Jump to content

Umnik

KL Russia
  • Content Count

    11,346
  • Joined

  • Last visited

Everything posted by Umnik

  1. По инструкции выше увидите, что это за приложение показало рекламу. Если его установили вы сами, то обратитесь к автору приложения в Маркете.
  2. Мне так думается, что после того как разработчики приложений высказали своё негодование владельцам их рекламных модулей, проблема должна была уйти глобально. В смысле можно возвращать те приложения обратно.
  3. Выглядит так, что эти утилиты помогли уведомить авторов о том, что их рекламные модули ведут себя плохо, а авторы смогли наехать на владельцев модулей, дабы те перестали себя так вести. То есть обращение автора темы помогло решить проблему, которая существовала больше месяца. Я так вижу
  4. Коллеги, пожалуйста, напишите инструкцию, как выполнять скрипты. И сделайте захват видео с экрана. И всё это в шапку. Так будет удобнее.
  5. Можно и время, но это если будет всё это развиваться. Каждый ставит то, что ему удобно. Код Fx был дополнен ровно той же функциональностью, что я использовал в Intent Catcher, только я пишу на экране, а Антон пишет в лог.
  6. Ещё важный вопрос — рутовано ли устройство. Потому что есть опасение, что это поведение сродни поведению другого трояна, который модифицировал поведение системы таким образом, чтобы любое установленное приложение начинало делать то, чего не задумывалось в этом приложении вообще. То есть, теоретически, приложения, пойманные за попытку загрузить рекламу в браузере, могли быть просто жертвами инжекта в свой процесс и подмены их поведения. Но если устройство совершенно точно не рутовано (в т.ч. тайно, через уявзимость прошивки), то такой подмены быть не может.
  7. Кастомизацию Firefox тоже обновили. Теперь она пишет в лог не только имя пакета, но и адрес, к которому этот пакет пытался обратиться. Это поможет отличить нормальные обращения от подозрительных. Модераторы, в стартовый пост добавьте ссылки и описания наших утилит.
  8. Обновил Intent Catcher. Теперь он показывает не только пакет, но и URL. Если URL не удалось установить, то его не будет. Но если удалось, то нужно сравнить, реально ли это тот, который плохой.
  9. Да блин, неужели? Надо сделать улучшение Ловилки — добавить, какой именно урл открывает, чтобы быть уверенным.
  10. Это обычные push уведомления Chrome. https://support.google.com/chrome/answer/3220216?co=GENIE.Platform%3DAndroid&oco=1
  11. Коллега из антивирусных исследований собрал специальную сборку Firefox, которая логгирует историю действий https://box.kaspersky.com/f/71a8fb1d5f6346ed96da/?dl=1 Нужно вручную выдать этому приложению права на запись на карту памяти! Приложение будет вести лог в /sdcard/moz_url_log.txt. Можно сделать его браузером по умолчанию и попытаться отловить, кто пытается загрузить страницу.
  12. Я могу обновить приложение таким образом, чтобы: 1. Оно было дефолтным браузером 2. Оно пробрасывало все ссылки в ваш любимый браузер, если эти ссылки проходят по белым спискам 3. Оно не перехватывало нажатие на ссылки в самих браузерах Когда будет свободное время — сделаю.
  13. Ну вот. Сейчас фолсит только AegisLab. Два других производителя исправили свои ложные срабатывания.
  14. На самом деле не 8, а 3. Если посмотреть внимательно, то можно увидеть, что у пяти из них имя полностью одинаковое. Это, видимо, многодвижковые антивирусы и у них на всех есть один и тот же движок. Который, к слову, фолсил. Если залить этот же файл прямо сейчас и пересканировать, то останется ровно три детекта: AegisLab, Cyren, McAfee-GW-Edition. Подождите ещё немного и эти ребята тоже отзовут свои ЛОЖНЫЕ срабатывания. Или наоборот, другие паразиты присосутся к их ошибочному срабатыванию и добавят свою копию. Теперь давайте посмотрим на цифровую подпись. Она имеет отпечаток 7B6DC7079C34739CE81159719FB5EB61D2A03225, который принадлежит Xiaomi. Они, конечно, ребята с подозрениями, но в распространении троянов и показе рекламы в браузере пока не замечены.
