Как обнаружить наличие удаленного доступа на своем Android устройстве?

[Vorsa]

...К кому обращаться и что делать, чтобы сохранить доказательства?

Как найти злоумышленника и доказать его причастность, если он избавился от своего устройства, с которого производился удаленный доступ?

Что делать потенциальной жертве, чтобы предотвратить фабрикацию уголовного дела?

Можно ли после полного сброса до заводских настроек обнаружить следы трояна удаленного доступа? Можно ли обезопасить себя, отключив устройство от интернета?

Как в принципе надо вести себя в таких условиях, если личности потенциальных злоумышленников известны?

 

[Sergei webware]

Привет. Давай по порядку, без паники. Обнаружить грамотно спрятанный RAT бывает непросто, но есть чек-лист, по которому стоит пройтись.

1. Администраторы устройства. Это первое, куда нужно смотреть. Зайди в Настройки -> Безопасность -> Администраторы устройства (путь может немного отличаться). В этом списке должны быть только те приложения, которым ты доверяешь (например, "Найти устройство" от Google). Видишь что-то незнакомое с китайскими иероглифами или просто странным названием - это огромный красный флаг. Попробуй отключить права администратора для такого приложения. Если не дает - это почти 100% зловред.
2. Спец. возможности (Accessibility). Второе по популярности место, где прячется малварь. Настройки -> Спец. возможности. Проверь, какие приложения имеют доступ к этому разделу. Условный "Калькулятор" или "Фонарик" не должны там быть. Этот доступ позволяет приложению читать все с экрана и имитировать нажатия.
3. Список приложений и их права. Внимательно просмотри Настройки -> Приложения -> Все приложения. Ищи приложения без иконок, со странными названиями (вроде com.android.system.service), или те, которые ты точно не ставил. Зайди в права каждого подозрительного приложения. Если игра просит доступ к СМС и микрофону - это повод задуматься.
4. Сетевая активность. Для продвинутых. Можно поставить приложения вроде NetGuard (файрвол без root) или PCAPdroid и посмотреть, какие из твоих приложений ломятся в интернет на странные IP-адреса, особенно когда ты их не используешь.

Что делать, если подозрения подтвердились?
Самый надежный и железный способ - это полный сброс до заводских настроек (factory reset). Но перед этим сохрани только нужные данные (фото, контакты), но ни в коем случае не делай полный бэкап системы через Titanium/ADB, иначе рискуешь восстановить и зловреда. После сброса ставь приложения только из Google Play.