Перейти к содержимому


Фото

com.android.Pet.mediaproxy (Android.DownLoader.2623)


  • Please log in to reply
27 ответов в этой теме

#1 MegaDon

MegaDon

    Newbie

  • Posters
  • 16 Сообщений:

Отправлено 05 Сентябрь 2017 - 01:33

В системе обнаружился злoврeд, которого "подсадил" производитель. Он занимается загрузкой и фоновой установкой приложений, причём делает это на смартфоне, не привязанном к аккаунту Google. Всё усугубляется тем, что устройство нерутовано и нет возможности выпилить паразита (ввиду новизны девайса нет проверенных методов по рутованию). Путём изучения бэкапов, логов и т.д. был выявлен виновник - процесс com.android.Pet.mediaproxy, который виден лишь через список приложений выдаваемых командой pm list packages (в общем списке, включающем системные приложения, доступном через UI его нет), pm uninstall его удалить не даёт ссылаясь на недостаток прав (равно как и заморозить через pm disable). То, что именно этот процесс "гадит"  в системе показывает содержимое sqlite-базы приложения (извлечённой из adb-бекапа) в которой логировалась установка загружаемых приложений.
 
Помимо фоновой установки приложений злoврeд "нагадил" на внутренних накопителях, создав файлы
 

 

 

._android.dat

._driver.dat

._system.dat

.aio.dat
.lut
notify_fb_ad
 
Которые позволили сузить круг поиска и помогли хотя бы примерно определить злoврeда :
 
 
В логах logcat были обнаружены частые обращения злoврeда com.android.Pet.mediaproxy к приложению com.android.callerid.search.b, которое так же скрыто из общего списка и которое невозможно отключить/удалить (возможно они работают в связке).
 
В одном из xml-файлов, извлечённых из бэкапа обнаружилась "интересная" ссылка - http://sdk.asense.in/data/load.apk
 
 
Ну и под конец, при подробном разборе содержимого adb-бэкапа был обнаружен файл .o.dex с исполняемым кодом злoврeда, который на virustotal был детектирован доктором вебом как Android.DownLoader.2623, причём детект был только у Dr.Web (что таки внушает уважение), остальные продукты его проигнорировали.
 
Есть мысли как бороться с этой гадостью ? На ум пока приходит NoRoot Firewall, да полный сброс настроек,  хотя поможет ли последний - уверенности нет ибо паразит сидит в системе тут /system/priv-app/MediaService ("связать" MediaService с android.Pet.mediaproxy помог Google). 
 

Производитель посетовал, что на фикс прошивки может уйти немало времени, а мне банально страшно в "полную" силу юзать смарт т.к. в sqlite-базе этого злoврeда было обнаружено много полей с собираемой информацией частного характера (в частности данные по банк.картам). Благо эти поля были пока пустые т.к. я смартфон в интернете практически не использовал.

 

Кстати, если кого интересует, на смартфоне какого производителя сидит такое "чудо" - это Turbo X5 Max.

 

Самое интересное, что по запросу "com.android.Pet.mediaproxy" в гугле попадается схожая китайщина - Dooge X5 Max.

 

p.s. Кто блин догадался в антимат запихать исправление слова "злOвред" ("O" английская, для обхода стоит) на "вредоносное программное обеспечениеа" (орфография сохранена) ???


Сообщение было изменено MegaDon: 05 Сентябрь 2017 - 01:35


#2 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 814 Сообщений:

Отправлено 05 Сентябрь 2017 - 02:28

MegaDon, в докторе есть фаер, с помощью которого можно заблокировать сетевую активность приложений. До нахождения способа надежного выпиливания их из системы.

Анализ - да, "внушаить".



#3 MegaDon

MegaDon

    Newbie

  • Posters
  • 16 Сообщений:

Отправлено 05 Сентябрь 2017 - 02:41

MegaDon, в докторе есть фаер, с помощью которого можно заблокировать сетевую активность приложений. До нахождения способа надежного выпиливания их из системы.

Я загрузил 2 антивируса - KIS и доктора веба, не особо рассчитывая, на то, что что-то получится удалить. Я поставил KIS (по инерции), тот проверил third-party пакеты и успокоился. Dr.Web уже не стал ставить.

 

Когда я уже взялся за вопрос вплотную, то понял что лучше бы поставил второй т.к. продукт веба на андроидах более приспособлен для борьбы с мобильной заразой.

 

 

 

Анализ - да, "внушаить".

 

Дык я первый раз сталкиваюсь с заразой "подсаженной" производителем. И ладно бы это был "чистокровный" китайфон, так нет - это вполне себе брендированный "китаец", оффициально продаваемый в РФ. Если на других девайсах софт сидит себе и тихо "стучит" на пользователя, то тут он внаглую творит невесть что.


Сообщение было изменено MegaDon: 05 Сентябрь 2017 - 02:44


#4 MegaDon

MegaDon

    Newbie

  • Posters
  • 16 Сообщений:

Отправлено 05 Сентябрь 2017 - 13:52

Если интересует, вот вторая часть марлезонского балета :)
 
Таки злoврeды имели исполняемые файлы (всмысле apk-ки) :
 

$ pm path com.android.callerid.search.b

package:/system/priv-app/CallerIdSearch/CallerIdSearch.apk
$ pm path com.android.Pet.mediaproxy
package:/system/priv-app/MediaService/MediaService.apk
$ pm path com.sherlock.news
package:/system/app/com.sherlock.news/com.sherlock.news.apk
 
Главный вредитель - MediaService - virustotal его "напарник" CallerIdSearch - virustotal и неясная хрень, которую я заметил ещё когда смартфон попал ко мне в руки в первый раз - com.sherlock.news - virustotal (в папке Android/data/com.sherlock.news/*/Down были обнаружены непонятные apk-ки).
 
Почему CallerIdSearch - "напарник" спросите вы ? Всё просто - мало того, что в логах logcat они с com.android.Pet.mediaproxy шли "рука об руку", так в сетевом дампе обнаружилась куча запросов в сторону сайтов *.pubnative.net с хедером "X-Requested-With: com.android.callerid.search.b" и в частности этот
 
 
который, как я понимаю содержит список загружаемых приложений ...
 
Ах да, вот 3 этих паразита https://www.upload.ee/files/7425844/Turbo_X5_viruses.zip.html


#5 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 399 Сообщений:

Отправлено 05 Сентябрь 2017 - 14:28

MegaDon, MediaService не содержит исполняемого кода, т.к. он должен быть в файле MediaService.odex. Этот файл нужен для анализа. Лучше загрузите все файлы на койнибудь обменник, с паролем. Пример, как это можно сделать ниже.
 

1. https://play.google.com/store/apps/details?id=com.rarlab.rar

В этой программе переходите на верхний уровень, и архивируете директорию /system, смотрите, что бы архив сохранялся на sd карте, это должно быть прописано в имени архива. (иначе будет ошибка). Поставьте пароль для архива "virus"
2. https://play.google.com/store/apps/details?id=mobi.usage.appbackup

В этой программе делаете бекап всех приложений и архивируете их (с паролем "virus"). Файлы приложений будут находиться примерно по такому пути /storage/sdcard0/Mobi_Usage_AppBackup
3. Загрузите оба архива на файлообменник, например яндекс диск, и киньте сюда ссылку.



#6 MegaDon

MegaDon

    Newbie

  • Posters
  • 16 Сообщений:

Отправлено 05 Сентябрь 2017 - 14:47

В adb-бэкапе этого приложения был вот этот файл https://www.upload.ee/files/7426155/.o.dex.html (директория app_libs по моему), завтра могу поискать через shell  MediaService.odex, хотя мне кажется, это один и тот же файл.


