Jump to content
MaDHunk

Не могу найти вирус

By MaDHunk, in Защита мобильных устройств

Recommended Posts

MaDHunk   

MaDHunk
Posted

Приложение Сбербанк видит на телефоне вирус "HEUR:Trojan.AndroidOS.Hiddad.ee" и указывает на путь к файлу /system/vendor/operator/app/Accuweather.apk 

Пытался найти вручную, но так и не нашел, а антивирус так вообще не обнаруживает никакой угрозы, что делать?

Share this post

Link to post

ANGElDRAGON   

ANGElDRAGON
Posted

MaDHunk может быть ложное срабатывание Сбербанка.
Попробуй, удалить Сбербанк, перезагрузить устройство и повторно установить Сбербанк.

Share this post

Link to post

MaDHunk   

MaDHunk
Posted

Переустановка приложения, к сожалению, не решила проблему... При первом запуске сразу же отрапортовало, что вирус все еще в системе

Share this post

Link to post

MaDHunk   

MaDHunk
Posted

Прости что не написал раньше, но еще вот какое дело: сравнительно недавно стал замечать , что систематически зависают приложения chrome и watsapp , примерно по 10-20 секунд, отглюкивают они только после появившейся ошибке ( приложение не отвечает подождать/закрыть) Пока системное сообщение не появится телефон адово лагает (не реагирует на кнопку домой, назад и блокировку экрана)... Телефон постоянно проверяется антивирусом (zte blade a520). Неделю назад этой проблемы не было

Share this post

Link to post

Keeper-Volok   

Keeper-Volok
Posted
18 часов назад, MaDHunk сказал:

Пытался найти вручную, но так и не нашел

Без рутирования прошивки Вы его в системной памяти и не увидите, но это зависит от используемого проводника.
И в любом случае ни чего с его файлом не сделаете.

HEUR - это эвристика, не сигнатурный анализ.
Если сомневаетесь в издателе прошивки - можно попробовать найти это погодное приложения в списке системных приложений в настройках Android и "Отключить", если такая опция будет доступна

Share this post

Link to post

MaDHunk   

MaDHunk
Posted

В списке приложений его нету, прошивка заводская и за год использования, в том числе и со сбербанком, подобных проблем не было((( как думаете, может стоит скинуть телефон через рекавери? 

Share this post

Link to post

Keeper-Volok   

Keeper-Volok
Posted
1 час назад, MaDHunk сказал:

может стоит скинуть телефон через рекавери? 

При сбросе к заводским настройкам перезапишется раздел /data, а у вас проблемный объект лежит в /system.

Если будет время и желание, попробуйте вытащить все приложения на компьютер с помощью APK-grabber скрипта
И скинуть этот Accuweather.apk в личку сотруднику ЛК. Есть некоторая вероятность, что это ложное срабатывание.

Share this post

Link to post

andrdi   

andrdi
Posted
В 08.01.2019 в 23:29, MaDHunk сказал:

Хорошо, я обязательно попробую 

Есть результаты?
У меня точно такая же проблема:
Приложение Сбербанк видит на телефоне вирус "HEUR:Trojan.AndroidOS.Hiddad.ee" и указывает на путь к файлу /system/vendor/operator/app/Accuweather.apk 

Смартфон тоже ZTE Blade a520

Share this post

Link to post

MaDHunk   

MaDHunk
Posted

Никакого решения, к сожалению, пока что не нашел... Думаю дело в наших телефонах, а именно в системе...

3 часа назад, andrdi сказал:

Есть результаты?
У меня точно такая же проблема:
Приложение Сбербанк видит на телефоне вирус "HEUR:Trojan.AndroidOS.Hiddad.ee" и указывает на путь к файлу /system/vendor/operator/app/Accuweather.apk 

Смартфон тоже ZTE Blade a520

 

Share this post

Link to post

Umnik   

Umnik
Posted

1. Если есть обновления этого приложения, их нужно удалить

2. Вытянуть файл скриптом, который дали выше

3. Пнуть меня в этой теме, что всё готово

Share this post

Link to post

andrdi   

andrdi
Posted
12 минут назад, Umnik сказал:

1. Если есть обновления этого приложения, их нужно удалить

2. Вытянуть файл скриптом, который дали выше

3. Пнуть меня в этой теме, что всё готово

Под линукс таких скриптов нет? 

