Перейти к содержимому


MegaDon

Дата рег: 04 Сен 2017
Оффлайн Был(а) онлайн: Окт 15 2019 18:46
-----

Темы пользователя

Возврат заражённого смартфона продавцу

06 Сентябрь 2017 - 12:30

Доброго времени суток.
 
То ли из-за того, что производитель схалтурил, отдав разработку прошивки на аутсорс недобросовестным разработчикам, то ли из-за того, что его ОТК проморгал (если оный вообще имел место) на смартфоне орудует "банда" злoврeдов https://forum.drweb.com/index.php?showtopic=328335 которые невозможно вывести или отключить, т.к. сидят они на системном разделе. Общение с саппортом производителя не внушает оптимизма, как сказал сотрудник  саппорта - "Подготовка чистой прошивки и обновления требуют много времени." Т.е. мне предлагают подождать неизвестно сколько (я интересовался насчёт сроков несколько раз - мне так и не ответили), пока они исправят свои косяки из-за которых я могу потерять деньги или данные, или что хуже - конфеденциальная информация может утечь в третьи руки.
 
Так вот, меня интересует вопрос - могу ли я вернуть "взад" продавцу смартфон с заразой и к чему мне  стоит аппеллировать при возврате ? В законе ОЗПП подобное к сожалению не рассматривается и я не соображу как подступиться этому вопросу. Сразу предупреждаю - 2 недели давно вышли, но гарантия пока есть. 
 
p.s. Раз уж пошла такая пьянка - правомочно ли производителю требовать за предоставление стоковой прошивки (для перепрошивки с ПК) отказа от гарантии ? Тем более на смартфоне c CPU производства MTK, которые прошивкой "убить" невозможно ? 

com.android.Pet.mediaproxy (Android.DownLoader.2623)

05 Сентябрь 2017 - 01:33

В системе обнаружился злoврeд, которого "подсадил" производитель. Он занимается загрузкой и фоновой установкой приложений, причём делает это на смартфоне, не привязанном к аккаунту Google. Всё усугубляется тем, что устройство нерутовано и нет возможности выпилить паразита (ввиду новизны девайса нет проверенных методов по рутованию). Путём изучения бэкапов, логов и т.д. был выявлен виновник - процесс com.android.Pet.mediaproxy, который виден лишь через список приложений выдаваемых командой pm list packages (в общем списке, включающем системные приложения, доступном через UI его нет), pm uninstall его удалить не даёт ссылаясь на недостаток прав (равно как и заморозить через pm disable). То, что именно этот процесс "гадит"  в системе показывает содержимое sqlite-базы приложения (извлечённой из adb-бекапа) в которой логировалась установка загружаемых приложений.
 
Помимо фоновой установки приложений злoврeд "нагадил" на внутренних накопителях, создав файлы
 

 

 

._android.dat

._driver.dat

._system.dat

.aio.dat
.lut
notify_fb_ad
 
Которые позволили сузить круг поиска и помогли хотя бы примерно определить злoврeда :
 
 
В логах logcat были обнаружены частые обращения злoврeда com.android.Pet.mediaproxy к приложению com.android.callerid.search.b, которое так же скрыто из общего списка и которое невозможно отключить/удалить (возможно они работают в связке).
 
В одном из xml-файлов, извлечённых из бэкапа обнаружилась "интересная" ссылка - http://sdk.asense.in/data/load.apk
 
 
Ну и под конец, при подробном разборе содержимого adb-бэкапа был обнаружен файл .o.dex с исполняемым кодом злoврeда, который на virustotal был детектирован доктором вебом как Android.DownLoader.2623, причём детект был только у Dr.Web (что таки внушает уважение), остальные продукты его проигнорировали.
 
Есть мысли как бороться с этой гадостью ? На ум пока приходит NoRoot Firewall, да полный сброс настроек,  хотя поможет ли последний - уверенности нет ибо паразит сидит в системе тут /system/priv-app/MediaService ("связать" MediaService с android.Pet.mediaproxy помог Google). 
 

Производитель посетовал, что на фикс прошивки может уйти немало времени, а мне банально страшно в "полную" силу юзать смарт т.к. в sqlite-базе этого злoврeда было обнаружено много полей с собираемой информацией частного характера (в частности данные по банк.картам). Благо эти поля были пока пустые т.к. я смартфон в интернете практически не использовал.

 

Кстати, если кого интересует, на смартфоне какого производителя сидит такое "чудо" - это Turbo X5 Max.

 

Самое интересное, что по запросу "com.android.Pet.mediaproxy" в гугле попадается схожая китайщина - Dooge X5 Max.

 

p.s. Кто блин догадался в антимат запихать исправление слова "злOвред" ("O" английская, для обхода стоит) на "вредоносное программное обеспечениеа" (орфография сохранена) ???