Сообщение было изменено MegaDon: 05 Сентябрь 2017 - 14:48


#7 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 399 Сообщений:

Отправлено 05 Сентябрь 2017 - 15:04

MegaDon, Это не совсем то, MediaService - точно троян, но нужно задетектить его код из файла odex (если он не детектится). Путь примерно такой - /system/priv-app/MediaService/oat/arm/MediaService.odex



#8 MegaDon

MegaDon

    Newbie

  • Posters
  • 16 Сообщений:

Отправлено 05 Сентябрь 2017 - 15:13

ОК, завтра скину ;)



#9 Saint-Petersburg

Saint-Petersburg

    Newbie

  • Posters
  • 74 Сообщений:

Отправлено 05 Сентябрь 2017 - 19:01

Вредоносный файл. 
 
MediaService.apk   -- Trojan-Dropper
 
Остальное легальное программного обеспечение.
 
CallerIdSearch.apk   -- AdWare
com.sherlock.news.apk   -- RiskTool 
 
 

ip9.gif

3fadbf9ddc56.gif

 


#10 MegaDon

MegaDon

    Newbie

  • Posters
  • 16 Сообщений:

Отправлено 06 Сентябрь 2017 - 12:14

Остальное легальное программного обеспечение.

Касательно CallerIdSearch сильно сомневаюсь, он явно в связке с MediaService работает, судя по логам и запросам.

 

Sergey Bespalov, вот то, что вы просили https://www.upload.ee/files/7429062/Turpbo_X5_viruses_odex.zip.html

 

MediaService.odex  - Android.DownLoader.561.origin

CallerIdSearch.odex - Android.Mobifun.15

com.sherlock.news.odex - 0/58

 

p.s. В целом я заархиворовал всю папку priv-app и могу выложить архив, если сильно нужно.


Сообщение было изменено MegaDon: 06 Сентябрь 2017 - 12:15


#11 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 399 Сообщений:

Отправлено 06 Сентябрь 2017 - 17:18

MegaDon, MediaService у нас давно детектится. Но детектится не по .apk файлу а по odex, в apk файле лежат только ресурсы в данном случае.

Все эти приложения являются не желательными.
Попробовать получить root можно с помощью kingroot: https://4pda.ru/forum/index.php?showtopic=571948


Сообщение было изменено Sergey Bespalov: 06 Сентябрь 2017 - 17:26


#12 MegaDon

MegaDon

    Newbie

  • Posters
  • 16 Сообщений:

Отправлено 07 Сентябрь 2017 - 03:08

Sergey Bespalov, ОК чуть позже попробую ;)

 

Лучше раскажите, чем конкретно занимаются эти паразиты. В частности, что творит com.android.Pet.mediaproxy помимо загрузки приложений ? Как я уже писал, в его sqlite-базе я обнаружил пустые поля, предназначенные под собираемые конфиденциальные данные. Хочется быть уверенным, что данное "ПО" не приведёт к утечке данных или потере денег. Данная информация была бы не лишней, при предъявлении притензий производителю.

 

Заодно подскажите, к каким сайтам обращаются приложения - попробую перекрыть кислород на роутере. Можно конечно отлавливать, куда он лезет через дампы, но это долго и муторно + если есть https-запросы - их просто так не отследишь :(


Сообщение было изменено MegaDon: 07 Сентябрь 2017 - 03:12


#13 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 399 Сообщений:

Отправлено 07 Сентябрь 2017 - 11:24

MegaDon, Загрузка и скрытая установка приложений, загрузка и выполнение кода с удаленного сервера (*.natureapi.com). В загруженном когде уже могут содержаться любые другие трояны. 



#14 MegaDon

MegaDon

    Newbie

  • Posters
  • 16 Сообщений:

Отправлено 07 Сентябрь 2017 - 13:49

Sergey Bespalov, спасибо - залочу на роутере + посмотрю в дампах, что он там накачал с этих ресурсов.


Сообщение было изменено MegaDon: 07 Сентябрь 2017 - 13:49


#15 MegaDon

MegaDon

    Newbie

  • Posters
  • 16 Сообщений:

Отправлено 07 Сентябрь 2017 - 14:52

Наверное я всё-таки выложу priv-app / app из папки System. Проверил навскидку пару подозрительных приложений - одно оказалось чистое, а во втором, SystemUI, в odex файле обнаружился  Android.DownLoader.515.origin ...