Share this post

Link to post

Keeper-Volok   

Keeper-Volok
Posted
41 минуту назад, andrdi сказал:

Под линукс таких скриптов нет? 

Обычно пользователи линуксов сами себе пишут, что им надо ;)

Также, можно поднять VM и пробросить хостовый USB

Share this post

Link to post

andrdi   

andrdi
Posted (edited)
18 часов назад, Umnik сказал:

1. Если есть обновления этого приложения, их нужно удалить

2. Вытянуть файл скриптом, который дали выше

3. Пнуть меня в этой теме, что всё готово

Ну, в общем новости такие:

Скрипты по ссылке мне никак не помогли:

Граббером я вытянул почти 700 Мб всякого ненужного добра, но конкретно  /system/vendor/operator/app/Accuweather.apk не скачался - Permission deny

Apk killer мне тоже не помог по той же причине.

Я огорчился, немного погуглил про adb и вот, что мы имеем на текущий момент:

Файл Accuweather.apk по указанному пути действительно существует: 

P637F10:/ $ ls /system/vendor/operator/app/Accuweather.apk                                                      
/system/vendor/operator/app/Accuweather.apk

Попытался его грохнуть вручную: 

P637F10:/ $ rm /system/vendor/operator/app/Accuweather.apk                                                          
rm ro /system/vendor/operator/app/Accuweather.apk (y/N):y
rm: /system/vendor/operator/app/Accuweather.apk: Read-only file system

Печалька. Рутовать свой телефон, ребята, мне совсем не охота.

Но зато я смог его вытащить с помощью adb pull: 

./adb pull /system/vendor/operator/app/Accuweather.apk ~/tmp
/system/vendor/operator/app/Accuweather.apk: 1 file pulled. 11.4 MB/s (40321895 bytes in 3.363s)

Т.к. файл больше 4 Мб прикрепить я его тут не смог и загрузил вот сюда: https://yadi.sk/d/T9aByLCbmGhIHA

Ну, теперь вся надежда на вас, а то очень уж меня раздражает, когда приложение сбера ругается на вирус при входе.

P.S.

Вот что еще вспомнил: Приложение Accuweather было изначально предустановлено на телефоне, но т.к. я их не люблю - я его снес при первой возможности штатными средствами. Телефон нерутованный.

Edited by andrdi

Share this post

Link to post

Umnik   

Umnik
Posted
On 1/10/2019 at 2:44 PM, andrdi said:

Под линукс таких скриптов нет?  

Могу написать на Python 3, никаких проблем, мне даже проще. Или нужно на баше?

Share this post

Link to post

andrdi   

andrdi
Posted

 

8 минут назад, Umnik сказал:

Могу написать на Python 3, никаких проблем, мне даже проще. Или нужно на баше?

Да нет, я обошелся без скриптов - зашел в шелл и сделал все руками

Share this post

Link to post

Umnik   

Umnik
Posted

Итак, проверил.

1. Было ложное срабатывание и оно исправлено 2 января

2. Файл обелён в облаке, так что детекта быть не должно в любом случае

Если Сбербанк Онлайн до сих пор его детектирует, мне нужна версия Сбербанк Онлайн и скриншот детекта. После этого нужно удалить приложение и установить его заново, либо просто сбросить ему данные. Это заставит приложение принудительно обновить базы.

Share this post

Link to post

andrdi   

andrdi
Posted (edited)
2 часа назад, Umnik сказал:

Итак, проверил.

1. Было ложное срабатывание и оно исправлено 2 января

2. Файл обелён в облаке, так что детекта быть не должно в любом случае

Если Сбербанк Онлайн до сих пор его детектирует, мне нужна версия Сбербанк Онлайн и скриншот детекта. После этого нужно удалить приложение и установить его заново, либо просто сбросить ему данные. Это заставит приложение принудительно обновить базы.

Огромное спасибо, после переустановки приложения проблема исчезла.

Информация о приложении (скриншот).png Срабатывание (скриншот).png

Edited by Keeper-Volok
resize

Share this post

Link to post

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Go To Topic Listing Защита мобильных устройств
×

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.

  I accept