Deutsch

Что за фигня лезет в приложения?

502  1 2 все
serger коренной житель08.11.16 08:46
08.11.16 08:46 
Последний раз изменено 08.11.16 08:53 (serger)

Периодически, где-то раз в 2 недели, обнаруживаю в приложениях на смарте эту фигню, которая самоустанавливается:


Ещё и внаглую включается установка сторонних приложений в настройках.


Сразу сношу. Кто-нить знает что за фигня? В гугеле не могу найти. В гугельплее её нет. У кого-нить тоже лезет? Подозреваю самодеятельность браузера.

Нет "десятки" - нет проблем. ))
#1 
НуПогоди Забанен до 16/8/25 15:08 свой человек08.11.16 09:50
NEW 08.11.16 09:50 
в ответ serger 08.11.16 08:46

Такими нехитрыми методами заработка чаще всего страдают программы от наших китайских братьев -- особенно всякие "продвинутые" замены google play (market). Можно для начала прогнать систему вот этим -- https://play.google.com/store/apps/details?id=org.malwareb...

но с большой вероятностью придется самому перебирать всё установленное (в первую очередь в виде апк, скачанных из инета), блокировать подозрительным разрешения на доступ к сети и тд и тп.

Причем гарантии, что виновник не сидит где-нибудь среди системных приложений, по большому счету нет никакой. У меня, скажем, на китайском изделии THL T7 был изначально установлен инфицированный Settings.apk, пришлось перепрошиваться на новую прошивку...

В игноре: ... faraon2 dukus Ramses2 Пoльзoватель NextLive Hudertpro gve bombibom _ronin_ dimafogo u4itel95 Бродягa Kot_Basilio риана dresdner...
#2 
serger коренной житель08.11.16 12:46
NEW 08.11.16 12:46 
в ответ НуПогоди 08.11.16 09:50

Прогнал этим мальварбайтом. Он у меня тоже этот Settings.apk отловил, однако удалить не смог, поскольку он заложен в систему.


Поставил и прогнал dr.Webом. Он этого тоже отловил, но написал, что это не обязательно зловред, так как в системе. Поймал ещё одного, возможного виновника событий. Удалил, посмотрим дальше что и как будет.



Спасибо за советы!


Нет "десятки" - нет проблем. ))
#3 
НуПогоди Забанен до 16/8/25 15:08 свой человек08.11.16 13:23
NEW 08.11.16 13:23 
в ответ serger 08.11.16 12:46

1. У меня в Settings.apk сидела другая гадость (Android/PUP.Riskware.Batmob.z), но она была достаточно мирной -- самая oбычная реклама, которую убивал простой AdAway.

2. В принципе, при наличии рута заменить инфицированный системный файл "чистым" можно прямым копированием поверх (надо только предварительно перемонтировать системный диск в режим чтения-записи), но для этого, как минимум, нужно этот самый "чистый" файл иметь... я переписывал свой несколькими версиями Settings.apk, но ни один из них с моей старой прошивкой так и не запустился. После 2-3 неудачных попыток я решил, что проще всего скачать с сайта ТХЛ новую прошивку (~600МБ), где эту заразу уже вычистили, флештул и перепрошиться.

3. Кстати, можно попробовать зайти на 4пда в профильную тему по вашему телефону, м.б. там уже придумали менее радикальный метод, чем полная перепрошивка, для борьбы с этой заразой

В игноре: ... faraon2 dukus Ramses2 Пoльзoватель NextLive Hudertpro gve bombibom _ronin_ dimafogo u4itel95 Бродягa Kot_Basilio риана dresdner...
#4 
Sergei 3 местный житель08.11.16 16:19
Sergei 3
NEW 08.11.16 16:19 
в ответ serger 08.11.16 08:46

а почему у вас вкл. функция разрешаюшая установку сторонних Апп. её нужно выкл.

#5 
НуПогоди Забанен до 16/8/25 15:08 свой человек08.11.16 16:54
NEW 08.11.16 16:54 
в ответ Sergei 3 08.11.16 16:19, Последний раз изменено 08.11.16 16:55 (НуПогоди)
а почему у вас вкл. функция разрешаюшая установку сторонних Апп. её нужно выкл.

если у ТС написано "включается", то несложно сделать вывод, что она была выкл., но вкл. самостоятельно.

В игноре: ... faraon2 dukus Ramses2 Пoльзoватель NextLive Hudertpro gve bombibom _ronin_ dimafogo u4itel95 Бродягa Kot_Basilio риана dresdner...
#6 
Sergei 3 местный житель08.11.16 18:52
Sergei 3
NEW 08.11.16 18:52 
в ответ НуПогоди 08.11.16 16:54
что она была выкл., но вкл. самостоятельно.

судя по скрину она у него активирована, что позволяет лазить по сторонним "помойкам и собирать всякую хрень" типа этой. самостоятельно включится или выключится она не может.

