8 приложений для Android, которые нужно удалить. Они опасны
Кто бы что ни говорил, но Google Play – это помойка. Не даром её признали самым популярным источником вредоносного софта для Android. Просто пользователи в большинстве своём доверяют официальном магазину приложений Google и скачивают оттуда любое ПО без разбору. А какой ещё у них есть выбор? Ведь их всегда учили, что скачивать APK из интернета куда опаснее. В общем, это действительно так. Но остерегаться опасных приложений в Google Play нужно всегда. По крайней мере, постфактум.
Есть как минимум 8 приложений, которые нужно удалить
Google добавила в Google Play функцию разгона загрузки приложений
Исследователи кибербезопасности из антивирусной компании McAfee обнаружили в Google Play 8 вредоносных приложений с многомиллионными загрузками. Попадая на устройства своих жертв, они скачивают получают доступ к сообщениям, а потом совершают от их имени покупки в интернете, подтверждая транзакции кодами верификации, которые приходят в виде SMS.
Вредоносные приложения для Android
Нашли вирус? Удалите его
В основном это приложения, которые потенциально высоко востребованы пользователями. Среди них есть скины для клавиатуры, фоторедакторы, приложения для создания рингтонов и др.:
Это названия пакетов приложений, то есть что-то вроде их идентификаторов. Поскольку всё это вредоносные приложения, их создатели знают, что их будут искать и бороться с ними. Поэтому они вполне могут быть готовы к тому, чтобы менять пользовательские названия приложений, которые видим мы с вами. Но это мы не можем этого отследить. Поэтому куда надёжнее с этой точки зрения отслеживать именно идентификаторы и удалять вредоносный софт по ним.
Как найти вирус на Android
Но ведь, скажете вы, на смартфоны софт устанавливается с пользовательскими названиями. Да, это так. Поэтому вам понадобится небольшая утилита, которая позволит вам эффективно выявить весь шлаковый софт, который вы себе установили, определив название их пакетов.
В красном квадрате приведен пример названия пакета
Package Name Viewer удобен тем, что позволяет не просто найти нужное приложение по названию его пакета, но и при необходимости перейти в настройки для его удаления. Для этого достаточно просто нажать на иконку приложения, как вы попадёте в соответствующий раздел системы, где сможете остановить, отключить, удалить накопленные данные, отозвать привилегии или просто стереть нежелательную программу.
Как отменить подписку на Андроиде
Лучше всего приложение именно удалить. Это наиболее действенный способ защитить себя от его активности. Однако не исключено, что оно могло подписать вас на платные абонементы, поэтому для начала проверьте свою карту на предмет неизвестных списаний, а потом просмотрите список действующих подписок в Google Play:
Если подписка оформлена через Google Play, отменить её ничего не стоит
В принципе, если подписка была оформлена через Google Play и оплата уже прошла, вы можете потребовать у Google вернуть уплаченные деньги. О том, как это делается, мы описывали в отдельной статье. Но поскольку разработчики таких приложений обычно тщательно продумывают способы воровства денег, как правило, они не используют встроенный в Google Play инструмент проведения платежей, чтобы их в случае чего не могли отозвать.
Новости, статьи и анонсы публикаций
Свободное общение и обсуждение материалов
С появлением eSIM и второго слота для карточки в смартфонах необходимость иметь второй телефон, казалось бы, совершенно пропала. Действительно, дополнительные возможности смартфона теперь позволяют обходиться без кнопочного телефона, держа все в одном устройстве. Забавно, но такой подход не совсем верен: сосредоточив всё в одном устройстве в нужный момент можно остаться ни с чем. Именно для того, чтобы не попасть впросак люди и разграничивают «полномочия» двух устройств. Ведь это намного надежнее, хоть и доставляет определенные сложности, например, второй смартфон можно потерять. Сегодня расскажем о том, почему люди до сих пор используют два смартфона и какая в этом польза.
“пользователи в большинстве своём доверяют официальном магазину приложений Google и скачивают оттуда любое ПО без разбору”, зачем судить по себе? Никто так не делает и вообще откуда этот дикий список того, что надо удалить?
