27 replies to this topic

[MegaDon]

К слову об итогах - для борьбы с фоновой загрузкой установкой приложений, засевшей в системе заразы был найден метод, который доказал свою эффективность - нужно в каталоге Android/data на внутреннем и внешнем накопители грохнуть папки com.android.callerid.search.b, com.sherlock.news, com.android.Pet.mediaproxy и com.android.systemui и создать одноимённые файлы - "заглушки", тогда это перекроет кислород вредоносное программное обеспечениеу и не даст загружать файлы и как следствие, устанавливать.

 

Этот метод не панацея, но зато позволяет не использовать дополнительный софт, хотя как по мне, отказываться от NoRoot Firewall было бы неразумно ибо у заразы остаются активными backdoor и чёрт ещё знает какие функции . Правда при использовании NoRoot Firewall уже не воспользуешься другим софтом использующим локальный vpn для редиректа траффика, но это уже другая история.

 

В целом, это всё уже не так важно, ибо производитель таки выкатил прошивку очищенную от заразы (специально проверил /system/app и /system/priv-app - чисто) и как руки дойдут я накачу её (софта очень много и переезд будет нудным и долгим).

[MegaDon]

Решил всё-таки снова написать т.к. судя по всему производитель так и не долечил тогда прошивку и зараза таки осталась, ибо другие пользователи данной модели жалуются на самоустанавливающиеся приложения даже после обновления прошивки и последующего сброса. На ранее используемом смартфоне я проблем с вирусами тогда больше не наблюдал (как и не наблюдает нынешний владелец) т.к. вероятно во время мозгового штурма и комплексной борьбы с заразой я ей перекрыл подступы к интернету или квозможности ставить приложения. Т.к. доступ к гаджету у меня крайне ограничен сделать полный сброс и проверить, осталась ли вирусная активность у меня нет. Посему я решил спросить, могут ли местные специалисты провести аудит прошивки (поверхностный скан ничего не даёт к слову) на предмет заразы, если я предоставлю img контейнеры прошивки переведённые из SPARSE в RAW - формат (можно открыть 7-zip'ом под win или смонтировать под никсами) ?

[Sergey Bespalov]

MegaDon, можно посмотреть. Можно исходный файл прошивки.

[MegaDon]

Тут https://yadi.sk/d/K19oe0YKWJ-vrA прошивка "пролеченная" производителем после первого обращения. Тут  https://yadi.sk/d/-dRTrdZ6rtQGrw тоже самое, но в формате OTA-обновления, распространяется как официальное обновление.

 

Тут https://yadi.sk/d/zK92mp97AjhH-A прошивка выданная в прошлом году после очередного обнаружения заразы по пути /system/bin/fotabinder. Официально там удалён лишь он. Что там на деле ещё могли накуролесить, я хз.

Edited by MegaDon, 09 October 2019 - 05:24.

[Sergey Bespalov]

MegaDon, посмотрел эту: https://yadi.sk/d/K19oe0YKWJ-vrA

/system/app/AdupsFota - Android.DownLoader.4687

/system/app/com.tripics.lite - Android.RemoteCode.248.origin

/system/bin/fotabinder - Android.DownLoader.3784.origin

/system/framework/arm/boot.oat - Android.Click.326.origin

/system/priv-app/CleanProcessTool_new - Android.DownLoader.927.origin

/systen/priv-app/Settings - Android.Click.783

/system/vendor/operator/app/ru.appspress.showcase - Adware.Appspress.1.origin

 

Насчет:

/system/framework/arm/boot.oat

/systen/priv-app/Settings -

там троянец, при переходе по ссылке ведущей в Play Market может подменять адрес приложения. Тоесть при переходе по ссылкке открывается страница не того приложения которое должно (в Play Market). Это не удалить, так как без этих файлов система работать не будет.

[MegaDon]

Sergey Bespalov, благодарю. Значит таки зараза осталась, просто мне удалось ей перекрыть кислород (доступ в сеть через AfWall по белому списку, блоки hosts, заморозка/удаление подозрительного софта и т.д.). Для менее опытных пользователей воспроизвести всё это будет крайне проблематично, так что буду снова писать телегу производителю и сошлюсь на данную информацию.

[Mimimishka]

У истории есть итог? Давно валяется этот смартфон, переодически ищу нормальную прошивку но все безрезультатно, хотелось бы узнать получилось ли получить нормальную прошивку без заразы?

[Mimimishka]

Sergey Bespalov, благодарю. Значит таки зараза осталась, просто мне удалось ей перекрыть кислород (доступ в сеть через AfWall по белому списку, блоки hosts, заморозка/удаление подозрительного софта и т.д.). Для менее опытных пользователей воспроизвести всё это будет крайне проблематично, так что буду снова писать телегу производителю и сошлюсь на данную информацию.

У истории есть итог? Давно валяется этот смартфон, переодически ищу нормальную прошивку но все безрезультатно, хотелось бы узнать получилось ли получить нормальную прошивку без заразы?