Jump to content

Ex0dus

Members
  • Content Count

    38
  • Joined

  • Last visited

About Ex0dus

  • Rank
    Candidate

Recent Profile Visitors

430 profile views
  1. пользователь с reddit нашел еще одно приложение с вирусом используя модифицированный Firefox: com.miui.player Xiaomi удивляет)
  2. смартфон без рута. S8+. после удаления Opera Mini - вирус себя не проявлял ни разу. Обновлял приложения, ставил новые - тишина. Еще раз спасибо Лаборатории Касперского. Я наверное соглашусь c malwarebytes - этот зловред - некая рекламная sdk (Batmobi SDK) или баннерная сеть у которой перехватили управление. поэтому такие разные приложения. а com.miui.home сюда попал потому что Xiaomi большие любители пихать рекламу в свои прошивки. поэтому эта часть кода и есть в Xiaomi.
  3. можно и так, но это будет БОЛЬШОЙ дамп. можете просто скопировать приложение с помощью Total Commander.
  4. выложите это приложение на файлообменник. пусть специалисты Лаборатории его проанилизируют.
  5. вы что-то напутали, или лог не записался, когда ссылка открылась. продолжайте наблюдение. попробуйте установить любое приложение из гугл плея. обычно на это вирус реагирует.
  6. причина на моем смартфоне найдена! спасибо Intent Catcher! он перехватил вызов! результат: com.opera.mini.native оказывается вирус находится в Opera Mini (ver 35.3.2)! удаляем! вот это да! выложил ее здесь со своего смартфона для вирусных аналитиков: https://yadi.sk/d/vttKGO83PANDiA
  7. ссылка на тему reddit есть в моем первом сообщении в этой теме. спасибо за сборку firefox - будем тестировать и ловить!
  8. Еще 1 просьба к Лаборатории. Проверьте эти приложения на возможные вредоносные скрипты. В них они есть с большой вероятностью. По ссылке размещены Videooder и Snaptube (c uptodown). В них скорее всего вирусы: https://yadi.sk/d/PYk7N6_eL2hKhw
  9. новости отлова вируса с форума reddit. некоторые смогли с помощью утилиты от Лаборатории Касперского выявить название приложения, которое генерирует ссылку. Это: st.veezie и com.Project100Pi.themusicplayer. Проблема в том, что я таких приложений никогда не ставил на смартфон. Очевидно, что вирус прячется в самых разных приложениях. скриншот вредоносной ссылки с моего смартфона: еще 1 жалоба на этот вирус. на итальянском форуме про Андроид: http://www.androidiani.com/forum/samsung-galaxy-s7-edge-g935f/555790-problema-apertura-automatica-di-pagine-durante-aggiornamenti-su-play-store.html
  10. Вирус снова начал проявлять себя. Вчера поставил по умолчанию браузер Firefox (чтобы проверить влияет ли это) - сегодня получил ссылку сразу после обновления Viber в Play Market. скриншот ссылки (на этот раз редирект на домен h5mone.com) прикладываю. ее перехватил антивирус от virustotal (молодец). сразу после этого я сделал бэкап приложений на смартфоне согласно инструкции от Лаборатории Касперского. (кстати adb драйвера ставятся не сразу и прописываются в path.) бэкап занял почти 30 мин. вот он (пароль infected) размер 5.5 гб! (6 частей, в данный момент идет закачка): https://yadi.sk/d/0kWjHB6xLle_wg
  11. Пока что вирус себя не проявляет. Или я его случайно удалил...
  12. Специалисты из malwarebytes предполагают, что приложения не знают, что в них интегрирован этот вирус. Возможно в них используется BatMobi Ad SDK. Который и провоцирует открытие ссылок. самая сложная задача - найти приложения в которых используется BatMobi Ad SDK. ссылка в тему: https://techcrunch.com/2018/12/07/google-warns-app-developers-of-three-malicious-sdks-being-used-for-ad-fraud/
  13. еще 1 пострадавший: http://4pda.ru/forum/index.php?showtopic=943330&st=0#entry82876126 Было бы неплохо, чтобы специалисты Лаборатории установили на тестовый смартфон эти приложения с вирусом - com.snaptube.premium (Snaptube), com.rahul.videoderbeta (Videoder Video Downloader) c сайта uptodown. В них с 99% вероятностью есть скрипт, который открывает эти ссылки. Поняв алгоритм его работы и места где он прописывается - мы сможем найти средство для лечения смартфонов, где этих приложений не установлено.
  14. Возможные виновники (только мои размышления): Memrise, Mxvideoplayer, Quickpic, Firefox (с ublock).... + я установил фаерволл (NoRoot) и смотрел за день все обращения в сети. вот скриншоты подозрительных запросов в сеть и подозрительных приложений установленных на смартфоне. https://yadi.sk/d/_c6mZTIBTSkuig подозрительные установленные приложения в системе (скопированы из смартфона): https://yadi.sk/d/hpEaC4ZewNEskg 1 нюанс с приложением. например я открываю ссылку из Телеграма.... (дефолтный браузере не назначен) и она СРАЗУ открывается в Firefox. Не понятно почему не выскакивает выбор браузера. в других случаях - выбор браузера появляется. Размышления по поводу вируса - запуск ссылок производится по графику в определенные дни/даты. у всех зараженных смартфонов. По информации с форума malwarebytes - вирус создает в папке download временные файлы - пытается скачать еще 1 троян. список сайтов на который редиректит вирус (с форума malware):
×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.