Jump to content
Ex0dus

Adware - novelcamp/appsquare - запускает браузер с рекламой

Recommended Posts

Правильно ли я понимаю, что все это делается через создания дампа телефона и, после завершения процедуры, в созданной папке с файле можно найти нужное приложение?

Share this post


Link to post
6 часов назад, nez42 сказал:

Правильно ли я понимаю, что все это делается через создания дампа телефона и, после завершения процедуры, в созданной папке с файле можно найти нужное приложение?

можно и так, но это будет БОЛЬШОЙ дамп. можете просто скопировать приложение с помощью Total Commander.

Share this post


Link to post
10 часов назад, Ex0dus сказал:

можно и так, но это будет БОЛЬШОЙ дамп. можете просто скопировать приложение с помощью Total Commander.

Спасибо, через TotalCommander получилось, даже без рут-доступа на телефоне. Кстати, сегодня попробовал утром обновить приложение в гугл маркете, вирус сработал, в логе от firefox также было com.miui.home. Прилагаю ссылку на приложение: https://yadi.sk/d/Ud2oWQhsCVo-QA

Share this post


Link to post

Доброго времени суток, у меня то же самое на Xiaomi redmi 4x уже несколько недель. Что вам отправить, чтобы решить быстрее проблему? Достало. Открывает браузер (chrome), даже когда отключён интернет. Открывает click302.h5mone.com.

Share this post


Link to post
3 часа назад, Teehonya сказал:

Доброго времени суток, у меня то же самое на Xiaomi redmi 4x уже несколько недель. Что вам отправить, чтобы решить быстрее проблему?

Перечитайте, пожалуйста, тему. 
Выше сотрудник ЛК выложил FireFox для отлова виновных.

Share this post


Link to post
5 часов назад, Keeper-Volok сказал:

Перечитайте, пожалуйста, тему. 
Выше сотрудник ЛК выложил FireFox для отлова виновных.

У меня не открывается сборка по ссылке, браузер открывает и тут же сразу закрывает вкладку. 

Share this post


Link to post
On 3/8/2019 at 10:42 AM, Ex0dus said:

com.opera.mini.native

 

On 3/9/2019 at 12:21 PM, nez42 said:

com.miui.home

Да блин, неужели? Надо сделать улучшение Ловилки — добавить, какой именно урл открывает, чтобы быть уверенным.

Share this post


Link to post

Обновил Intent Catcher. Теперь он показывает не только пакет, но и URL. Если URL не удалось установить, то его не будет. Но если удалось, то нужно сравнить, реально ли это тот, который плохой.

Share this post


Link to post

Кастомизацию Firefox тоже обновили. Теперь она пишет в лог не только имя пакета, но и адрес, к которому этот пакет пытался обратиться. Это поможет отличить нормальные обращения от подозрительных.

Модераторы, в стартовый пост добавьте ссылки и описания наших утилит.

Share this post


Link to post

Ещё важный вопрос — рутовано ли устройство. Потому что есть опасение, что это поведение сродни поведению другого трояна, который модифицировал поведение системы таким образом, чтобы любое установленное приложение начинало делать то, чего не задумывалось в этом приложении вообще. То есть, теоретически, приложения, пойманные за попытку загрузить рекламу в браузере, могли быть просто жертвами инжекта в свой процесс и подмены их поведения.

Но если устройство совершенно точно не рутовано (в т.ч. тайно, через уявзимость прошивки), то такой подмены быть не может.

Share this post


Link to post
Posted (edited)

У меня вирус исчез неделю с небольшим назад и покамест больше так и не проявился. Исчез после установки интернет кэтчера. После удаления кэтчера и повторного назначения Chrome браузером по умолчанию его все равно нет. Кстати, из двух устройств с одинаковым набором приложений он проявлялся именно на не рутованном с заблокированным бутом.

Edited by Lovehepburn

Share this post


Link to post
1 час назад, Umnik сказал:

Ещё важный вопрос — рутовано ли устройство. Потому что есть опасение, что это поведение сродни поведению другого трояна, который модифицировал поведение системы таким образом, чтобы любое установленное приложение начинало делать то, чего не задумывалось в этом приложении вообще. То есть, теоретически, приложения, пойманные за попытку загрузить рекламу в браузере, могли быть просто жертвами инжекта в свой процесс и подмены их поведения.

Но если устройство совершенно точно не рутовано (в т.ч. тайно, через уявзимость прошивки), то такой подмены быть не может.