  15. А как он его засёк? Можно скриншоты?
  16. Ладно, я ничего не понимаю. Давай сначала. Как ты понял, что у тебя установлен какой-то вредонос?
  17. Возможно. И ещё. Вирусные аналитики просят дополнительно собрать инфу по приложениям, установленным у тебя. Это имеет смысл, если рекламщик снова себя проявит. То есть как только сработает рекламщик, то нужно будет вытянуть все установленные приложения. Сделать это можно вот так: https://support.kaspersky.ru/common/diagnostics/14691 Далее выложить архив, дать мне ссылку на скачивание, а я передам парням. Если ещё Интент Катчер поймает имя пакета, то это вообще идеально было бы.
  18. Узнать имя пакета этого приложения для начала. Тебе нужен APK Grabber. Но только тогда, когда приложение установлено.
  19. Проблема в том, что нельзя что-то говорить исключительно по имени пакета. Я сейчас за 3 секунды сделаю настоящий антирус от Лаборатории, совершенно честный и полноценный (потому что я тестирую движок и тесты как раз и делаются через оборачивания движка своим кодом), и который будет называться именно так. Плюс вредоносное поведение могло быть в честных приложениях, но которые кто-то пропатчил. Потому нужно найти настоящее приложение, вытянуть его с устройства и именно его препарировать. Найти тот код, который это творит и сделать детект именно этого кода. Ну, обращение к амазону — это вообще в порядке вещей для современного ПО. Мы сами к Амазону обращаемся. Это крупнейший в мире держатель серверов. По приложениям. 1. Если это оригинальный Firefox из Маркета, то проблем не будет никаких. У меня самого Fx из Маркета. 2. У меня самого Mx Player Pro (из Маркета) и он точно чистый. 3. По-быстрому в Мемрайз и в Квик Пик не нашёл ничего подозрительного. Но я не вирусный аналитик, надо понимать. Откуда подозрения на эти приложения? По отзывам в Маркете за ними никто не замечал ничего плохого, кроме как проблем с подпиской. Да и Квик Пик сто лет не обновлялся, а я им сам пользовался и он ничего не делал такого. Откуда подозрения на приложения то? Не проверял на ТГ. Ну, пока это не важно. Нужно сначала проверить, сможет ли приложение увидеть имя пакета инициатора тех ссылок, что в первом посте. Или же покажет на себя самого (com.kaspersky.intentcatcher).
  20. Да, ещё важно. До тех пор, пока вредонос себя не проявит, НЕЛЬЗЯ назначать ни один браузер по умолчанию. Нужно будет реально каждый раз тыкать "Только сейчас". Это бесит. Но пока так. Я исправлю это, если прототип окажется полезным.
  21. Так, раз это браузер по умолчанию, а не какой-то конкретный, то это неявный интент. А значит нужно отключить дефолт на браузере. Я накидал на коленке прототип приложения, которое объявит себя браузером и будет ловить все ссылки http(s). Вам нужно сделать так: 1. Установить приложение и запустить его один раз: https://box.kaspersky.com/f/d6d321abadd34f24badb/ 2. Открывать через него ПОДОЗРИТЕЛЬНЫЕ запросы системы на открытие урла. То есть если поднялся запрос сам по себе, а не по вашему действию, то открыть через это приложение Демка: https://box.kaspersky.com/f/ca86500e9654426385f0/ Это прототип, он неудобный. Он реагирует на вообще все http(s) и будет бесить. Но если проблема воспроизводится достаточно быстро, то хорошо. Задача прототипа всё же лишь в том, чтобы убедиться, что таким образом можно поймать пакет того, кто это делает. Если вдруг такой способ сработает, то я сделаю полноценную утилиту для всех.
  22. А, ну так всё правильно тогда. Мы же не УДАЛЯЕМ, а ОТКЛЮЧАЕМ. Потому что мы не можем удалить то, что в защищённых областях хранилища. Это можно только с рутом сделать, либо имея на устройстве приложение, подписанное той же подписью, что и сама прошивка. Если мы смогли удалить приложение, то оно было не в защищённой области.
×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.