Версия для печати темы
forum.0day.community _ Взлом и Защита _ вирус/троян в телефоне
Автор: smeegul Dec 22 2021, 0:00
Всем привет!
Иду по улице с включенным интернетом(4G) и тут ко мне кто-то звонит, пока я снял рюкзак и взял мобилку, слышу, уже кто-то говорит
(такого никогда раньше не было, я всегда отвечал на звонок), услышал только - для повтора нажмите решетку, жму решетку и тут слышу - для смены пароля в приват24 нажмите 1, сразу жму завершить звонок. Прихожу домой разблокирую мобилку, а там запущен приват24(помню точно что я его не запускал).
Проверил телефон двумя антивирусами - полная проверка - чисто.
Еще заметил несколько раз появлялось сообщение Отчет и сразу пропадало.
Вероятно мой телефон под контролем злоумышленников через троян или вирус, подскажите, как его можно удалить?
ЗЫ: Про сброс до заводских настроек знаю, не хотелось бы.
Автор: Spectral Dec 22 2021, 0:20
Смотреть, что установлено. Прога вряд ли скрытая если на телефоне не взят рут. Хотя сброс на заводские более быстрый вариант.
Автор: smeegul Dec 22 2021, 0:26
(Spectral @ Dec 22 2021, 0:20)
Смотреть, что установлено. Прога вряд ли скрытая если на телефоне не взят рут. Хотя сброс на заводские более быстрый вариант.
Рута нет.
Меня спасло то, что у меня номеронабиратель другой фирмы, не стандартный, а так бы вирус нажал бы 1 и украли б с карты деньги.
Автор: Spectral Dec 22 2021, 0:59
Додаток "DIE" тоже установлен? Там 1 нажимать не надо, а наломать дров можно больше, чем просто опустошить один счет.
Автор: Balamut74 Dec 22 2021, 10:18
(smeegul @ Dec 22 2021, 0:26)
Рута нет.
Меня спасло то, что у меня номеронабиратель другой фирмы, не стандартный, а так бы вирус нажал бы 1 и украли б с карты деньги.
Што?
Звучит несколько странно. На смартфоне "номеронабиратель другой фирмы". Т.е. другой виджет? Цифры идут вразброс, а не как обычно?
Вирусу программно всё равно, "куда нажимать", программно нажать 1 это значит нажать 1. Не?
Автор: kym Dec 22 2021, 11:51
да какая-томутноватая сказочка...
вирус на кнопку нажимает...
вирус запускает ПРИЛОЖЕНИЕ и в нем вслух выбирает команды по смене пароля...
ога...
если бы это был вирус, так он уже давно с твоим паролем молча, ты бы и не видел ничего на экране, снес бы весь твой счет и даже взял бы кредит....
Автор: smeegul Dec 22 2021, 12:28
(Balamut74 @ Dec 22 2021, 10:18)
Што?
Звучит несколько странно. На смартфоне "номеронабиратель другой фирмы". Т.е. другой виджет? Цифры идут вразброс, а не как обычно?
Вирусу программно всё равно, "куда нажимать", программно нажать 1 это значит нажать 1. Не?
В номеронабирателе который сейчас стоит в мое телефоне кнопки расположены не так как в стандартном, ниже, может вирус и пытался нажать 1, но он не попал по ней)
(kym @ Dec 22 2021, 11:51)
да какая-томутноватая сказочка...
вирус на кнопку нажимает...
вирус запускает ПРИЛОЖЕНИЕ и в нем вслух выбирает команды по смене пароля...
ога...
если бы это был вирус, так он уже давно с твоим паролем молча, ты бы и не видел ничего на экране, снес бы весь твой счет и даже взял бы кредит....
как я понимаю был удаленный оператор который работал через вирус/троян
все делалось последовательно, сначала ответили на звонок и пытались нажать 1, тем самым он должен был сбросить пароль, потом запустили приложение приват24, что бы зайти в него сразу после смены пароля и украсть деньги
у меня вирус/троян еще в телефоне, я пока ничего не делал, телефон лежит выключенный, если есть специалист который шарит, могу дать его на проверку
Автор: kym Dec 22 2021, 12:50
включить телефон, отключить весь интернет - вайфай и мобильный
проверить все запущенные процессы
проследить какой процесс от какого приложения
лишнее - удалить
Автор: Pavel_D Dec 22 2021, 23:59
Модель телефона какая??? Год выпуска?
Автор: Balamut74 Dec 23 2021, 9:11
(Pavel_D @ Dec 22 2021, 23:59)
Модель телефона какая??? Год выпуска?
» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «
Автор: smeegul Dec 23 2021, 9:51
(Pavel_D @ Dec 22 2021, 23:59)
Модель телефона какая??? Год выпуска?
Xiaomi Redmi Note 10 Pro 6/128, 2021 год.
Автор: Koka-ftp Dec 23 2021, 10:18
скорей всего кто-то (возможно случайно запросил восстановление) на ваш номер, а в кармане тел сам принял вызов
зы...и да на всяк случай проверить не стоят ли "переадресации"
Автор: smeegul Dec 23 2021, 14:18
(Koka-ftp @ Dec 23 2021, 10:18)
скорей всего кто-то (возможно случайно запросил восстановление) на ваш номер, а в кармане тел сам принял вызов
зы...и да на всяк случай проверить не стоят ли "переадресации"
Проверил, переадресаций нет.
Мой номер начинается на 094 и ошибиться на полный номер маловероятно ИМХО, но конечно вероятность есть.
По поводу поднятия трубки - у меня такое впервые.
Автор: maskED Dec 23 2021, 17:27
(smeegul @ Dec 23 2021, 14:18)
Мой номер начинается на 094
а у лайфа на 093
думай_те
Автор: kym Dec 23 2021, 17:32
(maskED @ Dec 23 2021, 17:27)
а у лайфа на 093
думай_те
где взаимосвязь?
Автор: maskED Dec 23 2021, 17:36
(kym @ Dec 23 2021, 17:32)
где взаимосвязь?
094 123 12 31 / 093 123 12 31
не сложно перепутать/мисскликнуть если что
Автор: kym Dec 23 2021, 18:04
(maskED @ Dec 23 2021, 17:36)
094 123 12 31 / 093 123 12 31
не сложно перепутать/мисскликнуть если что
1 2 3
4 5 6
7 8 9
* 0 #
как целясь по 3 попасть в 4...?
Автор: Old Man Dec 23 2021, 18:50
Меня спасло то, что у меня номеронабиратель другой фирмы, не стандартный, а так бы вирус нажал бы 1 и украли б с карты деньги.
Автор: VladRus Dec 23 2021, 19:18
(kym @ Dec 23 2021, 18:04)
1 2 3
4 5 6
7 8 9
* 0 #
как целясь по 3 попасть в 4...?
Можно целиться в 6 (096), 7 да во что угодно. Вы плохо знаете слепошарых юзеров
(smeegul @ Dec 23 2021, 14:18)
По поводу поднятия трубки - у меня такое впервые.
Все когда-то бывает впервые. Со сторонними звонилками тем более.
(smeegul @ Dec 23 2021, 9:51)
Xiaomi Redmi Note 10 Pro 6/128, 2021 год.
Настройки-Приложения-Защита приложений. Включить для клиент-банков открытие приложения по отпечатку и автоблокировка после выхода и можно спать спокойно...наверное
(Koka-ftp @ Dec 23 2021, 10:18)
скорей всего кто-то (возможно случайно запросил восстановление) на ваш номер, а в кармане тел сам принял вызов
скорее всего так и есть, а у ТС-а паранойя
Автор: smeegul Dec 23 2021, 21:48
(VladRus @ Dec 23 2021, 19:18)
Настройки-Приложения-Защита приложений. Включить для клиент-банков открытие приложения по отпечатку и автоблокировка после выхода и можно спать спокойно...наверное
Спасибо, не знал.
Автор: Banish Nov 11 2022, 0:58
Доброй ночи
Подскажите пожалуйста, как самому или с помощью специалистов (буду рад контакту в ЛС) проверить, с какого IP, с какого региона, из какого устройства или посредством какого приложения, функционала был взломан опреденный смартфон с возможностью удаленного подключения и управления им?
Автор: Spectral Nov 11 2022, 1:29
Там скорее всего ВПН. Но можно поставить сниффер на роутере, подключиться через него и смотреть откуда управляется телефон.
Автор: Banish Nov 11 2022, 2:35
Обратившийся говорит, что подключались и шарились по устройству, когда чел находился в совершенно разных локациях: дома, в офисе, в гостях у только ему знакомых людей и при подключении к разным сетям/моб.инету
Если потерпевший поспешит сменить пароли к основным учеткам на смарте, можно ли будет после этого всё-таки что-то отследить или найти хвосты предыдущих подключений для анализа?
Автор: Spectral Nov 11 2022, 3:27
Учетки менять можно. А вот вычищать от трояна - нет. Лучше вообще ничего не убирать пока.
Я бы сделал ставку именно на перехват связи, пока троян живой и активность есть. На логи там мало надежды, да и подчищено уже скорее всего.
Invision Power Board
© Invision Power Services