce veřejné exploity, takže si to může každý vyzkoušet sám doma. Viz třeba http://www.exploit-db.com/exploits/35282/ . A vulnerability exists in the KNOX security component of the Samsung Galaxy firmware that allows a remote webpage to install an APK with arbitrary permissions by abusing the ‘smdm://’ protocol handler registered by the KNOX component. The vulnerability has been confirmed in the Samsung Galaxy S4, S5, Note 3, and Ace 4.

Majijakojamu

Majijakojamu

6.4.2015 13:48

FAKTUZMETEDZACINATEULTRASTVAT : “Pokud je Androidí uživatel nakažen malware”
Jako vtip dobry ale asi by jsi se mel zamyslet nad svym AI nebo spis IA !

Mr. Arakin

Mr. Arakin

z aplikace
6.4.2015 15:51

Nathaniell: KNOX je ovsem aplikace Samsungu. Takze tohle neni problem Androidu, ale Samsungu. Ostatne, pokud telefon Samsung, tak jedine rootnout a nahrat alternativni ROMku. Jinak je to prakticky nepouzitelne. A to nemluvim o “bezpecnostnich” funkcich, kdy Samsung smiruje uzivatele a odesila jejich data buhvikam.

FAKTUZMETEDZACINATEULTRASTVAT

6.4.2015 16:33

Mr. Arakin: Věnuj 30 min svého volného času a podívej se, co všechno odesílá např. CM třetím stranám :-D Shrnu to jedním slovem – všechno :-D

Mr. Arakin

Mr. Arakin

z aplikace
6.4.2015 16:55

Fakt: urcite nebude pro tebe problem hodit mi sem odkaz do repo CM na konkretni kus kodu, ktery se o to odesilani stara. Jak jiste vis, zdrojove kody CM verejne dostupne komukoli. Predem diky.

BetonMAN

z aplikace
7.4.2015 12:34

Chtěl bych upozornit autora článku, že na Google Play Music je nyní již možné nahrát až 50 000 svých vlastních skladeb. Google tento limit nedávno navýšil.

Pete111

23.1.2017 21:02

Dobrý den,
rád bych se zeptal.
Mám lenovo vibe x2
Telefon mi začal házet reklamu nebo webové odkazy třeba hned po odemčení telefonu, nebo průběžně při jakékoliv činosti, otvírání zpráv, či hovorů atp. Nepomohlo ani tovární nastavení.

RSS (komentáře k článku)