«Поставьте непонятное приложение, дайте ему все возможные разрешения, чтобы удалить другое непонятное приложение». Больше похоже на заказ от конкурентов
Wallpaper dat в телефоне что это
DAT файл – это универсальный контейнер, который может содержать в себе любую информацию. Это может быть обычный текст, картинка, видео, потоковое аудио, игровые сохранения, пароли и этот список можно продолжать очень долго. Обычно, пользователь может столкнутся с данным файлом в письме электронной почты. Причина прихода такого файла может крыться в том, что в процессе отправки или получения произошёл какой-то сбой.
Чтобы успешно открыть DAT файл в системе Windows, нужно сначала выяснить, какой программой он был создан. Если вы знаете тип этого файла, то вам уже намного легче будет подобрать нужную программу, и получить данные с файла. Но если всё не так благополучно выходит, и вы на самом деле не знаете, или сомневаетесь в содержимом, то перечисленные далее советы, будут вам полезны.
Выясняем подробную информацию о DAT файле
Существуют специальные программы, которые определяют тип файла. Кроме того, они помогают выбрать программу, с помощью которой можно просмотреть данные.
Способ 1: File Type Verificator
File Type Verificator — это бесплатная программа, которая в разы упростит задачу определения DAT файла. Она легкая в использовании, поэтому серьёзных трудностей возникнуть не должно.
Как видно на скриншоте, в DAT файле оказалась JPG картинка, которую можно открыть в любой программе, поддерживающей просмотр изображений. Можно попытаться открыть фото с помощью File Type Verificator.
Изображение откроется в той программе, которая ассоциируется с типом этого файла. В нашем случае, картинка открылась в стандартной программе просмотра фотографий.
Способ 2: Win Hex
Win Hex — это мощная утилита, которая имеет множество функций. Она часто используется профессионалами или просто опытными пользователями. Для новичков она сложная. Возможности этой программы очень большие, они не ограничиваются простым определением ДАТ файла. Например, она может редактировать RAM, давая доступ к виртуальной и физической памяти процессоров. Также, есть функция восстановления стёртых данных. Но в отличии от предыдущей программы, WinHex условно-бесплатная. Дополнительные возможности покупаются, но наша задача, заключается лишь в изучении DAT файла, поэтому они нам не нужны.
Данный софт доступен на английском. Если вам неудобно пользоваться на данном языке, то его можно поменять на русский.
Перейдём к самому определения файла.
Данный файл создавался в фоторедакторе Photoshop, поэтому, можно сделать вывод, что это обычная картинка. Открыть её вы сможете в любой программе, поддерживающей осмотр изображений.
Способ 3: Total Commander
Total Commander — это многофункциональный файловый менеджер, который также позволяет просматривать DAT файлы. Программа имеет множество возможностей. Например, имеет встроенный спец архиватор, поддерживает разные полезные плагины. Условно-бесплатная или требует регистрации, но это не мешает свободно использовать её на протяжении 30 дней.
Другие методы
Можно поступить проще, щелкнуть два раза по файлу. Система сама предложит программу для открытия. Но так происходит не всегда, поэтому приходится прибегать к альтернативным методам.
Распространённые виды DAT файлов
Самыми распространёнными видами являются несколько форматов:
Зайдите в Notepad++. Нажмите «Файл».
В контекстном меню выберите «Открыть» и загрузите нужный ДАТ файл.
Существует большое количество различных дат файлов. Как видите, ничего сложного в открытии таких файлов нет. Главное знать, в какой программе он был создан и тогда у вас не возникнет с ним никаких проблем.
.dat файл — что это и как открыть его?
Возникло ли у вас любопытство, как открыть файл DAT на ПК с Windows 10?
Как открыть файлы DAT в Windows 10
Поэтому, прежде чем открывать файл DAT, примите обоснованное предположение о том, каким он может быть, а затем откройте его с помощью соответствующего программного обеспечения.
Способ 1: открыть файл DAT с помощью текстового редактора Notepad ++
Процесс довольно прост. Узнайте, как открыть файл DAT в Windows 10 с помощью текстового редактора Notepad++:
Шаг (1): Сначала загрузите Notepad++ и установите его на свой компьютер с Windows 10.
Шаг (3): Теперь выберите «Notepad++» из списка и нажмите кнопку «ОК».
Примечание. Вы также можете использовать обычный блокнот, который входит в комплект Windows, но он не всегда работает.
Шаг (4): Если файл DAT содержит простой текст (маловероятно), вы сможете очень легко прочитать содержимое.
Шаг (5): И если файл DAT, который вы только что открыли, полон ссылок NUL или неясных символов, то это означает, что он зашифрован или содержит файл изображений/видео/аудио.
Таким образом, вы можете увидеть, как просто открыть файлы DAT в Windows 10 с помощью текстового редактора.
Способ 3: открыть файлы Winmail.dat онлайн
Мы рекомендуем не открывать такие файлы, если полученное вами электронное письмо не было получено от доверенного лица и если оно не было должным образом проверено антивирусным программным обеспечением или программным обеспечением для обеспечения безопасности в Интернете.
Многие люди заметили, что почтовые серверы (в частности, Microsoft Outlook) иногда автоматически конвертируют электронную почту в формат DAT. В таких случаях использование популярного онлайн-инструмента Winmaildat.com — это самый быстрый способ открыть файл DAT в системе Windows 10. Вот как быстро открыть файл DAT онлайн:
Теперь веб-сайт проанализирует файл и покажет вам все, что содержит файл DAT. Вы можете нажать на файлы, чтобы загрузить их на свой компьютер, а затем вы можете открыть его, чтобы увидеть все его содержимое.
Важное примечание. Перед выполнением этих шагов создайте резервную копию исходного файла, поскольку преобразование формата файла может привести к его повреждению.
Заключение
WhatsApp на ладони: где и как можно обнаружить криминалистические артефакты?
Хотите узнать, какие типы криминалистических артефактов WhatsApp существуют в различных операционных системах и где именно они могут быть обнаружены — тогда вам сюда. Этой статьей специалист Лаборатории компьютерной криминалистики Group-IB Игорь Михайлов открывает серию публикаций о криминалистическом исследовании WhatsApp и о том, какие сведения можно получить при анализе устройства.
Сразу отметим, что в разных операционных системах хранятся различные типы артефактов WhatsApp, и если из одного устройства исследователь может извлечь определенные типы данных WhatsApp, это совсем не означает, что подобные типы данных можно извлечь из другого устройства. Например, если изымается системный блок под управлением ОС Windows, то на его дисках, вероятно, не будут обнаружены чаты WhatsApp (исключение составляют резервные копии iOS-устройств, которые могут быть обнаружены на этих же накопителях). При изъятии ноутбуков и мобильных устройств будут свои особенности. Поговорим об этом поподробнее.
Артефакты WhatsApp в Android-устройстве
Для того, чтобы извлечь артефакты WhatsApp из устройства под управлением ОС Android, исследователь должен иметь права суперпользователя (‘root’) на исследуемом устройстве или иметь возможность иным способом извлечь физический дамп памяти устройства, или его файловую систему (например, используя программные уязвимости конкретного мобильного устройства).
Файлы приложения располагаются в памяти телефона в разделе, в котором сохраняются данные пользователя. Как правило, этот раздел носит имя ‘userdata’. Подкаталоги и файлы программы располагаются по пути: ‘/data/data/com.whatsapp/’.
Основными файлами, которые содержат криминалистические артефакты WhatsApp в ОС Android являются базы данных ‘wa.db’ и ‘msgstore.db’.
В базе данных ‘wa.db’ содержится полный список контактов пользователя WhatsApp, включая номер телефона, отображаемое имя, временные метки и любую другую информацию, указанную при регистрации в WhatsApp. Файл ‘wa.db’ располагается по пути: ‘/data/data/com.whatsapp/databases/’ и имеет следующую структуру:
Наиболее интересными таблицами в базе данных ‘wa.db’ для исследователя являются:
Внешний вид таблицы:
Имя поля | Значение |
---|---|
_id | порядковый номер записи (в SQL таблице) |
jid | WhatsApp ID контакта, записывается в формате @s.whatsapp.net |
is_whatsapp_user | содержит ‘1’ если контакту соответствует фактический пользователь WhatsApp, ‘0’ в ином случае |
status | содержит текст, отображаемый в статусе контакта |
status_timestamp | содержит временную метку в формате Unix Epoch Time (ms) |
number | номер телефона, ассоциированный с контактом |
raw_contact_id | порядковый номер контакта |
display_name | отображаемое имя контакта |
phone_type | тип телефона |
phone_label | метка, ассоциированная с номером контакта |
unseen_msg_count | количество сообщений которые были отправлены контактом но небыли прочитаны получателем |
photo_ts | содержит временную метку в формате Unix Epoch Time |
thumb_ts | содержит временную метку в формате Unix Epoch Time |
photo_id_timestamp | содержит временную метку в формате Unix Epoch Time (ms) |
given_name | значение поля совпадает с ‘display_name’ для каждого контакта |
wa_name | имя контакта в WhatsApp (отображается имя, указанное в профиле контакта) |
sort_name | имя контакта, используемое в операциях сортировки |
nickname | ник контакта в WhatsApp (отображается ник, указанный в профиле контакта) |
company | компания (отображается компания, указанная в профиле контакта) |
title | обращение (госпожа/господин; отображается обращение, настроенное в профиле контакта) |
offset | смещение |
Наиболее интересными таблицами в файле ‘msgstore.db’ для исследователя являются:
Внешний вид таблицы:
Внешний вид таблицы:
Внешний вид таблицы:
Имя поля | Значение |
---|---|
_id | порядковый номер записи (в SQL таблице) |
key_remote_jid | WhatsApp ID партнера по коммуникации |
key_from_me | направление сообщения: ‘0’ – входящее, ‘1’ — исходящее |
key_id | уникальный идентификатор сообщения |
status | статус сообщения: ‘0’ – доставлено, ‘4’ – ждет на сервере, ‘5’ – получено по месту назначения, ‘6’ – контрольное сообщение, ‘13’ – сообщение открыто получателем (прочитано) |
need_push | имеет значение ‘2’, если это широковещательное сообщение, в ином случае содержит ‘0’ |
data | текст сообщения (когда параметр ‘media_wa_type’ равен ‘0’) |
timestamp | содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства |
media_url | содержит URL передаваемого файла (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’) |
media_mime_type | MIME-тип передаваемого файла (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’) |
media_wa_type | тип сообщения: ‘0’ – текст, ‘1’ – графический файл, ‘2’- аудио-файл, ‘3’ – видео- файл, ‘4’ – карточка контакта, ‘5’ — геоданные |
media_size | размер передаваемого файла (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’) |
media_name | имя передаваемого файла (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’) |
media_caption | Содержит слова ‘audio’, ‘video’ для соответствующих значений параметра ‘media_wa_type’ (когда параметр ‘media_wa_type’ равен ‘1’, ‘3’) |
media_hash | закодированный в формате base64 хэш передаваемого файла, рассчитанный по алгоритму HAS-256 (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’) |
media_duration | продолжительность в секундах для медиафайла (когда параметр ‘media_wa_type’ равен ‘1’, ‘2’, ‘3’) |
origin | имеет значение ‘2’, если это широковещательное сообщение, в ином случае содержит ‘0’ |
