Jump to content
  • Announcements

    • Rodion Nagornov

      Долгое сохранение сообщений || Delays while posting   09/20/2017

      По техническим причинам возможно визуально долгое отправление сообщений на форуме. Фактически ваше сообщение публикуется мгновенно - долго отрабатывает графика. В случае подобной ситуации, пожалуйста, сначала обновите страницу (F5) и проверьте, появилось ли ваше сообщение. Не пытайтесь сразу отправить его заново.  || Due to some technical reasons visual delays are possible while message sending. Actually your message is published immediately - just interface works long. In such case, please, do not re-send your message immediately! Press F5 to reload the page and check if your message/topic is published.

Recommended Posts

В систему пролез, либо сидел там изначально зловред (наиболее вероятно второе), который занимается загрузкой и фоновой установкой приложений, причём делает это на смартфоне, не привязанном к аккаунту Google. Всё усугубляется тем, что устройство нерутовано и нет возможности выпилить паразита (ввиду новизны девайса нет проверенных методов по рутованию). Путём изучения бэкапов, логов и т.д. был выявлен виновник - процесс com.android.Pet.mediaproxy, который виден лишь через список приложений выдаваемых командой pm list packages (в общем списке, включающем системные приложения, доступном через UI его нет), pm uninstall его удалить не даёт ссылаясь на недостаток прав (равно как и заморозить через pm disable). То, что именно этот процесс "гадит"  в системе показывает содержимое sqlite-базы приложения (извлечённой из adb-бекапа) в которой логировалась установка загружаемых приложений.

Помимо фоновой установки приложений зловред "нагадил" на внутренних накопителях, создав файлы

._android.dat
._driver.dat
._system.dat
.aio.dat
.lut
notify_fb_ad

Которые позволили определить зловреда

https://vms.drweb.ru/virus/?i=15048785

https://vms.drweb.ru/virus/?i=15294385

http://vms.drweb.ru/virus/?i=15311330

В логах logcat были обнаружены частые обращения зловреда com.android.Pet.mediaproxy к приложению com.android.callerid.search.b, которое так же скрыто из общего списка и которое невозможно отключить/удалить (возможно они работают в связке).

В одном из xml-файлов, извлечённых из бэкапа обнаружилась "интересная" ссылка - http://sdk.asense.in/data/load.apk

 

KIS ожидаемо ничего не нашёл ибо проверял лишь third-party пакеты :(

Есть мысли как бороться с этой гадостью ? На ум пока приходит NoRoot Firewall, да полный сброс настроек,  хотя поможет ли последний - уверенности нет ибо паразит сидит в системе тут /system/priv-app/MediaService ("связать" MediaService с android.Pet.mediaproxy помог Google). Возможно помогла бы перепрошивка, только с последней напряжёнка - продавец для предоставления прошивки требует отказаться от гарантии.

Edited by King Arthur

Share this post


Link to post
Share on other sites
Umnik   
adb shell pm path com.android.Pet.mediaproxy

Эта команда вернёт тебе путь к пакету. Берёшь этот путь и забираешь файл:

adb pull здесь_путь_от_команды_выше D:\dir\

Эта команда вытянет APK файл. Пришли мне его.

Share this post


Link to post
Share on other sites

Umnik, бэкап из которого были вытащены данные приложения делался с ключём "-apk" и внутри не было apk-файла. Там был только dex в котором, как я понимаю и хранятся потроха зловреда. Могу его прислать. Я конечно перепроверю pm path, но сомневаюсь, что это что-то даст.

Этой заразой явно снабдил производитель т.к. все каталоги в папке /system/priv-app имеют одну дату модификации. Я ему уже повторно по этому поводу написал, пока они там "выясняют", что к чему.

Кстати, если кого интересует, на смартфоне какого производителя сидит такое "чудо" - это Turbo X5 Max.

Самое интересное, что по запросу "com.android.Pet.mediaproxy" в гугле попадается схожая китайщина - Dooge X5 Max.

Edited by King Arthur

Share this post


Link to post
Share on other sites

Прогнал через virustotal тот dex-файл, и как ни странно, вирус обнаружился Dr.Web'ом - Android.DownLoader.2623, а остальные его проигнорировали. В принципе оно и не удивительно, учитывая что схожие зловреды были у них в базе.