#7 
НуПогоди Забанен до 16/8/25 15:08 свой человек08.11.16 19:34
NEW 08.11.16 19:34 
в ответ Sergei 3 08.11.16 18:52, Последний раз изменено 08.11.16 19:35 (НуПогоди)
самостоятельно включится или выключится она не может.

Так же, как не может в нормальной ОС самостоятельно инсталлироваться приложение... но к "самоинсталляции" у вас почему-то претензий нет, а к "самопереключению" тумблера -- есть. Забавно.

В игноре: ... faraon2 dukus Ramses2 Пoльзoватель NextLive Hudertpro gve bombibom _ronin_ dimafogo u4itel95 Бродягa Kot_Basilio риана dresdner...
#8 
Sergei 3 местный житель08.11.16 19:54
Sergei 3
NEW 08.11.16 19:54 
в ответ НуПогоди 08.11.16 19:34
но к "самоинсталляции" у вас почему-то претензий нет, а к "самопереключению" тумблера -- есть. Забавно.


сам он, включатся и выключатся, в нормалном режиме не может!! Что мешает проверит, попробуйте.

#9 
serger коренной житель09.11.16 00:02
NEW 09.11.16 00:02 
в ответ Sergei 3 08.11.16 19:54

Именно что САМ ВКЛЮЧАЕТСЯ. А я его каждый раз выключаю. А он опять сам включается. С интервалом в пару часов. Что его включает - буду искать методом исключений. В крайнем случае скину на заводские.

Нет "десятки" - нет проблем. ))
#10 
serger коренной житель09.11.16 00:12
NEW 09.11.16 00:12 
в ответ НуПогоди 08.11.16 13:23

Рутировать аппарат пока не хочу, говорят, это чревато. Да и необходимости особой нет. Равно как в перепрошивке. Изначально-то всё нормально! А потом, как поставишь и снесёшь сотни полторы всякого хлама, есссно перекосы могут быть какие угодно.

Нет "десятки" - нет проблем. ))
#11 
НуПогоди Забанен до 16/8/25 15:08 свой человек09.11.16 05:54
NEW 09.11.16 05:54 
в ответ serger 09.11.16 00:12
Рутировать аппарат пока не хочу, говорят, это чревато.

Чем? у меня и рут, и рековери (twrp), и xposed -- все чисто, никакой рекламы и/или вирусов, батарея садится в стандартном темпе, как и до всех этих телодвижений. А если вдруг понадобится (скажем, отослать телефон на гарантийный ремонт улыб), снести рут и восстановить исходнозаводское состояние -- дело 10 минут.

Да и необходимости особой нет. Равно как в перепрошивке. Изначально-то всё нормально!

A найденное в Settings.apk чудо? оно ведь стоит в системе "изначально"... или сперва оно ничем вредным себя не проявляет?

А потом, как поставишь и снесёшь сотни полторы всякого хлама, есссно перекосы могут быть какие угодно.

Для этого мне отчасти и нужны права рута, с ними всегда можно пройтись по списку свежеустановленных программ и (при малейшем подозрении с моей стороны) попросту заблокировать запрашиваемые ими при инсталляции "странные" и не очень разрешения.


Ну да... каждый решает сам, что и как делать со своим телефоном.

В игноре: ... faraon2 dukus Ramses2 Пoльзoватель NextLive Hudertpro gve bombibom _ronin_ dimafogo u4itel95 Бродягa Kot_Basilio риана dresdner...
#12 
Sergei 3 местный житель09.11.16 08:49
Sergei 3
NEW 09.11.16 08:49 
в ответ serger 09.11.16 00:02

что смарт. заражен это однозначно, поэтому это и происходит. Wiederherstellung пока единственный действенный метод. Различные "присоски", это так себе. Антивирус у вас есть, или он был с похмелья в это время.

когда я задавал вопрос по поводу блокировки Одноклассников Нортоном, ваш ответ был, "Ещё Касперыча туда добавь.". будет необходимость да, поэтому у меня смарт. "не отвлекаются на посторонних".

#13 
НуПогоди Забанен до 16/8/25 15:08 свой человек09.11.16 09:33
NEW 09.11.16 09:33 
в ответ Sergei 3 09.11.16 08:49
Wiederherstellung пока единственный действенный метод.

Не факт. Это верно при одном условии: если вирус изначально не был включен в прошивку, a такое сейчас происходит с "китайцами" сплошь и рядом... Для этого может быть вполне достаточно сравнить даты создания/модификации и разрешения (644=rw-r--r--) соседних системных приложений и того самого Settings.apk с подозрением на Backdoor-virus. Если эти даты различны, то вирус оказался там не в результате прошивки, а позднее.

