Программа iRoot: получи рут на Android и кучу проблем в подарок

Попытка получить root-доступ с помощью довольно популярной «домохозяечной» утилиты iRoot из Китая может обернуться плохо. Очень плохо.

В ходе пыток смартфона Highscreen Zera S я пытался увеличить внутреннюю память любыми способами, так как обновление программ съедало всё скромное пространство. Один раз мне удалось назначить в качестве внутренней памяти карту microSD на 32GB, но это было несколько сбросов назад. В общем, я решил попробовать ещё один способ, который требовал root-прав и должен был сработать только со стоковой прошивкой и родным рекавери. То есть нужен был рут либо через установку apk, либо через подключение к компьютеру. Первый вариант не сработал, поэтому я перешёл ко второму.

Программа iRoot рекомендовалась для этих целей на довольно популярном и уважаемом ресурсе. Более того, программа была включена в шапку основной страницы об устройстве, что теоретически гарантировало доверие к ней.

Я установил iRoot, сделал всё по инструкции и… Успешно получил root-доступ к своему Highscreen. Это круто. И всё бы было хорошо, если бы после рутования телефон не начал жить своей жизнью, устанавливать какие-то свои китайские программы и — главное, что бросилось в глаза — периодически разворачивать во весь экран изображение красочной подарочной коробки на алом фоне.

Вот, что случилось после работы программы iRoot: видно установленный KingRoot и подозрительный, не поддающийся удалению Update. Там ещё был какой-то китайский маркет, китайский чат, китайская почта и прочие заменители сервисов от Google, но всё это я успешно удалил вручную.

Чтобы оценить масштаб повреждений я прогнал на смартфоне антивирус Dr.Web. Он нашёл более 20 угроз! И угрозы серьёзные. Впрочем, антивирус успешно справился с вирусами, которые разместились в кэш-файлах. Я вылечил все возможные угрозы я запустил проверку снова.

А при повторной проверке Dr.Web нашёл семь угроз. Вроде бы лучше, чем 25, но нет. Смотрите сами.

В ходе рутования устройства вирусы прописались в системные, никак не удаляемые точки. Например,  Android.Triada.389.Origin и Android.Siggen.6036 внедрились в разные места системного приложения настроек. Вы открываете настройки телефона, а на деле запускаете вирусы.

Android.Loki.54 и Android.Loki.55 прописались в штатные обои (com.wallpapers), а судя по fankingbox — именно из-за них телефон показывал мне коробку с подарками.

Занятнее поступил Android.Gmobi.1 — он вписался в штатную программу обновления прошивки и, вероятно, предстал в виде неудаляемой программы Update.

Помимо прочего в com.android.settings нашёлся Android.Triada.208, а в обоях Android.Loki.53.

И это плохо!

Root-доступ к телефону даёт вирусам неограниченные возможности и привилегии. Совершение звонков, перехват СМС, слив любой информации в сеть и прочее. Фактически зловред не только полностью берёт под контроль смартфон, но и может никак не проявлять своего присутствия, блокируя всяческие уведомления.

Спасибо вирусописателям, что они не скрывались. Если бы я не увидел «несанкционированную» коробку с подарками, то даже и не подумал бы, что с телефоном что-то не так.

Что это за android-вирусы?

Ой, это плохие вирусы!

Android.Triada — это криминальный модульный вирус, который при запуске отправляет на свои сервера информацию о смартфоне, взамен получает инструкции от злоумышленников и действует очень деструктивно в финансовом плане. Первые версии триады уже умели получать данные вашей банковской карты, снимать с неё деньги, выдёргивать из SMS сообщения от банка для подтверждения платежей, и даже подделывать информацию о балансе, чтобы не спалить своё присутствие.

Android.Loki — это целый набор вирусов, каждый из которых направленно пробивает смартфон всё сильнее. Первый вирус качает инструменты для получения root-прав, следующий прописывается в нестираемых и несгораемых разделах, ещё один подменяет системные приложения, а самый коварный активно накручивает рекламу, счётчики скачиваний и прочий «кликовый» бред. Вреда, по идее, от Локи меньше, ведь банковские операции он не захватывает. Но вирус модульный, поэтому с каждым днём может меняться и его поведение.

Android.Gmobi — это, скорее, рекламный зловред, который может собирать информацию и подменять рекламу на свою.

Как удалить весь этот зоопарк из Loki, Triada и прочих?!

С учётом того, что все эти вирусы пытаются влезть в систему поглубже, единственный надёжный метод их удаления — тотальный формат всей памяти и перепрошивка на сток. У меня при этом даже IMEI слетает. Впрочем, процедура уже отработана, поэтому выполняется на автомате. Все пользовательские данные, в том числе на карте памяти, лучше тоже затереть. Детальных рекомендаций по каждой модели не дам. Просто помните:

Делайте периодически полный бэкап всех данных и имейте про запас стоковую прошивку и информацию о разметке памяти.

Как остановить вирус, если он пробрался на смартфон?!

Если вы обнаружили на телефоне вирус, то лучше всего вытащить из устройства сим-карту и отключить ваш домашний роутер, лишив зловреда связи с внешним миром. При этом важно именно вытащить симку и обесточить сам роутер, потому что порутанный телефон может сам отключить авиарежим и заново переподключиться к вайфаю.

А как же iRoot?

Приложение iRoot устанавливается на компьютер, поэтому могло теоретически поднасрать и на «большой» машине. К счастью, ничего на компьютере неприличного не завелось. А чтобы и впредь защитить стационарные, портативные и мобильные устройства пользуйтесь антивирусом. Например, комплексная система защиты от Касперского устанавливается на все компьютеры и Android-смартфоны.


Лучше маленький лайк и репост, чем большое спасибо в комментах. По этой причине комментарии выключены, а кнопки репостов — вас ждут. Пользуйтесь, прошу :)