Share this post


Link to post
Share on other sites

Таки apk-ки имели место :)

Цитата

$ pm path com.android.callerid.search.b

package:/system/priv-app/CallerIdSearch/CallerIdSearch.apk
$ pm path com.android.Pet.mediaproxy
package:/system/priv-app/MediaService/MediaService.apk
$ pm path com.sherlock.news
package:/system/app/com.sherlock.news/com.sherlock.news.apk

Главный вредитель - MediaService - virustotal его "напарник" CallerIdSearch virustotal и неясная хрень, которую я заметил ещё когда смартфон попал ко мне в руки в первый раз - com.sherlock.news - virustotal (в папке Android/data/com.sherlock.news/*/Down были обнаружены непонятные apk-ки).

Почему CallerIdSearch "напарник" спросите вы ? Всё просто - мало того, что в логах logcat они с com.android.Pet.mediaproxy шли "рука об руку", так в сетевом дампе обнаружилась куча запросов в сторону сайтов *.pubnative.net с хедером "X-Requested-With: com.android.callerid.search.b" и в частности этот

 

который, как я понимаю содержит список загружаемых приложений ...

Ах да, вот 3 этих паразита

Edited by Rodion Nagornov
ссылки на вредоносы удалены

Share this post


Link to post
Share on other sites
Umnik   
Quote

com.sherlock.news.apk - not-a-virus:HEUR:RiskTool.AndroidOS.Dnotua.joh

MediaService.apk      - HEUR:Trojan-Dropper.AndroidOS.Agent.ii

CallerIdSearch.apk    - not-a-virus:HEUR:AdWare.AndroidOS.Dnotua.icn

Обновление в базах скоро приплывёт.

Share this post


Link to post
Share on other sites

Umnik, думаю это тоже будет не лишним 

Правда я сомневаюсь, что это хоть как-то мне поможет ибо зараза сидит в системе ( /system/priv-app и /system/app) и без рута не выпиливается ...

Насчёт детекта у меня тоже сомнения - разве KIS проверяет системные приложения ? Мне казалось, что он проверяет только third-party пакеты

Edited by Rodion Nagornov
удалил ссылки на вредоносы

Share this post


Link to post
Share on other sites

А десктопная версия разве не должна детектить мобильную заразу ? Помнится KIS вовсю агрился на полотенчеГ towel root, а тут из всей заразы в app и priv-app задетектил только шерлока и callerid, да и то как легальное ПО (оба).

Share this post


Link to post
Share on other sites

Артур, KIS для Windows в отличие от KIS для Android должен определять угрозы для других платформ.

В программе KIS для Windows включено определение других угроз (Настройки/Дополнительно/Угрозы и исключения)? Нет, то включите и повторите проверку файлов.

Share this post


Link to post
Share on other sites
Umnik   
On 9/7/2017 at 4:16 AM, King Arthur said:

Правда я сомневаюсь, что это хоть как-то мне поможет ибо зараза сидит в системе ( /system/priv-app и /system/app) и без рута не выпиливается

@echo off
REM version 0.0.7

REM Use :: or REM for comment strings
::set packname=com.google.process.gapps
::set packname=com.drweb.pro
set packname=ЗДЕСЬ_ИМЯ_ПАКЕТА_ВРЕДОНОСНОГО_ПО

REM Set path to %Android_SDK%\platform-tools\adb.exe
::set adb="%LOCALAPPDATA%\Android\sdk\platform-tools\adb.exe"
set adb=adb

echo Wait for device
%adb% wait-for-device

%adb% shell am force-stop %packname%
timeout 2
%adb% shell pm clear %packname%
timeout 2
%adb% shell pm disable %packname%
timeout 2

REM Remove comment (::) from line below if "disable" command returns permission denied
::%adb% shell pm hide %packname%

Мой старый скрипт, которым я выносил тестовые малвари. К сожалению, мне было лень тогда писать перебор элементов списка, потому переменная packname может быть только одна. Остальные должны быть закомментированы (REM или ::). То есть перед каждым запуском этого батника нужно вносить руками имя очередного пакета, который нужно попытаться заблокировать.

