Перейти к содержимому


Фото

android.smsbot.747.origin

вирус троян

  • Please log in to reply
9 ответов в этой теме

#1 Teddy2

Teddy2

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 17 Июль 2021 - 18:13

Здравствуйте. На сотовом завелся вирус, dr. web определяет как android.smsbot.747.origin, касперский как Trojan.AndroidOS.Whatreg.b

путь: System Contact base.apk /data/app/org.android.contact.person-1

На телефоне сами устанавливаются приложения, а так же был сделан международный звонок за мой счет(

После перепрошивки телефона вирус восстанавливается.

Помогите избавиться

 



#2 Doctor_DIY

Doctor_DIY

    Newbie

  • Posters
  • 18 Сообщений:

Отправлено 19 Июль 2021 - 16:10

Здравствуйте. На сотовом завелся вирус, dr. web определяет как android.smsbot.747.origin, касперский как Trojan.AndroidOS.Whatreg.b
путь: System Contact base.apk /data/app/org.android.contact.person-1
На телефоне сами устанавливаются приложения, а так же был сделан международный звонок за мой счет(
После перепрошивки телефона вирус восстанавливается.
Помогите избавиться

Тогда похоже что вирус встроен в прошивку самим производителем. Можете либо поискать чистую прошивку, или под рут правами вычистить заразу. Ещё бы не помешала информация о модели смартфона, может быть другие люди также сталкивались с вашей проблемой, что поможет вам скорее найти решение.

#3 efgr4tg34

efgr4tg34

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 19 Июль 2021 - 17:06

У меня идентичная ситуация. Сбрасывал телефон, перепрошивал. Через некоторое время опять появляется. В списке приложений отображается как "system contact". Мой аккаунт в WhatsApp заблокировали, подозреваю, что этот троян или установленные им рассылали спам.

Аппарат: Highscreen boost 3 se pro


Сообщение было изменено efgr4tg34: 19 Июль 2021 - 17:07


#4 Teddy2

Teddy2

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 19 Июль 2021 - 20:17

Тогда похоже что вирус встроен в прошивку самим производителем. Можете либо поискать чистую прошивку, или под рут правами вычистить заразу. Ещё бы не помешала информация о модели смартфона, может быть другие люди также сталкивались с вашей проблемой, что поможет вам скорее найти решение.

Телефону уже 4 года и только сейчас вылезло.

У меня идентичная ситуация. Сбрасывал телефон, перепрошивал. Через некоторое время опять появляется. В списке приложений отображается как "system contact". Мой аккаунт в WhatsApp заблокировали, подозреваю, что этот троян или установленные им рассылали спам.

Аппарат: Highscreen boost 3 se pro

Тоже началось все с блокировки WhatsApp. После обращения в техподдержку по адресу support@whatsapp.com аккаунт разблокировали и среди последних чатов обнаружились три левых с сообщениями "Ок". Видимо так троян и пролез. Сейчас пока, после очередной прошивки вирус не обнаруживается



#5 efgr4tg34

efgr4tg34

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 22 Июль 2021 - 10:28

Перепрошил свой Highscreen boost 3 se pro самой первой версией (BF167_BOOST3-SE-PRO_L002). Двое суток, заражения пока нет.

Обратил внимание, что попытка проверки онлайн обновления приводит к ошибке "Ошибка подключения к сети", т.е. можно сделать вывод, что URL для обновления в новых версиях прошивок были изменены.

Подозреваю, что троян проникает именно через функцию проверки обновления ПО, тем более что Dr.Web ругался на .apk программы обновления, емнип "Trojan downloader".



#6 Lvenok

Lvenok

    Massive Poster

  • Beta Testers
  • 2 644 Сообщений:

Отправлено 22 Июль 2021 - 10:45

Перепрошил свой Highscreen boost 3 se pro самой первой версией (BF167_BOOST3-SE-PRO_L002). Двое суток, заражения пока нет.
Обратил внимание, что попытка проверки онлайн обновления приводит к ошибке "Ошибка подключения к сети", т.е. можно сделать вывод, что URL для обновления в новых версиях прошивок были изменены.
Подозреваю, что троян проникает именно через функцию проверки обновления ПО, тем более что Dr.Web ругался на .apk программы обновления, емнип "Trojan downloader".

На оф сайте посмотрите последнюю версию прошивки, бывает, что там она есть чистая (производитель исправил), а на телефоне в автомате эта версия "не обнаруживается".

#7 efgr4tg34

efgr4tg34

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 29 Июль 2021 - 23:09

На оф сайте посмотрите последнюю версию прошивки, бывает, что там она есть чистая (производитель исправил), а на телефоне в автомате эта версия "не обнаруживается".

 

На оф сайте была битая ссылка. Сообщил в поддержку, выкатили ссылку для другой версии железа :)

В итоге я прошил последней версией BF167_BOOST3-SE-PRO_L010 и сразу же удалил пакет обновления:

pm uninstall -k --user 0 com.adups.fota

Вторые сутки, полёт нормальный. Заражения пока нет.

Просмотрел в плей-маркете историю установленных приложений. Около двух десятков какой-то дряни с аляпистыми ярлыками. В комментариях народ негодует, что устанавливаются без ведома, вирус.

 

Есть догадка, что фирмачи прошляпили домен, который использовался для обновления. Highscreen вообще похоже глохнет. Может из сотрудников кто-то продался.


Сообщение было изменено efgr4tg34: 29 Июль 2021 - 23:09


#8 efgr4tg34

efgr4tg34

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 03 Август 2021 - 12:49

Заметка в тему:

https://xakep.ru/2016/11/16/adups-fota-backdoor/



#9 efgr4tg34

efgr4tg34

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 03 Август 2021 - 12:53

Удалил ещё на всякий случай:

pm uninstall -k --user 0 com.adups.fota.sysoper



#10 efgr4tg34

efgr4tg34

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 01 Сентябрь 2021 - 18:09

С моим телефоном до сих пор всё в порядке. Новых заражений не было.

 

У товарища Highscreen boost 3 pro и он столкнулся с такой же проблемой. Перепрошили (BF169_HIGHSCREEN-BOOST3_L012) и удалили:

pm uninstall -k --user 0 com.adups.fota

pm uninstall -k --user 0 com.adups.fota.sysoper

 

Неделя, полёт нормальный.





Also tagged with one or more of these keywords: вирус троян

Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых