В системе обнаружился злoврeд, которого "подсадил" производитель. Он занимается загрузкой и фоновой установкой приложений, причём делает это на смартфоне, не привязанном к аккаунту Google. Всё усугубляется тем, что устройство нерутовано и нет возможности выпилить паразита (ввиду новизны девайса нет проверенных методов по рутованию). Путём изучения бэкапов, логов и т.д. был выявлен виновник - процесс com.android.Pet.mediaproxy, который виден лишь через список приложений выдаваемых командой pm list packages (в общем списке, включающем системные приложения, доступном через UI его нет), pm uninstall его удалить не даёт ссылаясь на недостаток прав (равно как и заморозить через pm disable). То, что именно этот процесс "гадит" в системе показывает содержимое sqlite-базы приложения (извлечённой из adb-бекапа) в которой логировалась установка загружаемых приложений.
Помимо фоновой установки приложений злoврeд "нагадил" на внутренних накопителях, создав файлы
._android.dat
._driver.dat
._system.dat
.aio.dat
.lut
notify_fb_ad
Которые позволили сузить круг поиска и помогли хотя бы примерно определить злoврeда :
В логах logcat были обнаружены частые обращения злoврeда com.android.Pet.mediaproxy к приложению com.android.callerid.search.b, которое так же скрыто из общего списка и которое невозможно отключить/удалить (возможно они работают в связке).
Ну и под конец, при подробном разборе содержимого adb-бэкапа был обнаружен файл .o.dex с исполняемым кодом злoврeда, который на virustotal был детектирован доктором вебом как Android.DownLoader.2623, причём детект был только у Dr.Web (что таки внушает уважение), остальные продукты его проигнорировали.
Есть мысли как бороться с этой гадостью ? На ум пока приходит NoRoot Firewall, да полный сброс настроек, хотя поможет ли последний - уверенности нет ибо паразит сидит в системе тут /system/priv-app/MediaService ("связать" MediaService с android.Pet.mediaproxy помог Google).
Производитель посетовал, что на фикс прошивки может уйти немало времени, а мне банально страшно в "полную" силу юзать смарт т.к. в sqlite-базе этого злoврeда было обнаружено много полей с собираемой информацией частного характера (в частности данные по банк.картам). Благо эти поля были пока пустые т.к. я смартфон в интернете практически не использовал.
Кстати, если кого интересует, на смартфоне какого производителя сидит такое "чудо" - это Turbo X5 Max.
Самое интересное, что по запросу "com.android.Pet.mediaproxy" в гугле попадается схожая китайщина - Dooge X5 Max.
p.s. Кто блин догадался в антимат запихать исправление слова "злOвред" ("O" английская, для обхода стоит) на "вредоносное программное обеспечениеа" (орфография сохранена) ???
Сообщение было изменено MegaDon: 05 Сентябрь 2017 - 01:35