On 9/7/2017 at 4:16 AM, King Arthur said:

Насчёт детекта у меня тоже сомнения - разве KIS проверяет системные приложения ?

Ну, я настаивал, чтобы проверял.

8 hours ago, King Arthur said:

А десктопная версия разве не должна детектить мобильную заразу ?

Должна. У меня детектирует, сейчас проверил. Про ODEXы вопрос спорный. Я написал аналитику, нужно ли их добавлять. Если он скажет, что да, отпишу уже другим, чтобы добавили.

Share this post


Link to post
Share on other sites
Цитата

Мой старый скрипт, которым я выносил тестовые малвари. К сожалению, мне было лень тогда писать перебор элементов списка, потому переменная packname может быть только одна. Остальные должны быть закомментированы (REM или ::).

На их выпил нет прав, pm disable получает отлуп т.к. приложения дефакто системные, так что это как мёртвому припарка.

Цитата

То есть перед каждым запуском этого батника нужно вносить руками имя очередного пакета, который нужно попытаться заблокировать.

Можно загнать это дело в for + чтение файл списка :)

Цитата

Ну, я настаивал, чтобы проверял.

А, ну значит я проглядел данную настройку. На будущее, где она ? KIS пока снёс.

Цитата

Должна. У меня детектирует, сейчас проверил.

ОК, перепроверю и посмотрю, включена ли указанная MASolomko настройка. Для справки - юзаю 15-й KIS.

Цитата

Про ODEXы вопрос спорный. Я написал аналитику, нужно ли их добавлять.

Спецы из "соседней" конторы (dr.web) именно odex'ы просили для анализа. Кстати прогон вебом дал следующие результаты

CallerIdSearch.apk - infected with Android.Mobifun.15
MediaService.apk - infected with Android.DownLoader.561.origin 
Settings.apk - infected with Android.BackDoor.319 
SystemUI.apk - infected with Android.DownLoader.515.origin

Пути до файлов выпилил т.к. движок сайта длинные строки корёжит. Лежат файлы в /system/app и /system/priv-app.

Зараза обнаружилась ещё в SystemUI и Settings. "Замечательный" девайс, просто нет слов.

Edited by King Arthur

Share this post


Link to post
Share on other sites

MASolomko, касательно детекта в десктопном KIS

Спойлер

SNAGIT_2017_09_09_20h20m38s_0000.jpg.caee28cbfadd5092445c9e0568fcc15a.jpg

указанная вами настройка была изначально включена, но детект тогда был лишь на  шерлока и callerid, да и то как легальное ПО.

Касательно мобильной версии KIS всё ещё хуже. Я так и не смог там обнаружить скан системных приложений и натравил его на папки /system/app и /system/priv-app в режиме выборочного скана он обнаружил лишь CallerID (в отчётах повторяется т.к. запускал проверку дважды)

Спойлер

Screenshot_20170909-185244.thumb.png.9701d5170037928c38252eb3259e9508.pngScreenshot_20170909-185559.thumb.png.455d687cc864e270f097326bffbe7898.png

Dr.Web при выборочной проверке /system/app и /system/priv-app задетектил тоже самое, что и десктопная версия

Спойлер

Screenshot_20170909-182606.thumb.png.423ff64648724b3f669fc3411e62fb60.pngScreenshot_20170909-182615.thumb.png.3fee8f7daed2b2a86d14534b3277ad3f.png

 

Edited by King Arthur

Share this post


Link to post
Share on other sites
2 часа назад, King Arthur сказал:

Я так и не смог там обнаружить скан системных приложений

При запуске задачи "Полная проверка" произойдёт проверка системных приложений, приложений пользователя и дистрибутивов, которые хранятся на накопителе.

2 часа назад, King Arthur сказал:

натравил его на папки /system/app и /system/priv-app в режиме выборочного скана он обнаружил лишь CallerID

А интернет во время проверки был доступен? Имею в виду вердикты, полученные по облаку.

Share this post


Link to post
Share on other sites

При запуске задачи "Полная проверка" произойдёт проверка системных приложений, приложений пользователя и дистрибутивов, которые хранятся на накопителе.

