«Программа-фонарик ворует данные кредитных карт!», «Вирус маскируется под менструальный календарик!». Приходилось видеть такие заголовки? Общеизвестно, что чаще всего мобильные вредоносы ставят на девайсы сами пользователи. Но ты-то, дорогой читатель, пользуешься прошивкой от проверенного производителя, официальным маркетом и надежным антивирусом и полагаешь, что у вендоров все под контролем? Не тут-то было.
 

Началось все хорошо

Сразу хочу сообщить, что болезнью «поставить на телефон мод от vasyliy228» я переболел еще в эпоху расцвета Java2ME (мир его праху), когда iPhone ползал в подгузниках, а Андроида не было и в помине. Переболел, и, кажется, отпустило. С тех самых пор — никаких «левых» прошивок, минимум стороннего софта, только те приложения, которые мне действительно нужны, и только из официальных источников.

Когда мне понадобилось приобрести новый телефон, из всего, что имеется на рынке, я выбрал ASUS ZenFone Max Pro M1 — не в последнюю очередь соблазнившись обещаниями получить «почти чистый андроид» (ох уж это «почти»). И действительно получил минимум шлака и только то, что необходимо (опять «почти»). Из стороннего успел добавить только Firefox, ColorNote и Kaspersky Internet Security.

 

Но что-то пошло не так

Накатив обновление прошивки штатными (штатными, Карл!) средствами системы, я с неудовольствием обнаружил новое приложение под названием BLITZ installer с пиктограммкой, легко соотносимой с Wargaming. «Вот же блин, все-таки вкрячили очередное…» — подумал я, но не особо удивился, потому что, например, в свое время на планшете от фирмы Sony у меня «из коробки» была не одна «свистулька», а целый пучок. Вынести ЭТО из системы через меню и маркет не получалось (системное приложение, вот же ж!), но выключить можно — спасибо Google. Прочих пользователей все это, видимо, не сильно парило — я нашел в интернетах всего одну жалобу, да и то не жалобу, а так, ворчание.

Я написал не очень, признаться, вежливое, с рядом рискованных оборотов, письмо в техподдержку ASUS. Пусть, дескать, знают, что не всем нравится, когда у них на телефоне в добровольно-принудительном порядке устанавливается всякий мусор. Понятное дело, я даже не думал, что ASUS будет выпиливать что-либо в угоду одному-единственному пользователю. Open source же и невидимая рука рынка. Не угодил этот производитель — «голосуй ногами», покупай у другого. Не нашел другого — скачай исходники AOSP и собери собственную прошивку. Полная свобода, короче. Посмотрим правде в глаза: я даже не надеялся на то, что ASUS мне ответит. Однако он ответил, и ответ этот меня не порадовал:

Информируем, что приложение BLITZ installer не поставляется вместе с файлом прошивки обновления. Насколько нам известно, это приложение связано с игрой World of Tanks. Проверьте, пожалуйста, не устанавливали ли Вы какие-либо игры (возможно, сторонние приложения) в ближайшее время, поскольку данное приложение могло загрузиться дополнительно с каким-то приложением. Если же нет — попробуйте проверить операционную систему устройства антивирусным приложением, на предмет наличия вредоносных файлов-источников / незащищенных путей в браузере, почтовых приложениях и так далее, через которые данное «чудо» могло загрузиться.

Начало истории
Начало истории

 

Что-то точно не так!

Kaspersky Internet Security ничего подозрительного на телефоне не нашел, о чем я сразу же написал в техподдержку ASUS.

Спасибо за предоставленную информацию. <…> Что касается приложения BLITZ, вероятно, антивирусное приложение не видит угроз, поскольку идентифицирует его не как вирусное приложение, а как часть системы.

Таков был ответ. «Ну что ж, тут работа для Супермена вирусного аналитика», — подумал я. Есть же, в конце концов, Та Самая Лаборатория Касперского, которая «Ловим вирусы, исследуем угрозы, спасаем мир».

Загрузите и установите из Google Play файловый менеджер Astro… С помощью данного приложения сохраните резервную копию приложения XXXXXXXXXXX… Созданный файл, пожалуйста, скопируйте на ПК, заархивируйте и пришлите нам для анализа.

Так (довольно оперативно) ответила на мой запрос Лаборатория Касперского. Одна беда: файловый менеджер Astro в упор не видел подозреваемого приложения.

Уважаемый пользователь, если файловый менеджер Astro не отображает приложение BLITZ installer, то это означает, что оно является системным и не может быть извлечено.

И в заключение ожидаемо порекомендовали перепрошить устройство. Давай, как говорится, до свидания. Ну да, скажете вы, а ты думал, что по первому зову на твою крышу высадится верхом на дронах десант вирусных аналитиков с макбуками наперевес?

 

Тыжпрограммист

К счастью, ADB еще никто не отменял.