В игноре: ... faraon2 dukus Ramses2 Пoльзoватель NextLive Hudertpro gve bombibom _ronin_ dimafogo u4itel95 Бродягa Kot_Basilio риана dresdner...
#14 
serger коренной житель09.11.16 09:52
NEW 09.11.16 09:52 
в ответ Sergei 3 09.11.16 08:49, Последний раз изменено 09.11.16 10:01 (serger)

Да фигня эти все антивири на андрюхе. И тормоза лишние. Ну поставил веба, нашёл какую-то ерунду, удалил её, а фигня продолжает лезть. Снёс веба. Надо искать источник методом исключения, чем счас занимаюсь. Найду, сообщу. Подготовился к сбросу, сбрасывать буду так или иначе. Обновлять телефон время от времени нужно. Как и комп.

Нет "десятки" - нет проблем. ))
#15 
Sergei 3 местный житель09.11.16 10:17
Sergei 3
NEW 09.11.16 10:17 
в ответ serger 09.11.16 09:52, Последний раз изменено 09.11.16 10:28 (Sergei 3)
Обновлять телефон время от времени нужно. Как и комп.

необходимо...

Да фигня эти все антивири на андрюхе. И тормоза лишние.

у меня ниче не тормозит. да и антивир трудяга, только радует.

#16 
Sergei 3 местный житель09.11.16 10:24
Sergei 3
NEW 09.11.16 10:24 
в ответ НуПогоди 09.11.16 09:33
Не факт. Это верно при одном условии: если вирус изначально не был включен в прошивку, a такое сейчас происходит с "китайцами" сплошь и рядом.

во первых на кой это производителю, "навалить" в репутацию, было бы не логично. Уже год с " китайцем" все в полном окее. никаких вирусов и в помине нет.

#17 
НуПогоди Забанен до 16/8/25 15:08 свой человек09.11.16 11:18
NEW 09.11.16 11:18 
в ответ Sergei 3 09.11.16 10:24, Последний раз изменено 09.11.16 11:50 (НуПогоди)
во первых на кой это производителю, "навалить" в репутацию, было бы не логично. Уже год с " китайцем" все в полном окее. никаких вирусов и в помине нет.

Во-первых, производитель наверняка про вирус не знает, он просто вставляет в прошивку имеющиеся под рукой приложения, не протестировав их на вирусы (а может и протестировав, но их сигнатуры на момент выхода прошивок ещё не были включены в базы данных).

Во-вторых, у меня лично в прошивке вирус был (как оказалось, в THL-прошивке от 1.08.16 его уже вычистили, но к тому времени я уже пару месяцев пользовался телефоном). В последней же прошивке (22.09.16) все от того же THL опять появилась реклама (на этот раз народ методом перебора вышел уже на стоковый лончер).

Ну и в третьих, чтобы не думали, что эта болезнь характерна только для моего телефона и его производителя -- вот обсуждение на сайте drweb по абсолютно аналогичному поводу (бэкдор-троян в прошивке), где народ перечисляет разные модели телефонов с похожим вирусом

В игноре: ... faraon2 dukus Ramses2 Пoльзoватель NextLive Hudertpro gve bombibom _ronin_ dimafogo u4itel95 Бродягa Kot_Basilio риана dresdner...
#18 
serger коренной житель10.11.16 08:35
NEW 10.11.16 08:35 
в ответ НуПогоди 09.11.16 11:18

Мало того, что фигня подгружалась и тумблер сам включался, эта зараза мне ещё и вайфай отключала. Вроде показвает, сеть есть. Запускаешь браузер, подключения нет, и значок сети в трее исчезает. Несколько раз отключишь-подключишь вайфай вручную, тогда соединение появлялось. Грешил на роутер, но с ноутом такого не было. Посносил половину приложений, зараза всё равно сидит. Не стал больше терять время и скинул на заводские. Пока как часы.

Нет "десятки" - нет проблем. ))
#19 
НуПогоди Забанен до 16/8/25 15:08 свой человек10.11.16 11:14
NEW 10.11.16 11:14 
в ответ serger 10.11.16 08:35, Последний раз изменено 10.11.16 11:20 (НуПогоди)

Проверьте плиз (на всякий пожарный) сомнительный Settings.apk сразу же после прошивки все тем же Malwarebytes и дайте знать, хорошо?

Мне просто очень интересно (с точки зрения статистики), сидит ли этот backdoor в прошивке или все же эта гадость пришла со стороны и как-то умудрилась обойти все системные запреты и перезаписать этот файл. Ибо со столь агрессивным вариантом рекламы (насильственной инсталляцией сторонних приложений) лично мне сталкиваться ещё не доводилось.

Спасибо

[EDIT] Ну или ДокторВебом... чем угодно, лишь бы знал про этот тип вируса.

В игноре: ... faraon2 dukus Ramses2 Пoльзoватель NextLive Hudertpro gve bombibom _ronin_ dimafogo u4itel95 Бродягa Kot_Basilio риана dresdner...
#20 
1 2 все