Телефон не рутован, по крайней мере я этого не делал (в приложениях типа файл-менеджеров, у меня показывает, что требуются рут права, CPU-Z тоже говорит, что рут прав нет). Поставил новый Firefox, который в логах пишет еще и URL. Завтра с утра проверю, т.к. есть подозрение, что вирус срабатывает только раз в день (при первой за день установке/обновлении приложения).

Share this post


Link to post
4 часа назад, Umnik сказал:

Ещё важный вопрос — рутовано ли устройство. Потому что есть опасение, что это поведение сродни поведению другого трояна, который модифицировал поведение системы таким образом, чтобы любое установленное приложение начинало делать то, чего не задумывалось в этом приложении вообще. То есть, теоретически, приложения, пойманные за попытку загрузить рекламу в браузере, могли быть просто жертвами инжекта в свой процесс и подмены их поведения.

Но если устройство совершенно точно не рутовано (в т.ч. тайно, через уявзимость прошивки), то такой подмены быть не может.

смартфон без рута. S8+.

после удаления Opera Mini - вирус себя не проявлял ни разу. Обновлял приложения, ставил новые - тишина. Еще раз спасибо Лаборатории Касперского.

Я наверное соглашусь c malwarebytes - этот зловред - некая рекламная sdk (Batmobi SDK) или баннерная сеть у которой перехватили управление. поэтому такие разные приложения. а com.miui.home  сюда попал потому что Xiaomi большие любители пихать рекламу в свои прошивки. поэтому эта часть кода и есть в Xiaomi.

Share this post


Link to post
Posted (edited)

пользователь с reddit нашел еще одно приложение с вирусом используя модифицированный Firefox: com.miui.player :D

Xiaomi удивляет)

Edited by Ex0dus

Share this post


Link to post
Posted (edited)

Интересное наблюдение: вчера днем я удалил все данные приложения "Рабочий стол MIUI" (com.miui.home), через "Настройки-Все приложения-Рабочий стол MIUI-Очистить-Очистить все". При этом, соответственно, все настройки рабочего стола сбрасываются на дефолт (восстанавливаются виджеты по умолчанию, расположение значков приложений на экране тоже возвращается на дефолт). Сегодня утром два раза обновлял приложения из Play-маркета (с периодичностью одно приложение в час) и вирус никак себя не проявил, никаких внезапных открываний браузера с рекламой не было. Буду наблюдать дальше. Возможно, все-таки очистка данных приложения помогла.

 

Спойлер

117032043_Screenshot_2019-03-12-10-14-05-003_com_miui.securitycenter.thumb.png.7188120b472ccc2bdec21c089f12cdfd.png

 

 

11 часов назад, Ex0dus сказал:

пользователь с reddit нашел еще одно приложение с вирусом используя модифицированный Firefox: com.miui.player :D

Xiaomi удивляет)

У Xiaomi есть реклама в собственных приложения, но она занимает небольшую часть экрана, и как правило, на русском языке. Кроме того, почти во всех приложения она отключается путем убирания галочки с пункта "получать рекомендации"

Edited by nez42

Share this post


Link to post

Umnik по идее, в начало строчки ещё бы и таймштамп ставить. 

И, ИМХО, оставил бы основной логирующей утилитой изначальный IntentCatcher, из которого уже пинать явным интентом выбранный в нём нормальный браузер, а не FF.
Так и отличные от armeabi-v7a архитектуры поддержатся

Share this post


Link to post

Можно и время, но это если будет всё это развиваться.

Каждый ставит то, что ему удобно. Код Fx был дополнен ровно той же функциональностью, что я использовал в Intent Catcher, только я пишу на экране, а Антон пишет в лог.

Share this post


Link to post

Сегодня также обновлял приложения, вирус никак себя не проявил

Share this post


Link to post

Шёл третий день после очистки данных приложения с вирусом. Вирус себя больше не проявляет

Share this post


Link to post

Выглядит так, что эти утилиты помогли уведомить авторов о том, что их рекламные модули ведут себя плохо, а авторы смогли наехать на владельцев модулей, дабы те перестали себя так вести. То есть обращение автора темы помогло решить проблему, которая существовала больше месяца.

Я так вижу :)

Share this post


Link to post

после удаления opera mini - перестал появляться вирус.

Share this post


Link to post

Мне так думается, что после того как разработчики приложений высказали своё негодование владельцам их рекламных модулей, проблема должна была уйти глобально. В смысле можно возвращать те приложения обратно.

Share this post


Link to post

Прошло уже почти 2 недели, после удаления данных зараженного приложения вирус себя не проявлял

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.