Перейти к содержанию

HEUR:Trojan-Dropper.AndroidOS не удаляется даже после полной замены прошивки через Fastboot


Алексей Викторович

Рекомендуемые сообщения

Алексей Викторович

Приветствую! Возник вопрос – голову неделю ломаю. И не только голову:
Сбербанк-онлайн 14.6.0. Включил антивирус. После сканирования обнаружил HEUR:Trojan-Dropper.AndroidOS.Triada.rq MIUI Global 12.5.3 Андроид 11 (регион Великобритания стоял) путь расположения вируса: /cust/app/customized/partner-com.engloryintertech.caping_43//cust/app/customized/partner-com.engloryintertech.caping_43.apk

А дальше самое интересное:
1. Hard Reset с полным Wipe не помог.
2. Обновление по воздуху на MIUI Global 13.0.6 Андроид 12 не помогло.
3. Полная прошивка через Fastboot через разблокировку/блокировку загрузчика не помогло.

Но название вируса чуть изменилось: HEUR:Trojan-Dropper.AndroidOS.Triada.az путь тот же с названием файла.
Регион я поменял обратно на Россию. Не помогло.
Вообще не понимаю куда копать. ROOT делать и копаться ручками вырезать пока не научился. Что за бред собачий не понимаю. Может кто сталкивался?

Как вообще полная замена прошивки может не помочь не понимаю...

2022-12-23 16-00-48.PNG

2022-12-23 16-01-01.PNG

2022-12-23 16-01-13.PNG

Ссылка на сообщение
Поделиться на другие сайты

adb shell pm path partner-com.engloryintertech.caping → получишь путь

adb pull этот_путь D:/myDir/ → папка myDir на диске D должна существовать

 

Скинуть этот файл мне, например.

Ссылка на сообщение
Поделиться на другие сайты
Алексей Викторович
8 часов назад, ska79 сказал:

Может загрузчик разблокирован и пробрался зловред

Загрузчик разблокировал только для перепрошивки с последующей блокировкой загрузчика новой прошивкой с оф.сайта через fastboot. 

 

После этого никаких программ не устанавливаю кроме СберОнлайн и запускаю антивирус в нем. Жду полной проверки и снова обнаруживает вирус.

10 часов назад, Umnik сказал:

adb shell pm path partner-com.engloryintertech.caping → получишь путь

adb pull этот_путь D:/myDir/ → папка myDir на диске D должна существовать

 

Скинуть этот файл мне, например.

Понял. Сделаю. 

Ссылка на сообщение
Поделиться на другие сайты
Алексей Викторович
26.12.2022 в 12:28, Umnik сказал:

adb shell pm path partner-com.engloryintertech.caping → получишь путь

adb pull этот_путь D:/myDir/ → папка myDir на диске D должна существовать

 

Скинуть этот файл мне, например.

Скопировал файл. Куда можно прислать?

Проверка на VirusTotal

ESET-NOD32

A Variant Of Android/Triada.KJ

Fortinet

Android/Triada.HZ!tr

Kaspersky

HEUR:Trojan-Dropper.AndroidOS.Triada.az

ZoneAlarm by Check Point

HEUR:Trojan-Dropper.AndroidOS.Triada.az

Ссылка на сообщение
Поделиться на другие сайты

Да куда угодно, чтобы я мог скачать

 

А хотя, я глянул уже. Знаешь, тебе лучше найти другую прошивку, где вырезано вот это вообще. Потому что семейство Триада - это какой-то ад: https://securelist.ru/attack-on-zygote-a-new-twist-in-the-evolution-of-mobile-threats/28121/

Можешь, конечно, попытаться деинсталлировать через

adb shell pm uninstall --user 0 partner-com.engloryintertech.caping

но высока вероятность, что он снова прилетит.

 

Хотя всё равно скинь. Интересно глянуть будет внутри. Но это уже мой персональный интерес, к делу отношения не имеет.

Ссылка на сообщение
Поделиться на другие сайты
Алексей Викторович
7 минут назад, Umnik сказал:

Хотя всё равно скинь. Интересно глянуть будет внутри. Но это уже мой персональный интерес, к делу отношения не имеет.

ссылка удалена     пароль 123 

Изучил ADB впервые - интересно. Спасибо за поддержку!

 

Я удивился, что прошивку то я с официального сайта скачал свежую. И в ней такой же подарок. Не могло ведь после Fastboot что-то остаться в системе? Или могло?

17 минут назад, Umnik сказал:

А хотя, я глянул уже. Знаешь, тебе лучше найти другую прошивку, где вырезано вот это вообще. Потому что семейство Триада - это какой-то ад: https://securelist.ru/attack-on-zygote-a-new-twist-in-the-evolution-of-mobile-threats/28121/

Можешь, конечно, попытаться деинсталлировать через



adb shell pm uninstall --user 0 partner-com.engloryintertech.caping

но высока вероятность, что он снова прилетит.

При попытке удаления пишет Failure [not installed for 0]

Разные пути пробую - одинаково.

 

Строгое предупреждение от модератора Mark D. Pearlstone
Ссылка удалена. Пункт 9 правил форума.
Ссылка на сообщение
Поделиться на другие сайты

Всё, файл можешь удалять, я забрал.

Я предполагаю, что Xiaomi просто продаёт в свои дешёвые (а может не только дешёвые) телефоны места под партнёрские приложения и даже не проверяет, чем эти приложения занимаются. В данном случае это загрузчик. Он не сам содержит полезную нагрузку (в данном случае - вредоносную), а качает и исполняет. Благо у него в ресурсах прописано довольно много мест, куда он ломится.

 

Я не знаю, как ты удалял. Но, даже если правильно вычистил, другие компоненты прошивки могли тебе доустановить сами то, чего не хватает. В том числе вот это. Я потому и не верю, что удаление через pm поможет, но подсказать команду обязан. Лучше зашить кастом без блотвари. Но тут проблема - это будет означать открытый загрузчик. А это приведёт к тому, что банковские приложения будут ругаться. Раньше так было, по крайней мере.

 

Но тут сам решай, что лучше - троян, описание которого поражает воображение или ноющие приложения, что у тебя загрузчик открыт.

 

41 минуту назад, Алексей Викторович сказал:

Failure [not installed for 0]

Тогда сначала спроси, какие пользователи стоят:

adb shell pm list users

Число до первого двоеточия - пройди по ним по всем. Но обычно там 0 только. Если и правда только 0, то попробуй без --user 0, но это хуже вариант.

Ссылка на сообщение
Поделиться на другие сайты
Алексей Викторович
11 минут назад, Umnik сказал:

Всё, файл можешь удалять, я забрал.

Я предполагаю, что Xiaomi просто продаёт в свои дешёвые (а может не только дешёвые) телефоны места под партнёрские приложения и даже не проверяет, чем эти приложения занимаются. В данном случае это загрузчик. Он не сам содержит полезную нагрузку (в данном случае - вредоносную), а качает и исполняет. Благо у него в ресурсах прописано довольно много мест, куда он ломится.

 

Я не знаю, как ты удалял. Но, даже если правильно вычистил, другие компоненты прошивки могли тебе доустановить сами то, чего не хватает. В том числе вот это. Я потому и не верю, что удаление через pm поможет, но подсказать команду обязан. Лучше зашить кастом без блотвари. Но тут проблема - это будет означать открытый загрузчик. А это приведёт к тому, что банковские приложения будут ругаться. Раньше так было, по крайней мере.

 

Но тут сам решай, что лучше - троян, описание которого поражает воображение или ноющие приложения, что у тебя загрузчик открыт.

Все понял. Вашему авторитету доверяю абсолютно. Я попробую другую прошивку Global EU  вместо Индонезии. Может там повезет.

Удивительно, что еще несколько телефонов в семье с аналогичными прошивками - и только я словил.

Удалить через ADB не получается - еще пробую.

Спасибо!

Только что, Алексей Викторович сказал:

Все понял. Вашему авторитету доверяю абсолютно. Я попробую другую прошивку Global EU  вместо Индонезии. Может там повезет.

Удивительно, что еще несколько телефонов в семье с аналогичными прошивками - и только я словил.

Удалить через ADB не получается - еще пробую.

Спасибо!

 

Только что, Umnik сказал:

Тогда сначала спроси, какие пользователи стоят:

 


adb shell pm list users

 

Число до первого двоеточия - пройди по ним по всем. Но обычно там 0 только. Если и правда только 0, то попробуй без --user 0, но это хуже вариант.

 

Забыл еще поделиться, что через неделю после обнаружения Зловред Касперским я получил на экране Яндекс Навигатора впервые в жизни окно о фиктивной задолженности за заправку. С чего и понял как все сошлось - и занялся вопрсосм.

Ссылка на сообщение
Поделиться на другие сайты
Алексей Викторович
6 минут назад, ska79 сказал:

Напишите модель устройства

Xiaomi 11T pro  MIUI 13.0.6  Андроид 12  Заблокирован загрузчик

 

5 минут назад, Umnik сказал:

Тогда сначала спроси, какие пользователи стоят:

 


adb shell pm list users

 

Число до первого двоеточия - пройди по ним по всем. Но обычно там 0 только. Если и правда только 0, то попробуй без --user 0, но это хуже вариант.

Users:
        UserInfo{0:Владелец:c13} running
        UserInfo{999:XSpace:801010} running

 

Failure [DELETE_FAILED_INTERNAL_ERROR]    это без --user 0

Ссылка на сообщение
Поделиться на другие сайты
Алексей Викторович
Только что, Umnik сказал:

А, 999 ещё откуда-то. Видимо это какая-то фишка прошивки. Так что стоит --user 999 тоже.

Все перебрал. Не хочет.

Перепрошью оперативно на другую прошивку.

Результаты доложу. Пару дней.

Ссылка на сообщение
Поделиться на другие сайты
Алексей Викторович
2 часа назад, Umnik сказал:

Да, есть надежда, что они не во все регионы встраивают. Проверить можно.

Похоже победил. Установил MIUI 13.0.6 Тайвань с того же сайта официального ( mirom.ezbox.idv.tw ), что и предыдущую Индонезию с вирусом.

Сбер ничего не находит. Отдельно Касперский тоже.

 

По ADB глянул - его нет.

 

C:\platform-tools>adb shell ls path /cust/app/customized
ls: path: No such file or directory
partner-cn.wps.moffice_eng_63
partner-com.amazon.appmanager_434_41_track
partner-com.amazon.appmanager_435_41_track
partner-com.amazon.appmanager_436_41_track
partner-com.amazon.appmanager_437_41_track
partner-com.amazon.appmanager_438_41_track
partner-com.amazon.mShop.android.shopping_41
partner-com.facebook.katana_91
partner-com.netflix.mediaclient_90
partner-com.spotify.music_159

 

спасибо!

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • denissevostanov
      От denissevostanov
      решил провести чистку и наткнулся на файл winserver.exe в папке windows/media я начал сканирование системы через hitmanpro определил как вирус после этого были попытки поместить в карантин после этого всего увидел что был украден аккаунт стим и взломан аккаунт гугл пытался удалить без успешно заново появлялся через некоторое время начал сканировать его еще раз но он уже не определялся как вирус и теперь не знаю могу ли я как прежне пользоваться пк
    • PashaR
      От PashaR
      Добрый вечер, мне кажется, что я подцепил вирус на свой ПК, помогите решить проблему, пожалуйста. Понял, что что-то идет не так, когда вдруг при включении ПК обнаружил, что Яндекс.Браузер и антивирус Avast сами по себе удалились. Причем Avast все еще есть среди файлов на диске, да и в диспетчере задач на фоне отображается, но в "Панель управления>Удаление приложений" я его не увидел. Так же он отображается работающим в "Безопасность Windows>Защита от вирусов и угроз", но при нажатии на кнопку открыть ничего не происходит. Если попробовать скачать и запустить установщик, то он зависает на долгое время, а потом вылетает. Яндекс.Браузер совсем пропал, при попытке его переустановить вылазит предупреждение о трояне в папке temp и предложение лечить перезагрузкой (фото 1 и 2), название у файлов каждый раз новое. Если лечить без перезагрузки, то установщик браузера закрывается не закончив установку, а компьютер начинает очень тормозить и гудеть, если нажать лечить перезагрузкой, то пк перестает реагировать на любые действия и выдает ошибки памяти (фото 3), даже проводник и диспетчер задач не открывает. Сканировал разными программами: HitManPro, ESET Online Scanner, dr.Web, KVRT - ни одна ничего не обнаружила. Так же заметил, что в "Свойства системы>Защита системы" есть как-то странный диск с подозрительным названием (фото 4), раньше я сюда не залазил, так что не знаю был ли он там ранее, при нажатии на кнопку "Настроить" текущее окно вылетает, а окно настроек не открывается. Когда открываю диспетчер задач, то долю секунды наблюдаю загруженность ЦП в 90-100%, потом быстро падает, отследить что за задача так его нагружает не возможно за такое короткое время, поэтому думаю, что может это скрытый майнер. Результат сканирования прикрепил. Спасибо)
       
      CollectionLog-2023.02.01-00.00.zip
    • Макс2344234
      От Макс2344234
      У меня каждые 3 секунды это вылазит без остановки! ЧТО ДЕЛАТЬ?
      Событие: Загрузка остановлена
      Пользователь: НЕ СКАЖУ
      Тип пользователя: Активный пользователь
      Имя программы: msedge.exe
      Путь к программе: C:\Program Files (x86)\Microsoft\Edge\Application
      Компонент: Веб-Антивирус
      Описание результата: Запрещено
      Тип: Возможна неправомерная загрузка ПО
      Степень угрозы: Высокая
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • DramaticCarAuthor
      От DramaticCarAuthor
      Здравствуйте. После запуска установщика, полученного из торрента, в основной браузер (google chrome) без моего вмешательства установилось расширение "savevpn", при взаимодействии с ним ничего не происходит, источником установки был длинный локальный путь на этом компьютере. Я сразу удалил расширение. Мне кажется, что этого шага может быть недостаточно, так же не ясно что ещё могло быть установлено. Поводом для беспокойства послужил результат (imgur ссылка с результатом сканирования) полной проверки антивирусом. Последующие проверки Касперским, Dr.Web CureIt ничего не показали, всё же считаю нужным убедиться, что угрозы нет. 
      CollectionLog-2023.01.30-07.20.zip
    • arti
      От arti
      Здравствуйте, что может быть? Если делать полную проверку ни чего не находит, как открывается браузер постоянно выскакивает это(
      У меня касперский тотал секьюрити, что это может быть, и как мне его побороть?

×
×
  • Создать...