latitude | геоданные: широта (когда параметр ‘media_wa_type’ равен ‘5’) |
longitude | геоданные: долгота (когда параметр ‘media_wa_type’ равен ‘5’) |
thumb_image | служебная информация |
remote_recource | ID отправителя (только для групповых чатов) |
received_timestamp | время получения, содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства (когда параметр ‘key_from_me’ имеет ‘0’, ‘-1’ или иное значение) |
send_timestamp | не используется, обычно имеет значение ‘-1’ |
receipt_server_timestamp | время получения центральным сервером, содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства (когда параметр ‘key_from_me’ имеет ‘1’, ‘-1’ или иное значение |
receipt_device_timestamp | время получения сообщения другим абонентом, содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства (когда параметр ‘key_from_me’ имеет ‘1’, ‘-1’ или иное значение |
read_device_timestamp | время открытия (чтения) сообщения, содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства |
played_device_timestamp | время воспроизведения сообщения, содержит временную метку в формате Unix Epoch Time (ms), значение берется из часов устройства |
raw_data | миниатюра передаваемого файла (когда параметр ‘media_wa_type’ равен ‘1’ или ‘3’) |
recipient_count | количество получателей (для широковещательных сообщений) |
participant_hash | используется при передаче сообщений с геоданными |
starred | не используется |
quoted_row_id | неизвестно, обычно содержит значение ‘0’ |
mentioned_jids | не используется |
multicast_id | не используется |
offset | смещение |
Внешний вид таблицы:
Также при исследовании WhatsApp в мобильном устройстве под управлением Android надо обращать внимание на следующие файлы:
Файлы, находящиеся в подкаталоге ‘Databases’:
Особенности хранения данных в некоторых моделях мобильных устройств
В некоторых моделях мобильных устройств под управлением ОС Android возможно хранение артефактов WhatsApp в ином месте. Это обусловлено изменением пространства хранения данных приложений системным программным обеспечением мобильного устройства. Так, например, в мобильных устройствах Xiaomi есть функция создания второго рабочего пространства («SecondSpace»). При активации данной функции происходит изменение месторасположения данных. Так, если в обычном мобильном устройстве под управлением ОС Android данные пользователя хранятся в каталоге ‘/data/user/0/’ (что является ссылкой на привычные ‘/data/data/’), то во втором рабочем пространстве данные приложений хранятся в каталоге ‘/data/user/10/’. То есть, на примере месторасположения файла ‘wa.db’:
Артефакты WhatsApp в iOS-устройстве
В отличие от Android ОС, в iOS данные приложения WhatsApp передаются в резервную копию (iTunes backup). Поэтому, извлечение данных этого приложения не требует извлечения файловой системы или создания физического дампа памяти исследуемого устройства. Большая часть значимой информации содержится в базе данных ‘ChatStorage.sqlite’, которая располагается по пути: ‘/private/var/mobile/Applications/group.net.whatsapp.WhatsApp.shared/’ (в некоторых программах этот путь отображается как ‘AppDomainGroup-group.net.whatsapp.WhatsApp.shared’).
Наиболее информативными в базе данных ‘ChatStorage.sqlite’ являются таблицы ‘ZWAMESSAGE’ и ‘ZWAMEDIAITEM’.
Внешний вид таблицы ‘ZWAMESSAGE’:
Имя поля | Значение |
---|---|
Z_PK | порядковый номер записи (в SQL таблице) |
Z_ENT | идентификатор таблицы, имеет значение ‘9’ |
Z_OPT | неизвестно, обычно содержит значения от ‘1’ до ‘6’ |
ZCHILDMESSAGESDELIVEREDCOUNT | неизвестно, обычно содержит значение ‘0’ |
ZCHILDMESSAGESPLAYEDCOUNT | неизвестно, обычно содержит значение ‘0’ |
ZCHILDMESSAGESREADCOUNT | неизвестно, обычно содержит значение ‘0’ |
ZDATAITEMVERSION | неизвестно, обычно содержит значение ‘3’, вероятно, является указателем текстового сообщения |
