Перейти к содержимому


Фото

Вирус в прошивке?

Неизвестные источники

  • Please log in to reply
3 ответов в этой теме

#1 herrgutt

herrgutt

    Newbie

  • Members
  • 1 Сообщений:

Отправлено 26 Ноябрь 2017 - 02:21

Привет,
Раньше не имел дело с андроидами, помогите решить проблему.
Планшет pixus hipower "украинский китаец" андроид 6.0
Через недели две работы то ли вирус хапанул, то ли он был в прошивке и активизировался.
Начали всплывать рекламные банеры на весь экран с просьбой подтвердить что я не робот и отключался wifi, установил пробный dr.web и обнаружил зараженный com.android.keyguard.systemsss (not a virus adware.salamonads.1.origin рекламная программа) и com.sis.browser (android.remotecode71 и ...55) и удалил угрозы, так же dr.web сообщил,что в настройках включено разрешение на установку из неизвестных источников, я исправил(запретил)
Реклама пропала,все нормально было, через какое-то время(12часов) dr.web сообщает о новой находке( тот же adware и опять разрешение на установку из неизвестных источников включено.
Начал изучать что за приложения у меня появились, которые я не устанавливал и их не было изначально, удалял, но с каждым "самопроизвольным" разрешением установки из н/и они появлялись по новой.
Включил брандмауэр dr.weba и стал ждать следующей попытки загрузки мне всякого шлака из н/и. Дождался.
Сам по себе открылся chrome на какой-то "левой" странице, закрыл, зашёл в настройки, там опять уже включено разрешение на установку из неизвестных источников, отключил, зашёл в брандмауэр веба и начал изучать активность на данный промежуток времени.
Вроде нашёл где эта тварь личинку отложила, вот скрин, интерфейс системы закачивает из хз какого сайта хз какие-то ....apk?
Так же обратил внимание, что активность "интерфейса системы" активна только когда устройство "само" включает разрешение на установку из н/и (раз-два в сутки)
Помогите, у меня уже голова квадратная...Прикрепленный файл  Screenshot_20171126-000645.png   140,78К   1 Скачано раз

#2 Lvenok

Lvenok

    Massive Poster

  • Beta Testers
  • 2 644 Сообщений:

Отправлено 26 Ноябрь 2017 - 12:47

А вы полную проверку делали?

#3 Edward Moskalchuk

Edward Moskalchuk

    Member

  • Virus Analysts
  • 162 Сообщений:

Отправлено 28 Ноябрь 2017 - 12:39

herrgutt, запустите пожалуйста полную проверку и пришлите скриншот с результатами.

 

Китайцы любят внедрять троянский код в приложение "Интерфейс системы". Заблокируйте ему доступ в сеть с помощью брандмауэра. Полностью от него избавиться можно только установив чистую прошивку. Можно попробовать обратиться к производителю устройства - скорее всего, украинская компания, выпускающая этот планшет, не в курсе, что там китайцы подсунули в прошивке.



#4 Robiks

Robiks

    Newbie

  • Posters
  • 53 Сообщений:

Отправлено 26 Апрель 2018 - 21:58

Скорее всего, это Android.DownLoader.3489. (Знаю, что некропост.)

Сообщение было изменено Robiks: 26 Апрель 2018 - 22:01



Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых