5 ответов в этой теме

[w2w]

Просканировал новый смартфон Highscreen Power Ice Evo при помощи пробного на 14 дней drweb.

нашелся Android.Spy.332.origin http://vms.drweb.ru/virus/?_is=1&i=8990049

и вот такая переписка произошла с техподдержкой HighScreen.

(они упорно утверждают что это не троян а полезная служба, и требуют доказательств и отчетов в произошедшей утечке.)

таких доказательств у меня конечно нет.

 

Посмотреть обращение: #QOP-821-32458

троян Android.Spy.332.origin в телефоне

Created: 21 December 2016 06:21 AM    Updated: 21 December 2016 01:00 PM

DEPARTMENT

Служба поддержки

OWNER

Служба поддержки...

TYPE

[ Private ]

STATUS

 

PRIORITY

 

 

 

Дополнительная информация     Модель устройства:* Highscreen Power Ice Evo Регион:* другой

Add Reply

Алексей

Пользователь

   

Размещено: 21 December 2016 06:21 AM

смартфон с прошивкой L003 из магазина DNS
нерутованый

я тут просканировал смартфон drweb-ом и он нашел
Android.Spy.332.origin
в файле
/system/app/AdupsFota/AdupsFota.apk

инфа по теме
http://vms.drweb.ru/virus/?_is=1&i=8990049
https://xakep.ru/2016/11/16/adups-fota-backdoor/
https://xakep.ru/2016/11/17/adups-statement/

лечение без рута (сам пока не пробовал)
http://android.wonderh…phone-disable-0175034/

Алексей

Пользователь

   

Размещено: 21 December 2016 08:14 AM

прошу прощения, опечатался с версией прошивки.
в смартфоне стоит прошивка
Заводская прошивка L103 Highscreen Power Ice Evo

Служба поддержки Hi...

Staff

   

Размещено: 21 December 2016 09:12 AM

Добрый день.

Данная служба не является вредоносным ПО, суд по всему базы данных антивирусного приложения были обновлены и некоторые компоненты и службы по его мнения являются вредоносными, но как таковыми не являются.

С уважением,
Служба поддержки Highscreen

Алексей

Пользователь

   

Размещено: 21 December 2016 09:53 AM

загрузил этот файл из прошивки на virustotal.com
(файл прикреплен к сообщению)
вот реакция антивирусов.
считаете что все они ошибаются ?

AVG Android/G5P.CD.1198E4928439 20161221
AegisLab Android.G5P.Cd!c 20161221
Avast Android:SpyAgent-YG [Trj] 20161221
CAT-QuickHeal Android.Syapp.GEN7819 20161221
DrWeb Android.Spy.332.origin 20161221
ESET-NOD32 a variant of Android/Autoins.AK potentially unsafe 20161221
Fortinet Android/Generic.Z.2E7279!tr 20161221
Kaspersky not-a-virus:HEUR:RiskTool.AndroidOS.Agent.eg 20161221
McAfee Artemis!F15C3EB17013 20161221
NANO-Antivirus Riskware.Android.Autoins.ejsukw 20161221
Sophos Andr/AutoIns-A 20161221
Zoner Trojan.AndroidOS.Autoins.A 20161221

 AdupsFota.apk (3.40 MB)

Служба поддержки Hi...

Staff

   

Размещено: 21 December 2016 11:35 AM

Добрый день.

Эта служба необходима для обновления прошивки системы которая приходит по wi-fi, без неё вы не сможете обновить ваш аппарат.

С уважением,
Служба поддержки Highscreen

Алексей

Пользователь

   

Размещено: 21 December 2016 12:10 PM

Я это понимаю.
А антивирусные компании указывают что помимо этих функций, эта служба отсылает содержание SMS сообщений разработчику в китай. (помимо всего прочего)
И что вы будете делать с обращениями пользователей антивирусов. Отвечать им то же самое что и мне ?

Служба поддержки Hi...

Staff

 

   

Размещено: 21 December 2016 01:00 PM 

Добрый день.

Предоставьте пожалуйста Отчет (фото,видео,логи) о том: что ваша СМС переписка, статистика работы аппарата\служб\сервисов, личная информация уходит в ненадлежащие источники.

С уважением,
Служба поддержки Highscreen

 

[Whispersmith]

Предоставьте пожалуйста Отчет (фото,видео,логи) о том: что ваша СМС переписка, статистика работы аппарата\служб\сервисов, личная информация уходит в ненадлежащие источники.

 

Попробуйте отслеживать трафик от этого приложения и потом запросить у них объяснения.

[Sergey Bespalov]

w2w, Траффик там будет отследить тяжело, так как он зашифрован и вам понадобится его еще и расшифровывать.

Кроме того, копировать и отправлять ваши смс или нет зависит от конфига который приложение получет с сервера, и после этой шумихи какое то время они могут не отправлять смс и другие приватные данные.

 

1. Вы можете отправить этот файл на анализ, для того, что бы убедиться ложное это срабатываение или нет. https://vms.drweb.ru/sendvirus/ , в категории выбрать:"Ложное срабатывание". Хотя я сомневаюсь что оно ложное, учитывая количество детектов.
2.

"лечение без рута (сам пока не пробовал)
http://android.wonderh…phone-disable-0175034/"

 

 

Можете кинуть полную ссылку? Скорее всего, такое лечение не поможет.

 

3. Для того, что бы вылечить без рута, можно взять прошивку, удалить из неё эти трояны, затем прошить телефон на эту прошивку. Если такой способ приемлем, могу поискать статью как это делать(Или посмотрите на 4pda). Да, вы лишитись обновлений по воздуху, но мне кажется китайские производители не часто обновляют свои телефоны.

[w2w]

 

ссылка. насколько я понял, там не удаление файлов а их запрет.

http://android.wonderhowto.com/how-totest-for-adups-spyware-your-phone-disable-0175034/

 

следить за трафиком и играть в дешифратора я не стану, уровень не тот.

файл могу попробовать прислать на анализ.

вчера как раз через OTA пришло обновление прошивки до L109, я пока не ставил, но один из энтузиастов с 4pda уже поставил и отправил обновленный файл на virustotal. тоже были срабатывания но меньше.

https://www.virustotal.com/en/file/e8d6371afdfdf273a4f49cdf79158172f95adf6371593f58a0bdb82265559bb2/analysis/1482309822/

обновлюсь - пришлю этот файл на анализ.

позиция highscreen ясна - "производителям антивирусов мы не верим. пришлите нам отчеты, иначе с места не сдвинемся"

все это печально конечно.

[Sergey Bespalov]

w2w, этот файл из новой прошивки я глянул, там убрали код отвечающий за слив звонков/sms. У тех антивирусов, скорее всего, ложное срабатывание.

[w2w]

ну и отлично! надеюсь не вернется обратно на круги своя к следующей прошивке.

я как раз сегодня отправлял файл на анализ в лабораторию drweb.