Ясно. Так или иначе, она бы дала тот же самый эффект.

интернет во время проверки был доступен? Имею в виду вердикты, полученные по облаку.

Да. Для справки - я проводил скан free-версией KIS.

Share this post


Link to post
Share on other sites
Umnik   
On 9/8/2017 at 5:37 PM, King Arthur said:

На их выпил нет прав, pm disable получает отлуп т.к. приложения дефакто системные, так что это как мёртвому припарка.

А hide? Раскомментировать последнюю строку

On 9/8/2017 at 5:37 PM, King Arthur said:

Можно загнать это дело в for + чтение файл списка :)

У меня этот скрипт давно переписан на Python. Итерирование по вложенным спискам в batch — это боль :)  Я этот батник держу просто чтобы его дать кому-нибудь при необходимости.

On 9/9/2017 at 4:05 PM, King Arthur said:

Ясно. Так или иначе, она бы дала тот же самый эффект.

А если проверить просто папку с тушками?

Share this post


Link to post
Share on other sites
21 час назад, Umnik сказал:

А hide? Раскомментировать последнюю строку

Там та же самая петрушка, что и с pm disable - я же писал, приложения системные

Цитата

1|shell@Turbo_X5_Max:/ $ pm hide com.android.callerid.search.b
Error: java.lang.SecurityException: Neither user 2000 nor current process has android.permission.MANAGE_USERS.
1|shell@Turbo_X5_Max:/ $ pm hide com.android.Pet.mediaproxy
Error: java.lang.SecurityException: Neither user 2000 nor current process has android.permission.MANAGE_USERS.
1|shell@Turbo_X5_Max:/ $ pm disable com.android.callerid.search.b
Error: java.lang.SecurityException: Permission Denial: attempt to change component state from pid=9561, uid=2000, package uid=10003
1|shell@Turbo_X5_Max:/ $ pm disable com.android.Pet.mediaproxy
Error: java.lang.SecurityException: Permission Denial: attempt to change component state from pid=9622, uid=2000, package uid=10018
1|shell@Turbo_X5_Max:/ $ pm hide com.sherlock.news
Error: java.lang.SecurityException: Neither user 2000 nor current process has android.permission.MANAGE_USERS.
1|shell@Turbo_X5_Max:/ $ pm disable com.sherlock.news
Error: java.lang.SecurityException: Permission Denial: attempt to change component state from pid=9688, uid=2000, package uid=10075
1|shell@Turbo_X5_Max:/ $

А Settings и SystemUI я даже пытаться не стал отключать ибо в принципе бесполезно :D

21 час назад, Umnik сказал:

У меня этот скрипт давно переписан на Python. Итерирование по вложенным спискам в batch — это боль

Та же история, только с башем, на выходе под win жуткий говнокод получается :D

21 час назад, Umnik сказал:

А если проверить просто папку с тушками?

Дык я и проверял выборочной проверкой /system/app и /system/priv-app, какая разница натравил бы я выборончую проверку на эти папки или туда, куда складировал вирусню ?

Edited by King Arthur

Share this post


Link to post
Share on other sites
Umnik   

Разница может быть. Скажем, малварь, имя рутовые права, может для юзера антивируса (в Андроиде каждое приложение — это отдельный пользователь) забрать права на чтение, скажем. Потому и прошу проверить, скинув тушки куда-нибудь на /sdcard/, будет ли детект по всем.

Share this post


Link to post
Share on other sites
1 час назад, Umnik сказал:

Разница может быть. Скажем, малварь, имя рутовые права, может для юзера антивируса

Dr.Web'у (free) это было до лампочки и он их задетектил именно в /system/app и /system/priv-app

1 час назад, Umnik сказал:

Потому и прошу проверить, скинув тушки куда-нибудь на /sdcard/, будет ли детект по всем.

ОК, проверю чуть позже.

Share this post


Link to post
Share on other sites
Umnik   

Доктор Веб в своё время убивал устройства от Самсунга как раз тем, что сканивал то, что нужно исключать https://forum.drweb.com/index.php?showtopic=305104 :)

В общем, мне интересен результат.

Share this post


Link to post
Share on other sites
1 час назад, Umnik сказал:

Доктор Веб в своё время убивал устройства от Самсунга как раз тем, что сканивал то, что нужно исключать https://forum.drweb.com/index.php?showtopic=305104 :)

Ну как бы это притянуто за уши ибо

Так ведь антивирус пишется под определённую OS, а не под конкретную "железку".

Т.е. абсолютно также поведёт себя любой антивирус, который вздумает произвести полную проверку всех файлов.


Тогда при чём здесь вообще DrWeb?

Даже не антивирус. А вообще любой, кто откроект файлы драйверов экрана на чтение. Например, файловый менеджер. 

1 час назад, Umnik сказал:

В общем, мне интересен результат.

Чуть позже будет, гаджет пока недоступен :)

Share this post


Link to post
Share on other sites
Umnik   

У нас проблемы не было :)

Но это я так, про то, как в продукте используются исключения и что их вообще можно использовать. Мне важен просто итог :)

Share this post


Link to post
Share on other sites
2 часа назад, Umnik сказал:

У нас проблемы не было

Саппорт веба в той теме писал, что ЛК так же произвела фикс своего продукта, дабы обходить каталоги драйверов, так что значит, была :)

2 часа назад, Umnik сказал:

Мне важен просто итог

Как я уже писал - смарт пока недоступен, но я ради интереса прогнал заражённые apk-ки и odex'ы на виртуальной машине - детект есть на MediaService и CalleridSearch. Остальные - sherlock, systemui, settings не детектятся. На десктопе как детектились только шерлок и callerid, так и продолжают.

Dr.Web при этом что десктопная версия (для тестов использовался cureit), что мобильная детектит всё вышеозначенное.

***

К слову об итогах - для борьбы с фоновой загрузкой установкой приложений, засевшей в системе заразы был найден метод, который доказал свою эффективность - нужно в каталоге Android/data на внутреннем и внешнем накопители грохнуть папки com.android.callerid.search.b, com.sherlock.news, com.android.Pet.mediaproxy и com.android.systemui и создать одноимённые файлы - "заглушки", тогда это перекроет кислород зловреду и не даст загружать файлы и как следствие, устанавливать.

Этот метод не панацея, но зато позволяет не использовать дополнительный софт, хотя как по мне, отказываться от NoRoot Firewall было бы неразумно ибо у заразы остаются активными backdoor и чёрт ещё знает какие функции .

Правда при использовании NoRoot Firewall уже не воспользуешься другим софтом использующим локальный vpn для редиректа траффика, но это уже другая история. Единственное что хотел бы отметить касательно NoRoot Firewall - мобильному KIS не понравился его VPN (по моему жаловался на сертификаты, но точно сказать не могу) и он отказался подключаться/обновляться.

В целом, это всё уже не так важно, ибо производитель таки выкатил прошивку очищенную от заразы (специально проверил /system/app и /system/priv-app - чисто) и как руки дойдут я накачу её (софта очень много и переезд будет нудным и долгим).

Share this post


Link to post
Share on other sites
Umnik   
14 hours ago, King Arthur said:

Саппорт веба в той теме писал, что ЛК так же произвела фикс своего продукта, дабы обходить каталоги драйверов, так что значит, была :)

На сколько я знаю, "фикс" делался до релиза :) Ладно, я в то время в мобильниках не работал ещё.

Выкатил — хорошо. А в чём вообще сложность прийти и сдать аппарат по гарантии?

Share this post


Link to post
Share on other sites
2 часа назад, Umnik сказал:

Выкатил — хорошо. А в чём вообще сложность прийти и сдать аппарат по гарантии?

https://forum.drweb.com/index.php?showtopic=328343

Если вы конечно о возврате речь ведёте. Если есть мысли, что предъявить продавцу и как подступиться к этому вопросу с точки зрения закона ОЗПП - с радостью выслушаю :)

Кстати, до истории с обнаружением вирусов, производитель за предоставление стока требовал отказа от гарантии (на такую дичь я не повёлся).

Edited by King Arthur

Share this post


Link to post
Share on other sites
Umnik   

Я не юрист. Тут стоит именно юристов поспрашивать. На мой взгляд, здесь вообще распространение вредоносного ПО, а это посильнее, чем ненадлежащее качество.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×