 

Интересно, сколько там заразы. Десктопный Dr.Web детектит мобильную заразу ? Думаю прогнать cureit'ом или с livecd (каюсь, на десктопе юзаю антивирус другого производителя) содержимое этих директорий (в слитом на ПК виде, естественно).


Сообщение было изменено MegaDon: 07 Сентябрь 2017 - 14:53


#16 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 399 Сообщений:

Отправлено 07 Сентябрь 2017 - 15:11

MegaDon, Десктопный Dr.Web мобильную заразу детектит. А почмеу не подходит мобильная версия? Dr.Web Light при полной проверке сканирует системный раздел. А если предоставить root права Pro версии, то при полной проверке она сканирует директории, к которым у обычных приложений не доступа. Для про версии при первом запуске можно пробную лицензию на 30 дней активировать.
Но если у вас троян в SystemUI, то избавиться от него поможет только чистая прошика (скорее всего стороння, а не от производителя).



#17 MegaDon

MegaDon

    Newbie

  • Posters
  • 16 Сообщений:

Отправлено 07 Сентябрь 2017 - 16:16

А почмеу не подходит мобильная версия?
Можно и мобильной, просто со всей этой кутерьмой она вылетела у меня из головы. Хотя наверное лучше проверю на компе, а то боюсь список заразы будет длинный и задолбаюсь скрины снимать :D

Но если у вас троян в SystemUI, то избавиться от него поможет только чистая прошика (скорее всего стороння, а не от производителя).
Собственно я SystemUI решил проверить т.к. он как и прочая зараза отметился в Android/data

 

С прошивками для этого аппарата пока глухо - слишком новый и малоизвестный.

 

Думаю стоит разместить результаты проверки, равно как и ссылку на форум на сайте магазина, где девайс приобретался и паре-тройке ресурсов с отзывами, как уже ранее советовали. Что там ещё помимо я-маркета есть ?



#18 MegaDon

MegaDon

    Newbie

  • Posters
  • 16 Сообщений:

Отправлено 08 Сентябрь 2017 - 06:30

Сделал проверку слитых данных на десктопе cureit'ом, результат следующий

system\priv-app\CallerIdSearch\oat\arm\CallerIdSearch.odex\system\priv-app\CallerIdSearch\CallerIdSearch.apk - infected with Android.Mobifun.15

system\priv-app\CallerIdSearch\CallerIdSearch.apk\classes.dex - infected with Android.Mobifun.15

system\priv-app\MediaService\oat\arm\MediaService.odex\system\priv-app\MediaService\MediaService.apk - infected with Android.DownLoader.561.origin

system\priv-app\Settings\oat\arm\Settings.odex\system\priv-app\Settings\Settings.apk - infected with Android.BackDoor.319

system\priv-app\SystemUI\oat\arm\SystemUI.odex\system\priv-app\SystemUI\SystemUI.apk - infected with Android.DownLoader.515.origin

Надо будет будет заодно провести проверку мобильной версией, для пущей надёжности :) Или смысла нет и детект у них идентичен ? Что-то шерлок не задетектился :/

 

p.s. Десктопная версия касперского опознала лишь CallerID и шерлока, хотя ЛК обещала ранее обсуждаемую заразу добавить в базы :\



#19 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 399 Сообщений:

Отправлено 08 Сентябрь 2017 - 12:41

MegaDon, Наверное, в настройках антивируса отключено детектирование адварей.



#20 MegaDon

MegaDon

    Newbie

  • Posters
  • 16 Сообщений:

Отправлено 08 Сентябрь 2017 - 18:24

Только я хотел связаться с саппортом и поведать им про бэкдор в Settings.apk и Downloader в SystemUI, как обнаружил письмо от саппорта, который сам связался (!) со мной и дал ссылку на прошивку, не потребовав (как это было ранее) при этом отказаться от гарантии (!). Пока уточняю моменты насчёт софта и драйверов т.к. предоставили пока только саму прошивку (но и это уже неплохо).
 
Надо будет для начала распаковать System.img и проверить всё ли чисто, а то мало ли :D



Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых