Что за фигня лезет в приложения?
Периодически, где-то раз в 2 недели, обнаруживаю в приложениях на смарте эту фигню, которая самоустанавливается:
Ещё и внаглую включается установка сторонних приложений в настройках.
Сразу сношу. Кто-нить знает что за фигня? В гугеле не могу найти. В гугельплее её нет. У кого-нить тоже лезет? Подозреваю самодеятельность браузера.
Такими нехитрыми методами заработка чаще всего страдают программы от наших китайских братьев -- особенно всякие "продвинутые" замены google play (market). Можно для начала прогнать систему вот этим -- https://play.google.com/store/apps/details?id=org.malwareb...
но с большой вероятностью придется самому перебирать всё установленное (в первую очередь в виде апк, скачанных из инета), блокировать подозрительным разрешения на доступ к сети и тд и тп.
Причем гарантии, что виновник не сидит где-нибудь среди системных приложений, по большому счету нет никакой. У меня, скажем, на китайском изделии THL T7 был изначально установлен инфицированный Settings.apk, пришлось перепрошиваться на новую прошивку...
Прогнал этим мальварбайтом. Он у меня тоже этот Settings.apk отловил, однако удалить не смог, поскольку он заложен в систему.
Спасибо за советы!
1. У меня в Settings.apk сидела другая гадость (Android/PUP.Riskware.Batmob.z), но она была достаточно мирной -- самая oбычная реклама, которую убивал простой AdAway.
2. В принципе, при наличии рута заменить инфицированный системный файл "чистым" можно прямым копированием поверх (надо только предварительно перемонтировать системный диск в режим чтения-записи), но для этого, как минимум, нужно этот самый "чистый" файл иметь... я переписывал свой несколькими версиями Settings.apk, но ни один из них с моей старой прошивкой так и не запустился. После 2-3 неудачных попыток я решил, что проще всего скачать с сайта ТХЛ новую прошивку (~600МБ), где эту заразу уже вычистили, флештул и перепрошиться.
3. Кстати, можно попробовать зайти на 4пда в профильную тему по вашему телефону, м.б. там уже придумали менее радикальный метод,
чем полная перепрошивка, для борьбы с этой заразой
а почему у вас вкл. функция разрешаюшая установку сторонних Апп. её нужно выкл.
если у ТС написано "включается", то несложно сделать вывод, что она была выкл., но вкл. самостоятельно.
самостоятельно включится или выключится она не может.
Так же, как не может в нормальной ОС самостоятельно инсталлироваться приложение... но к "самоинсталляции" у вас почему-то претензий нет, а к "самопереключению" тумблера -- есть. Забавно.
Рутировать аппарат пока не хочу, говорят, это чревато. Да и необходимости особой нет. Равно как в перепрошивке. Изначально-то всё нормально! А потом, как поставишь и снесёшь сотни полторы всякого хлама, есссно перекосы могут быть какие угодно.
Рутировать аппарат пока не хочу, говорят, это чревато.
Чем? у меня и рут, и рековери (twrp), и xposed -- все чисто, никакой рекламы и/или вирусов, батарея садится в стандартном темпе, как и до всех этих телодвижений. А если вдруг понадобится (скажем, отослать телефон на гарантийный ремонт ), снести рут и восстановить исходнозаводское состояние -- дело 10 минут.
Да и необходимости особой нет. Равно как в перепрошивке. Изначально-то всё нормально!
A найденное в Settings.apk чудо? оно ведь стоит в системе "изначально"... или сперва оно ничем вредным себя не проявляет?
А потом, как поставишь и снесёшь сотни полторы всякого хлама, есссно перекосы могут быть какие угодно.
Для этого мне отчасти и нужны права рута, с ними всегда можно пройтись по списку свежеустановленных программ и (при малейшем подозрении с моей стороны) попросту заблокировать запрашиваемые ими при инсталляции "странные" и не очень разрешения.
Ну да... каждый решает сам, что и как делать со своим телефоном.
что смарт. заражен это однозначно, поэтому это и происходит. Wiederherstellung пока единственный действенный метод. Различные "присоски", это так себе. Антивирус у вас есть, или он был с похмелья в это время.
когда я задавал вопрос по поводу блокировки Одноклассников Нортоном, ваш ответ был, "Ещё Касперыча туда добавь.". будет необходимость да, поэтому у меня смарт. "не отвлекаются на посторонних".
Wiederherstellung пока единственный действенный метод.
Не факт. Это верно при одном условии: если вирус изначально не был включен в прошивку, a такое сейчас происходит с "китайцами" сплошь и рядом... Для этого может быть вполне достаточно сравнить даты создания/модификации и разрешения (644=rw-r--r--) соседних системных приложений и того самого Settings.apk с подозрением на Backdoor-virus. Если эти даты различны, то вирус оказался там не в результате прошивки, а позднее.
Да фигня эти все антивири на андрюхе. И тормоза лишние. Ну поставил веба, нашёл какую-то ерунду, удалил её, а фигня продолжает лезть. Снёс веба. Надо искать источник методом исключения, чем счас занимаюсь. Найду, сообщу. Подготовился к сбросу, сбрасывать буду так или иначе. Обновлять телефон время от времени нужно. Как и комп.
Не факт. Это верно при одном условии: если вирус изначально не был включен в прошивку, a такое сейчас происходит с "китайцами" сплошь и рядом.
во первых на кой это производителю, "навалить" в репутацию, было бы не логично. Уже год с " китайцем" все в полном окее. никаких вирусов и в помине нет.
во первых на кой это производителю, "навалить" в репутацию, было бы не логично. Уже год с " китайцем" все в полном окее. никаких вирусов и в помине нет.
Во-первых, производитель наверняка про вирус не знает, он просто вставляет в прошивку имеющиеся под рукой приложения, не протестировав их на вирусы (а может и протестировав, но их сигнатуры на момент выхода прошивок ещё не были включены в базы данных).
Во-вторых, у меня лично в прошивке вирус был (как оказалось, в THL-прошивке от 1.08.16 его уже вычистили, но к тому времени я уже пару месяцев пользовался телефоном). В последней же прошивке (22.09.16) все от того же THL опять появилась реклама (на этот раз народ методом перебора вышел уже на стоковый лончер).
Ну и в третьих, чтобы не думали, что эта болезнь характерна только для моего телефона и его производителя -- вот обсуждение на сайте drweb по абсолютно аналогичному поводу (бэкдор-троян в прошивке), где народ перечисляет разные модели телефонов с похожим вирусом
Мало того, что фигня подгружалась и тумблер сам включался, эта зараза мне ещё и вайфай отключала. Вроде показвает, сеть есть. Запускаешь браузер, подключения нет, и значок сети в трее исчезает. Несколько раз отключишь-подключишь вайфай вручную, тогда соединение появлялось. Грешил на роутер, но с ноутом такого не было. Посносил половину приложений, зараза всё равно сидит. Не стал больше терять время и скинул на заводские. Пока как часы.
Проверьте плиз (на всякий пожарный) сомнительный Settings.apk сразу же после прошивки все тем же Malwarebytes и дайте знать, хорошо?
Мне просто очень интересно (с точки зрения статистики), сидит ли этот backdoor в прошивке или все же эта гадость пришла со стороны и как-то умудрилась обойти все системные запреты и перезаписать этот файл. Ибо со столь агрессивным вариантом рекламы (насильственной инсталляцией сторонних приложений) лично мне сталкиваться ещё не доводилось.
Спасибо
[EDIT] Ну или ДокторВебом... чем угодно, лишь бы знал про этот тип вируса.