ZDOCID | неизвестно |
ZENCRETRYCOUNT | неизвестно, обычно содержит значение ‘0’ |
ZFILTEREDRECIPIENTCOUNT | неизвестно, обычно содержит значения ‘0’, ‘2’, ‘256’ |
ZISFROMME | направление сообщения: ‘0’ – входящее, ‘1’ — исходящее |
ZMESSAGEERRORSTATUS | статус передачи сообщения. Если сообщение отправлено/получено, то имеет значение ‘0’ |
ZMESSAGETYPE | тип передаваемого сообщения |
ZSORT | неизвестно |
ZSPOTLIGHSTATUS | неизвестно |
ZSTARRED | неизвестно, не используется |
ZCHATSESSION | неизвестно |
ZGROUPMEMBER | неизвестно, не используется |
ZLASTSESSION | неизвестно |
ZMEDIAITEM | неизвестно |
ZMESSAGEINFO | неизвестно |
ZPARENTMESSAGE | неизвестно, не используется |
ZMESSAGEDATE | временная отметка в формате OS X Epoch Time |
ZSENTDATE | время отправки сообщения в формате OS X Epoch Time |
ZFROMJID | WhatsApp ID отправителя |
ZMEDIASECTIONID | содержит год и месяц отправки медиафайла |
ZPHASH | неизвестно, не используется |
ZPUSHPAME | имя контакта отправившего медиафайл в формате UTF-8 |
ZSTANZID | уникальный идентификатор сообщения |
ZTEXT | текст сообщения |
ZTOJID | WhatsApp ID получателя |
OFFSET | смещение |
Внешний вид таблицы ‘ZWAMEDIAITEM’:
Другими интересными таблицами базы данных ‘ChatStorage.sqlite’ являются:
Также нужно обращать внимание на следующие каталоги:
Артефакты WhatsApp в Windows
В каталоге ‘C:\Users\%User profile%\ AppData\Roaming\WhatsApp\’ находится несколько подкаталогов:
Файл ‘main-process.log’ содержит информацию о работе программы WhatsApp.
Подкаталог ‘databases’ содержит файл ‘Databases.db’, но этот файл не содержит никакой информации о чатах или контактах.
Наиболее интересными с криминалистической точки зрения являются файлы, находящиеся в каталоге ‘Cache’. В основном это файлы с именами ‘f_*******’ (где * — число от 0 до 9), содержащие зашифрованные мультимедиа-файлы и документы, но среди них встречаются и незашифрованные файлы. Особый интерес представляют файлы ‘data_0’, ‘data_1’, ‘data_2’, ‘data_3’, находящиеся в этом же подкаталоге. Файлы ‘data_0’, ‘data_1’, ‘data_3’ содержат внешние ссылки на передаваемые зашифрованные мультимедиа-файлы и документы.
Также файл ‘data_3’ может содержать графические файлы.
Файл ‘data_2’ содержит аватары контактов (могут быть восстановлены поиском по заголовкам файлов).
Аватары, содержащиеся в файле ‘data_2’:
Таким образом, в памяти компьютера нельзя найти сами чаты, но можно найти:
Артефакты WhatsApp в MacOS
В MacOS можно найти типы артефактов WhatsApp, подобные тем, которые имеются в ОС Windows.
Файлы программы находятся каталогах:
В каталоге ‘C:\Users\%User profile%\Library\Application Support\WhatsApp\Cache\’ находятся файлы ‘data_0’, ‘data_1’, ‘data_2’, ‘data_3’ и файлы с именами ‘f_*******’ (где * — число от 0 до 9). Информация о том, какие сведения содержат эти файлы, описана в разделе «Артефакты WhatsApp в Windows».
В каталоге ‘C:\Users\%User profile%\Library\Application Support\WhatsApp\IndexedDB\’ могут содержаться мультимедийные файлы (файлы не имеют расширений).
Файл ‘main-process.log’ содержит информацию о работе программы WhatsApp.
В следующих статьях этой серии:
В Group-IB знают о киберпреступности всё, но рассказывают самое интересное.
Остросюжетный Telegram-канал (https://t.me/Group_IB) об информационной безопасности, хакерах и кибератаках, хактивистах и интернет-пиратах. Расследования нашумевших киберпреступлений по шагам, практические кейсы с применением технологий Group-IB и, конечно, рекомендации, как не стать жертвой в интернете.
YouTube-канал Group-IB
Фотолента Group-IB в Instagram www.instagram.com/group_ib
Короткие новости в Twitter twitter.com/GroupIB
Компания Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления мошенничества и защиты интеллектуальной собственности в сети со штаб-квартирой в Сингапуре.