FotaProvider malware?

Android

Sziasztok!

Egy HT7-es telefont kaptam egy hónapja, és a héten elkezdett FotaProvider feliratú fekete ablakokat feldobálni, amiben mindenféle reklámok vannak. Eltávolítani nem tudom. Gyári reset után is ott marad. A Malwarebytes és az AVG nem jelezett ki fertőzést, de azt mondja hogy a telefon rootolva van. Nos én nem rootoltam, teljesen sügér android felhasználó vagyok, nem baxtatom.
A telefon eredetileg az ebayről kínából származik.
Mi ez a FotaProvider? A Fota frissítésekről olvastam, de ez ugye nem az, mert nem dobálna be kéretlen reklámablakokat.
Hogy távolítsam el? Ha ez nem lehetséges, hogy kell "újrahúzni" a telefont?

Vagy egyáltalán mit tegyek?

Köszönök bármilyen segítséget!

  • 4203 megtekintés

( pepelopez | 2017. 01. 12., cs – 19:43 )

valószínű kínai csoda app :)
https://forums.malwarebytes.com/topic/168824-malware-found-android-troj…

com.adups.fota.sysoper ha ez a neve akkor spyware
http://www.hwsw.hu/hirek/56427/firmware-backdoor-kryptowire-adups-adatg…

ezzel megtudod nézni mi a neve
https://play.google.com/store/apps/details?id=com.gijoon.pkgnameviewer

http://android.wonderhowto.com/how-to/test-for-adups-spyware-your-phone…

adb valahogy így kell:

pm disable com.adups.fota.sysoper
pm disable com.adups.fota

továbbá mivel valószínűleg ADB-n keresztül engedélyezve van a root, így érdemes lehet feltenni egy SuperSU-t, majd szépen felrakni az AdAway nevű programot, egy tűzfallal (pl AfWall+) egyetemben.
Ha mégsem sikerült a kémszoftvert kikapcsolni, akkor a tűzfal segítségével el lehet lehetetleníteni a működését :)

Az említett szoftverek teljesen opensource-ok, és pl. az f-droid (https://f-droid.org/) forrásból beszerezhetőek.

A tűzfalas megoldás sem tökéletes sajnos. Én egy nagyonolcsó kínai Allwinner-es tablettel jártam hasonlóképpen. Ezzel az volt a baj, hogy a szorgos kis kínaiak sajnos felettébb alaposak voltak a spyware készítésekor: a spyware ha huzamosabb ideig nem tud kapcsolatot létesíteni a command szerverekkel, akkor megjelenik egy szép piros DEMO felirat overlay-ben a képernyőn, full méretben. Ez ráadásul a systemui.apk-ban van, így még azt is meg kellett patch-elni.
Külön bonus, hogyha felkeresed a gyártót, hogy DEMO van a képernyőn, akkor kapsz egy friss firmware-t, a spyware frissebb verziójával, így eltűnik a felirat, egy időre legalábbis :)

Szóval nem veszek olyan telefont/tabletet, amire nincs Cyanogen vagy legalább egy AOSP. A gyártó szoftverét nem vagyok hajlandó használni.

Köszönöm, pár óra nyomozás és driverkeresés után (win7home volt elérhető, azon nem volt egyszerű, a saját gépemen meg linuxozok, ahhoz nem találtam debloater fícsörös progit) a Debloater működött, letiltottam az adups.fota cuccokat.
Meglátjuk elég-e ennyi neki...

---
Why use Windows, if you have open doors… to Linux

( Szenti v | 2017. 01. 12., cs – 23:43 )

Off: iskolapéldája annak, miért nem szabad kínából olcsó telefont venni.

Meg koreait sem, stb.

Csak olyan telefont szabad venni, amire van teljesen open source oprendszer. Az más kérdés, hogy pl. Qualcomm esetén a baseband processzor hozzáfér teljes alkalmazásprocesszor-memóriához, a baseband-ben pedig zárt (és sokak szerint backdoorokkal teli) firmware fut.

A világ történéseiről a titokszolgálatok legfőképpen a mobileszközök révén szereznek nap-mint-nap tudomást. Naivitás nélkül elképzelhető backdoor nélküli telefon? - Hiszen ez mindenütt privilegizált államérdek és világhatalmak cyberháborús stratégiái kötődnek hozzá!

"Naivitás nélkül elképzelhető backdoor nélküli telefon?"

Nehezen. De van különbség aközött, hogy egy backdoor minden jöttment hackernek ad hozzáférést az eszközömhöz, vagy mondjuk az NSA-nak. Nem jó egyik sem, de nagyobb az esélye hogy a jöttment hackerek szándékosan kárt okozzanak, a home pornó gyűjteményem leakeljék, stb, más szempontból rossz a kettő.

( wachag | 2017. 01. 13., p – 12:42 )

Ha van hozzá ROM (hogy visszacsináld, ha elbarmolsz valamit), akkor be lehet lépni ADB shellel, aztán ott kapsz egy sh-t, azt csinálsz vele, amit nem szégyellsz (pl. pusztítást rendezel az APK-k között). Debloatoltam már így ROM-ot magamnak.