Перейти к содержимому


Фото

Android.Spy.2606


  • Please log in to reply
21 ответов в этой теме

#1 Neolight86

Neolight86

    Newbie

  • Posters
  • 78 Сообщений:

Отправлено 11 Октябрь 2019 - 22:30

Устройство: Redmi Note 4

Версия Android: 6.0 MRA58K

Версия MIUI: MIUI Global 8.0 Стабильная 8.0.5.0.0 (MBFCNDG) 

 

Телефон покупался с заводской прошивкой и не обновлялся. 

Получение root-прав не производилось.

 

Недавно нашелся якобы вирус: Android.Spy.2606

 

Путь к вирусу на телефоне:

/system/app/UpdateStat/UpdateStat.apk

 

Удалить его доктор веб не может по причине: нет root-прав на телефоне.

 

Это ложное срабатывание или вирус в заводской прошивке?

 

Файл прикрепляю.

Прикрепленные файлы:


Сообщение было изменено Neolight86: 11 Октябрь 2019 - 22:30


#2 Neolight86

Neolight86

    Newbie

  • Posters
  • 78 Сообщений:

Отправлено 11 Октябрь 2019 - 22:37

Файл прикрепил в архиве без пароля.

Прикрепленные файлы:



#3 Neolight86

Neolight86

    Newbie

  • Posters
  • 78 Сообщений:

Отправлено 11 Октябрь 2019 - 22:54

Отправил на проверку в лабораторию drweb:

 [drweb.com #8908840]



#4 Neolight86

Neolight86

    Newbie

  • Posters
  • 78 Сообщений:

Отправлено 11 Октябрь 2019 - 23:26

https://www.virustotal.com/gui/file/18e55f07dde81ad8df67e219c422f0ae83f629eb3189576e57623cfefe49dada/detection



#5 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 11 Октябрь 2019 - 23:33

 

Ну вот Вы и сами ответили себе ;)


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#6 Neolight86

Neolight86

    Newbie

  • Posters
  • 78 Сообщений:

Отправлено 11 Октябрь 2019 - 23:37

Сбербанк-онлайн просит его удалить. А для Сбера root-права нельзя. Какие есть варианты решения? Из простого сделать root-права - удалить файл - потом откатить root-права? Интересно будет ли включаться телефон.


Сообщение было изменено Neolight86: 11 Октябрь 2019 - 23:38


#7 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 11 Октябрь 2019 - 23:47

Neolight86, рут - всегда на страх и риск (с потерей гарантии, потенциальным окрипичиванием и т.д.). И еще, не все вирусы можно удалить даже с рутом (некоторые вирусы в приложениях, без которых не загрузится телефон).

 

Но в идеале может сработать, да.


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#8 Neolight86

Neolight86

    Newbie

  • Posters
  • 78 Сообщений:

Отправлено 11 Октябрь 2019 - 23:53

Neolight86, рут - всегда на страх и риск (с потерей гарантии, потенциальным окрипичиванием и т.д.). И еще, не все вирусы можно удалить даже с рутом (некоторые вирусы в приложениях, без которых не загрузится телефон).

 

Но в идеале может сработать, да.

Спасибо, буду пробовать.



#9 Neolight86

Neolight86

    Newbie

  • Posters
  • 78 Сообщений:

Отправлено 02 Ноябрь 2019 - 22:55

Сбербанк-онлайн определяет вирус как HEUR:Trojan.AndroidOS.Piom.aafq



#10 Neolight86

Neolight86

    Newbie

  • Posters
  • 78 Сообщений:

Отправлено 26 Январь 2020 - 22:56

Дополню описание (вирусы в прошивке по дефолту и где они лежат в телефоне): 

 

Android.DownLoader.3667

/system/app/FWUpgradeProvider/FWUpgradeProvider.apk

 

Android.DownLoader.3784

/system/bin/fotabinder



#11 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 27 Январь 2020 - 00:28

Neolight86, это на стоковой прошивке? Я эти бинари вырезал на своем девайсе из прошивки https://forum.xda-developers.com/redmi-note-4/development/rom-project-x-aosp-android-6-0-1-nikel-t3677594


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#12 Neolight86

Neolight86

    Newbie

  • Posters
  • 78 Сообщений:

Отправлено 01 Февраль 2020 - 17:53

Neolight86, это на стоковой прошивке? Я эти бинари вырезал на своем девайсе из прошивки https://forum.xda-developers.com/redmi-note-4/development/rom-project-x-aosp-android-6-0-1-nikel-t3677594

Да.



