HEUR:Trojan-Dropper.AndroidOS не удаляется даже после полной замены прошивки через Fastboot

[Алексей Викторович]

Приветствую! Возник вопрос – голову неделю ломаю. И не только голову:
Сбербанк-онлайн 14.6.0. Включил антивирус. После сканирования обнаружил HEUR:Trojan-Dropper.AndroidOS.Triada.rq MIUI Global 12.5.3 Андроид 11 (регион Великобритания стоял) путь расположения вируса: /cust/app/customized/partner-com.engloryintertech.caping_43//cust/app/customized/partner-com.engloryintertech.caping_43.apk

А дальше самое интересное:
1. Hard Reset с полным Wipe не помог.
2. Обновление по воздуху на MIUI Global 13.0.6 Андроид 12 не помогло.
3. Полная прошивка через Fastboot через разблокировку/блокировку загрузчика не помогло.

Но название вируса чуть изменилось: HEUR:Trojan-Dropper.AndroidOS.Triada.az путь тот же с названием файла.
Регион я поменял обратно на Россию. Не помогло.
Вообще не понимаю куда копать. ROOT делать и копаться ручками вырезать пока не научился. Что за бред собачий не понимаю. Может кто сталкивался?

Как вообще полная замена прошивки может не помочь не понимаю...

[Umnik]

adb shell pm path partner-com.engloryintertech.caping → получишь путь

adb pull этот_путь D:/myDir/ → папка myDir на диске D должна существовать

 

Скинуть этот файл мне, например.

[ska79]

Может загрузчик разблокирован и пробрался зловред

[Алексей Викторович]

8 часов назад, ska79 сказал:

Может загрузчик разблокирован и пробрался зловред

Загрузчик разблокировал только для перепрошивки с последующей блокировкой загрузчика новой прошивкой с оф.сайта через fastboot. 

 

После этого никаких программ не устанавливаю кроме СберОнлайн и запускаю антивирус в нем. Жду полной проверки и снова обнаруживает вирус.

10 часов назад, Umnik сказал:

adb shell pm path partner-com.engloryintertech.caping → получишь путь

adb pull этот_путь D:/myDir/ → папка myDir на диске D должна существовать

 

Скинуть этот файл мне, например.

Понял. Сделаю. 

[Алексей Викторович]

26.12.2022 в 12:28, Umnik сказал:

adb shell pm path partner-com.engloryintertech.caping → получишь путь

adb pull этот_путь D:/myDir/ → папка myDir на диске D должна существовать

 

Скинуть этот файл мне, например.

Скопировал файл. Куда можно прислать?

Проверка на VirusTotal

ESET-NOD32

A Variant Of Android/Triada.KJ

Fortinet

Android/Triada.HZ!tr

Kaspersky

HEUR:Trojan-Dropper.AndroidOS.Triada.az

ZoneAlarm by Check Point

HEUR:Trojan-Dropper.AndroidOS.Triada.az

[Umnik]

Да куда угодно, чтобы я мог скачать

 

А хотя, я глянул уже. Знаешь, тебе лучше найти другую прошивку, где вырезано вот это вообще. Потому что семейство Триада - это какой-то ад: https://securelist.ru/attack-on-zygote-a-new-twist-in-the-evolution-of-mobile-threats/28121/

Можешь, конечно, попытаться деинсталлировать через

adb shell pm uninstall --user 0 partner-com.engloryintertech.caping

но высока вероятность, что он снова прилетит.

 

Хотя всё равно скинь. Интересно глянуть будет внутри. Но это уже мой персональный интерес, к делу отношения не имеет.

[Алексей Викторович]

7 минут назад, Umnik сказал:

Хотя всё равно скинь. Интересно глянуть будет внутри. Но это уже мой персональный интерес, к делу отношения не имеет.

ссылка удалена     пароль 123 

Изучил ADB впервые - интересно. Спасибо за поддержку!

 

Я удивился, что прошивку то я с официального сайта скачал свежую. И в ней такой же подарок. Не могло ведь после Fastboot что-то остаться в системе? Или могло?

17 минут назад, Umnik сказал:

А хотя, я глянул уже. Знаешь, тебе лучше найти другую прошивку, где вырезано вот это вообще. Потому что семейство Триада - это какой-то ад: https://securelist.ru/attack-on-zygote-a-new-twist-in-the-evolution-of-mobile-threats/28121/

Можешь, конечно, попытаться деинсталлировать через

adb shell pm uninstall --user 0 partner-com.engloryintertech.caping

но высока вероятность, что он снова прилетит.

При попытке удаления пишет Failure [not installed for 0]

Разные пути пробую - одинаково.

 

Строгое предупреждение от модератора Mark D. Pearlstone

Ссылка удалена. Пункт 9 правил форума.

[Umnik]

Всё, файл можешь удалять, я забрал.

Я предполагаю, что Xiaomi просто продаёт в свои дешёвые (а может не только дешёвые) телефоны места под партнёрские приложения и даже не проверяет, чем эти приложения занимаются. В данном случае это загрузчик. Он не сам содержит полезную нагрузку (в данном случае - вредоносную), а качает и исполняет. Благо у него в ресурсах прописано довольно много мест, куда он ломится.

 

Я не знаю, как ты удалял. Но, даже если правильно вычистил, другие компоненты прошивки могли тебе доустановить сами то, чего не хватает. В том числе вот это. Я потому и не верю, что удаление через pm поможет, но подсказать команду обязан. Лучше зашить кастом без блотвари. Но тут проблема - это будет означать открытый загрузчик. А это приведёт к тому, что банковские приложения будут ругаться. Раньше так было, по крайней мере.

 

Но тут сам решай, что лучше - троян, описание которого поражает воображение или ноющие приложения, что у тебя загрузчик открыт.

 

41 минуту назад, Алексей Викторович сказал:

Failure [not installed for 0]

Тогда сначала спроси, какие пользователи стоят:

adb shell pm list users

Число до первого двоеточия - пройди по ним по всем. Но обычно там 0 только. Если и правда только 0, то попробуй без --user 0, но это хуже вариант.

[ska79]

Напишите модель устройства

[Алексей Викторович]

11 минут назад, Umnik сказал:

Всё, файл можешь удалять, я забрал.

Я предполагаю, что Xiaomi просто продаёт в свои дешёвые (а может не только дешёвые) телефоны места под партнёрские приложения и даже не проверяет, чем эти приложения занимаются. В данном случае это загрузчик. Он не сам содержит полезную нагрузку (в данном случае - вредоносную), а качает и исполняет. Благо у него в ресурсах прописано довольно много мест, куда он ломится.

 

Я не знаю, как ты удалял. Но, даже если правильно вычистил, другие компоненты прошивки могли тебе доустановить сами то, чего не хватает. В том числе вот это. Я потому и не верю, что удаление через pm поможет, но подсказать команду обязан. Лучше зашить кастом без блотвари. Но тут проблема - это будет означать открытый загрузчик. А это приведёт к тому, что банковские приложения будут ругаться. Раньше так было, по крайней мере.

 

Но тут сам решай, что лучше - троян, описание которого поражает воображение или ноющие приложения, что у тебя загрузчик открыт.

Все понял. Вашему авторитету доверяю абсолютно. Я попробую другую прошивку Global EU  вместо Индонезии. Может там повезет.

Удивительно, что еще несколько телефонов в семье с аналогичными прошивками - и только я словил.

Удалить через ADB не получается - еще пробую.

Спасибо!

Только что, Алексей Викторович сказал:

Все понял. Вашему авторитету доверяю абсолютно. Я попробую другую прошивку Global EU  вместо Индонезии. Может там повезет.

Удивительно, что еще несколько телефонов в семье с аналогичными прошивками - и только я словил.

Удалить через ADB не получается - еще пробую.

Спасибо!

 

Только что, Umnik сказал:

Тогда сначала спроси, какие пользователи стоят:

 

adb shell pm list users

 

Число до первого двоеточия - пройди по ним по всем. Но обычно там 0 только. Если и правда только 0, то попробуй без --user 0, но это хуже вариант.

 

Забыл еще поделиться, что через неделю после обнаружения Зловред Касперским я получил на экране Яндекс Навигатора впервые в жизни окно о фиктивной задолженности за заправку. С чего и понял как все сошлось - и занялся вопрсосм.

[Umnik]

Да, есть надежда, что они не во все регионы встраивают. Проверить можно.

[Алексей Викторович]

6 минут назад, ska79 сказал:

Напишите модель устройства

Xiaomi 11T pro  MIUI 13.0.6  Андроид 12  Заблокирован загрузчик

 

5 минут назад, Umnik сказал:

Тогда сначала спроси, какие пользователи стоят:

 

adb shell pm list users

 

Число до первого двоеточия - пройди по ним по всем. Но обычно там 0 только. Если и правда только 0, то попробуй без --user 0, но это хуже вариант.

Users:
        UserInfo{0:Владелец:c13} running
        UserInfo{999:XSpace:801010} running

 

Failure [DELETE_FAILED_INTERNAL_ERROR]    это без --user 0

[Umnik]

А, 999 ещё откуда-то. Видимо это какая-то фишка прошивки. Так что стоит --user 999 тоже.

[Алексей Викторович]

Только что, Umnik сказал:

А, 999 ещё откуда-то. Видимо это какая-то фишка прошивки. Так что стоит --user 999 тоже.

Все перебрал. Не хочет.

Перепрошью оперативно на другую прошивку.

Результаты доложу. Пару дней.

[Алексей Викторович]

2 часа назад, Umnik сказал:

Да, есть надежда, что они не во все регионы встраивают. Проверить можно.

Похоже победил. Установил MIUI 13.0.6 Тайвань с того же сайта официального ( mirom.ezbox.idv.tw ), что и предыдущую Индонезию с вирусом.

Сбер ничего не находит. Отдельно Касперский тоже.

 

По ADB глянул - его нет.

 

C:\platform-tools>adb shell ls path /cust/app/customized
ls: path: No such file or directory
partner-cn.wps.moffice_eng_63
partner-com.amazon.appmanager_434_41_track
partner-com.amazon.appmanager_435_41_track
partner-com.amazon.appmanager_436_41_track
partner-com.amazon.appmanager_437_41_track
partner-com.amazon.appmanager_438_41_track
partner-com.amazon.mShop.android.shopping_41
partner-com.facebook.katana_91
partner-com.netflix.mediaclient_90
partner-com.spotify.music_159

 

спасибо!