"biling", "rusiet", és "supli" appok

Android

ma feltűnt, hogy pár percenként magától megnyílik Andoid 6.0 alatt Operában 1-2 online gaming oldal tele popup meg always-on-top reklámokkal. megnéztem, hogy milyen appok vannak telepítve és találtam 3 ilyen gyanus nevűt: "biling" (sic, egy L-lel), "rusiet", és "supli" (sic, I-vel). csak default andoidmanó ikonjuk van, a tárhelyhez van engedélyük, és gigabájtokat forgalmaztak a 6 nap alatt, amióta felkerültek.

ismeri valaki találkozott már ezzel a malware-rel? hogyan kaphattam be?

  • 244 megtekintés

( zdesigner | 2020. 11. 06., p – 14:11 )

Milyen sűrűn kapsz biztonsági frissítést? Milyen anti-malware szoftver fut az eszközön? Be van állítva, hogy blokkolva legyen a malicious URL a böngésződben? Ki a gyártó? Gyári Android vagy más? 

fogalmam sincs. kellet egy okoskodó telefon, vettem egyett, nem tutujgatom, nem főzök rá, elvárnám hogy menne magától egy alap szinten.
az érdekelne, hogy ha valaki találkozott-e már speciel ezzel a kártevővel, hogy milyen vektoron át szokott bejönni? lan-on, browseren, valami másik app vulerabilityn keresztül, stb.

erre tudok olyan választ adni, amire a válasz nem az hogy "ó hát az sz-r, régi, bugos, frissísd, flash-eld, vegyélújat"?
egyébként "Doogee x5pro", kéz alól vettem, majd nyomtam rá factory reset.
tisztában vagyok vele hogy ezekhez a csodakütyükhöz, miután 1.5 év után magárahagyja a gyártó, egy teljes munkaidős rendszergazdát kell tartani, hogy szinten tartsa a használhatóságát. nem is erre irányul a kérdésem, hanem hogy van-e valami infó arről a malwareről aminek a viselkedési mintája a fent leírtakhoz hasonló?

Lásd:
https://forums.malwarebytes.com/topic/253167-persistent-adware-on-dooge… <- ez x5 pro
https://www.reddit.com/r/chinaphones/comments/5ad7r2/adwarespyware_on_d… <- ez x5 max pro 

Ezért kérdeztem, mert kínai telefon esetén előfordul, hogy gyárilag fertőzött. Így hiába állítod vissza, benne van a szoftverben. Az hogy mivel fertőzi meg a gyártó (Doogee) vagy az ellátó lánc az változó. Ez esetben, ahogy olvasom a gyár fertőzi meg a telefonokat, mert a hivatalos honlapon lévő ROM-ban is benne van.

Erre hívnám fel a figyelmedet:

needrom has a custom 'clean ROM' where someone has removed it 

Mondjuk ezt a x5 max pro-hoz írták, de gondolom az x5 pro esetén is van ilyen ROM:

https://www.needrom.com/category/doogee/serial-x-doogee/x5-pro-doogee/

De hogy melyik.. Azért fontos dolgokat ne üss be ezen a telefonon!

Szerk:
Ha pedig legközelebb vásárolsz használt telefont és nem akarsz ilyenbe belefutni, akkor Knox-os Samsungot vegyél (már Galaxy S3 is az volt, tapasztalat). Ott látod, ha mókolt a szoftver: https://docs.samsungknox.com/admin/knox-platform-for-enterprise/faqs/fa… 

Nekem volt Doogee X5 Pro-m, és nem volt adware-es, semmilyen kínai krix-krax-os fos nem volt benne, meg nem irányított át fura oldalakra. Volt ugyan rajta eltávolíthatatlan gyári app, de nem malware szemét, és nem kellett gyári állapotra sem visszaállítani soha. Az is igaz, hogy újonnan vettem, nem használtan. Az árához képest pár éve nem volt rossz telefon. Ma már nem ajánlom senkinek, főleg azért, mert új Android verziókat nem kapta meg, meg azért sem, mert nem túl sokkal többért vannak ma már jobb vételek.

Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”

( answ | 2020. 11. 06., p – 16:33 )

Ha nem volt rootolva, akkor állítsd alapállapotba (teljes törlés) a telefonodat vagy indítsd safe módban, ha támogatja! Ha ekkor is előjön, akkor vagy te vagy a program rootolta a telefonodat valamilyen biztonsági hibán keresztül. Ilyen esetben a telefonod gyári programjával töltsd fel a gyári firmware-t rá.

kösz. a javítás az tiszta sor. gyakorlottan nyomtam rá faktory resetet. mint minden 2-3 hónapban, mert valamiért ezek a szuper modern rendszerek időről időre "kifáradnak"...

nem is a javítás a kérdés, hanem hogy min jöhetett be. természetesen a válasz az hogy "bármin". de mégis, régebben még a vírusírtós cégek szép listát vezettek arról, hogy melyik kártevőnek mi a viselkedési mintája, mire veszélyes, min szaporodik, ozmózissal, vagy javascripttel. ma már nem várhatok ilyesmit, hogy pl "ez a java/biling.32 adware 88% bizonossággal és egy megtalált google backdooron jár-kél ki-be, kivédhető ha touch-olsz egy fájlt /con/con néven" ?