Основные признаки вредоносного ПО в системной области:
- Многократное появление одних и тех же угроз в одних и тех же местах, даже после удаления их антивирусом. Обычно угрозы появляются повторно после перезагрузки устройства.
- Предупреждения в Аудиторе безопасности Dr.Web.
Из-за особенностей реализации ОС Android избавиться от троянца в системной области стандартными средcтвами ЛЮБОГО антивируса невозможно, поскольку на нерутованном устройстве антивирус, как и любое другое приложение, не имеет административных прав: Dr.Web может обнаруживать вредоносные программы, попавшие в системную область, но не имеет прав на их удаление. Для них (как и для любых установленных приложений) также недоступна опция В карантин.
Для устранения таких уязвимостей прошивки и угроз в /system некоторые системные приложения можно остановить и отключить. Это не устранит угрозу полностью, но нейтрализует ее до тех пор, пока не получится удалить ее окончательно.
Остановить работу приложения: в списке установленных приложений на экране Настройки → Приложения выберите приложение, определенное как угроза, после чего на экране с информацией о нем нажмите кнопку Остановить.
Это действие потребуется повторять при каждой перезагрузке устройства.
Отключить приложение: в списке установленных приложений на экране Настройки → Приложения выберите приложение, определенное как угроза, после чего на экране с информацией о нем нажмите кнопку Отключить.
Если на вашем устройстве открыт root-доступ (права суперпользователя, позволяющие вносить любые изменения, в том числе в прошивку), а приложение может быть удалено без потери работоспособности устройства или вылечено, вы увидите соответствующую опцию в интерфейсе антивируса.
С root-доступом вы также можете попробовать удалить вредоносные приложения с помощью специальных сторонних утилит.
Настройка root-доступа в некоторых случаях может привести к отказу производителя от гарантийного обслуживания устройства.
Если на вашем устройстве установлена пользовательская прошивка, вы можете вернуться к официальному ПО производителя устройства самостоятельно или обратившись в сервисный центр. Если вы используете официальное ПО производителя устройства, попробуйте обратиться в компанию-производитель за дополнительной информацией об этом приложении.
Если производитель рекомендовал обновление прошивки, перед обновлением сделайте резервную копию всех пользовательских данных, а затем выполните операцию сброса настроек до заводских.
Чтобы отключить информирование об угрозах в системных приложениях, которые не могут быть удалены без потери работоспособности устройства, установите флажок Системные приложения в разделе Настройки → Общие настройки → Дополнительные опции.
Также рекомендуем ознакомиться с посвященным этой теме выпуском «Дела системные» проекта «Антивирусная правДА!». О причинах попадания троянцев в прошивки написано в выпуске «Вшито-скрыто».