  1. Включаем на телефоне режим разработчика, семь раз подряд нажав на номер сборки в настройках, в меню разработчика включаем отладку по USB.
  2. Подключаем телефон к компу по USB. Думаю, читателю не нужно объяснять, что на компе должны быть установлены Linux (желательно) и ADB (обязательно). Набираем в консоли adb shell.
  3. pm list packages выводит список установленных пакетов, в котором мы находим нечто с говорящим именем net.wargaming.showcase.wotb.asus.
  4. pm enable net.wargaming.showcase.wotb.asus позволяет «включить» приложение, но вот pm disable net.wargaming.showcase.wotb.asus почему-то вылетает с ошибкой. Ладно, мы и через графический интерфейс до него можем дотянуться, чтобы выключить.
  5. pm dump net.wargaming.showcase.wotb.asus дает нам много интересной информации о пакете, в частности о том, что он находится в APK-файле /system/app/asus/asus.apk. Просто посмотреть путь к файлу можно еще командой pm path net.wargaming.showcase.wotb.asus.
  6. Выходим из сеанса ADB командой exit, делаем adb pull /system/app/asus/asus.apk, чтобы забрать с телефона файл с «подозреваемым».

Делов-то. Остается только заархивировать собранные первичные данные (вывод команды pm dump и *.apk-файл) и отослать доброму доктору Айболиту аналитикам из Лаборатории Касперского.

Благодарим за описание! Мы как антивирусный вендор заинтересованы в корректной работе наших продуктов. Но файл, который добавлен в прошивку, не является вредоносным, именно поэтому наш продукт его и не детектирует.

Инсталлер находится в пакете asus.apk, но не отключается
Инсталлер находится в пакете asus.apk, но не отключается

 

Запорожцы пишут письмо

Для очистки совести я написал опять же не очень вежливое письмо в техподдержку Wargaming. Ага, скажете вы, ты бы еще колумбийскому наркобарону прислал предъяву, что у тебя возле дома продают плохой порошок. Не нравится — не употребляй. Как ни странно, Wargaming все же откликнулся:

По всем вопросам работы ПО «Blitz Installer» рекомендуем Вам обращаться в службу поддержки компании ASUS. Данное ПО является предустановленным, то есть входит в комплект поставки для Вашей модели телефона.

Но позвольте, а как же ASUS, они же клянутся, что они не при делах?

Не могли бы Вы предоставить скриншот ответа службы поддержки компании ASUS?

Ну да, действительно, куда же без скриншота, причем нотариальное заверение, видимо, не требуется, но приветствуется.

 

Круг замкнулся

Подведем итоги: антивирусный вендор не проверяет предустановленное ПО, Wargaming не отвечает за то, какие производители включают инсталляторы их поделок в состав предустановленного системного (системного, Карл!) ПО, а техподдержка производителя (внезапно) вообще понятия не имеет, что там у них понапихано в прошивку. И ладно бы речь шла о каком-нибудь китайском noname бренде, но ASUS, ASUS, Карл! Сегодня у них в прошивку просочился инсталлятор «танчиков», а завтра… Так что будь осторожен, дорогой читатель, береги себя и свой девайс.

 

P. S. Пока готовил статью

Согласно предоставленным Вами данным, действительно похоже, что пакет был установлен на Ваше устройство вместе с обновленной версией прошивки. Мы передадим данную информацию в Главный офис для анализа и устранения проблемы. Спасибо, что Вы потратили свое время и выявили проблему. Как только она будет устранена, устройство вновь предложит Вам обновиться «по воздуху». Также обновленная версия прошивки будет загружена в раздел «Драйверы и утилиты» для модели Вашего устройства на официальном сайте ASUS.

Как говорится, ждем-с…

3 комментария

  1. owls

    07.09.2018 at 18:43

    Большое вам спасибо за прекрасную статью!
    Полностью поддерживаю ваши мысли на счет лаконичности и порядка в телефоне.
    В современном мире сейчас тяжело найти истинный порядок.
    Тоже предпочитаю ASUS но только другую модель.

    Продолжайте писать дальше захватывающие статьи.
    Удачи вам в делах.

  2. Rayko

    10.09.2018 at 11:58

    Вот поэтому рутую телефон и выскребаю с него все левые программы, вплоть до гугловских. Память сразу легчает на несколько гигов, а скорость возрастает. К чертям эти официальные прошивки — иличистый андроид брать или рутовать и чистить.

  3. Redhadevil

    10.09.2018 at 13:58

    Обыденное дело на самом деле, когда тех. поддержка прикидывается «шлангом», а сами тайком решают запрошенные проблемы 🙂

Оставить мнение

Check Also

Нагнуть Nagios. Разбираем хитрую цепочку уязвимостей в популярной системе мониторинга

Nagios — это одно из популярнейших решений для мониторинга, которое используется во многих…