#13 Neolight86

Neolight86

    Newbie

  • Posters
  • 78 Сообщений:

Отправлено 13 Февраль 2021 - 23:01

Нашел, как называется пакет, для удаления через телефон, без использования прав рута:

 

 

package:/system/app/UpdateStat/UpdateStat.apk=com.system.wcrash

package:/system/app/FWUpgradeProvider/FWUpgradeProvider.apk=com.fw.upgrade.sysoper

 

Само удаление без прав рута описано по ссылке:

https://habr.com/ru/company/vdsina/blog/528550/



#14 Neolight86

Neolight86

    Newbie

  • Posters
  • 78 Сообщений:

Отправлено 19 Февраль 2021 - 20:32

Подключаем телефон к компьютеру кабелем, предварительно выбрав в телефоне режим установки через USB.

 

В командной строке в Линуксе:

 

запускаем консоль командой

adb shell

 

список установленных на устройстве приложений в виде названий пакетов, -f покажет пути установки пакетов

pm list packages -f

 

ну и само удаление пакетов командами для примера этого вируса

pm uninstall -k --user 0 com.system.wcrash
pm uninstall -k --user 0 com.fw.upgrade.sysoper

Сообщение было изменено Neolight86: 19 Февраль 2021 - 20:35


#15 Neolight86

Neolight86

    Newbie

  • Posters
  • 78 Сообщений:

Отправлено 21 Февраль 2021 - 11:10

Упорядочу вирусы в заводской прошивке у меня на телефоне:

 

Android.Spy.2606

/system/app/UpdateStat/UpdateStat.apk

https://www.virustotal.com/gui/file/18e55f07dde81ad8df67e219c422f0ae83f629eb3189576e57623cfefe49dada/detection

 

Android.DownLoader.3667

/system/app/FWUpgradeProvider/FWUpgradeProvider.apk

https://www.virustotal.com/gui/file/f1fa60af853c2b7623a345740d3076c7bb4171c9ced1f7b5298e82349412160e/detection

 

Android.DownLoader.3784

/system/bin/fotabinder

https://www.virustotal.com/gui/file/31616f1acf9002c143d9bc726de405677e6f54134e44b6e837462dd3ddf98d9c/detection

 

Сегодня нашел новый вирус:

 

Android.Gexin.1

/system/app/jjhome/jjhome.apk

https://www.virustotal.com/gui/file/f6a3ea2b8b0e8662e31859fe43b21d21e95efeba87182abeabbd929fefd5fbf4/detection


Сообщение было изменено Neolight86: 21 Февраль 2021 - 11:11


#16 Neolight86

Neolight86

    Newbie

  • Posters
  • 78 Сообщений:

Отправлено 25 Март 2021 - 20:20

Нашел ещё типа вируса:

 

/system/app/PaymentService/PaymentService.apk

https://www.virustotal.com/gui/file/3b66ba05e943b28c413faee54b206d108b58430ec4279bf9eae797ec1dc52779/detection

 

и удалил командой:

pm uninstall -k --user 0 com.xiaomi.payment


Сообщение было изменено Neolight86: 25 Март 2021 - 20:21


#17 Neolight86

Neolight86

    Newbie

  • Posters
  • 78 Сообщений:

Отправлено 27 Март 2021 - 00:45

Нашел еще вирусов в заводской прошивке ( все файлы лежат в папке /system/app/ ):

 

CMASReceiver.apk
 
DeskClock.apk
 
MusicFX.apk
 
PowerKeeper.apk
 
QuickSearchBox.apk
 
SchedulePowerOnOff.apk
 
SecurityAdd.apk
 
SoundRecorder.apk
 
StepsProvider.apk
 
SystemAdSolution.apk
 
SystemUpdateAssistant.apk
 
ThemeManager.apk
 
Uicc2Terminal.apk
 
XiaomiServiceFramework.apk
 
XiaomiVip.apk
 
XMPass.apk


#18 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 399 Сообщений:

Отправлено 02 Апрель 2021 - 14:58

Neolight86, посмотрел, не представляеют угрозы.



#19 Neolight86

Neolight86

    Newbie

  • Posters
  • 78 Сообщений:

Отправлено 19 Август 2021 - 21:28

Удалил Google Now

 

/system/priv-app/Velvet/Velvet.apk

 

команда для удаления:

 

pm uninstall -k --user 0 com.google.android.googlequicksearchbox

 

постоянно что-то скачивает, хотя я все обновления отключил, потом телефон уходит в экран отладки, помогает только перезагрузка.


Сообщение было изменено Neolight86: 19 Август 2021 - 21:30


#20 Neolight86

Neolight86

    Newbie

  • Posters
  • 78 Сообщений:

Отправлено 20 Август 2021 - 18:00

Удалил приложение Instant Apps. Тоже само качало обновления.




Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых