Перейти к содержанию

HEUR:Trojan-Dropper.AndroidOS не удаляется даже после полной замены прошивки через Fastboot


Алексей Викторович

Рекомендуемые сообщения

Приветствую! Возник вопрос – голову неделю ломаю. И не только голову:
Сбербанк-онлайн 14.6.0. Включил антивирус. После сканирования обнаружил HEUR:Trojan-Dropper.AndroidOS.Triada.rq MIUI Global 12.5.3 Андроид 11 (регион Великобритания стоял) путь расположения вируса: /cust/app/customized/partner-com.engloryintertech.caping_43//cust/app/customized/partner-com.engloryintertech.caping_43.apk

А дальше самое интересное:
1. Hard Reset с полным Wipe не помог.
2. Обновление по воздуху на MIUI Global 13.0.6 Андроид 12 не помогло.
3. Полная прошивка через Fastboot через разблокировку/блокировку загрузчика не помогло.

Но название вируса чуть изменилось: HEUR:Trojan-Dropper.AndroidOS.Triada.az путь тот же с названием файла.
Регион я поменял обратно на Россию. Не помогло.
Вообще не понимаю куда копать. ROOT делать и копаться ручками вырезать пока не научился. Что за бред собачий не понимаю. Может кто сталкивался?

Как вообще полная замена прошивки может не помочь не понимаю...

2022-12-23 16-00-48.PNG

2022-12-23 16-01-01.PNG

2022-12-23 16-01-13.PNG

Ссылка на комментарий
Поделиться на другие сайты

adb shell pm path partner-com.engloryintertech.caping → получишь путь

adb pull этот_путь D:/myDir/ → папка myDir на диске D должна существовать

 

Скинуть этот файл мне, например.

  • Like (+1) 1
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

8 часов назад, ska79 сказал:

Может загрузчик разблокирован и пробрался зловред

Загрузчик разблокировал только для перепрошивки с последующей блокировкой загрузчика новой прошивкой с оф.сайта через fastboot. 

 

После этого никаких программ не устанавливаю кроме СберОнлайн и запускаю антивирус в нем. Жду полной проверки и снова обнаруживает вирус.

10 часов назад, Umnik сказал:

adb shell pm path partner-com.engloryintertech.caping → получишь путь

adb pull этот_путь D:/myDir/ → папка myDir на диске D должна существовать

 

Скинуть этот файл мне, например.

Понял. Сделаю. 

Ссылка на комментарий
Поделиться на другие сайты

26.12.2022 в 12:28, Umnik сказал:

adb shell pm path partner-com.engloryintertech.caping → получишь путь

adb pull этот_путь D:/myDir/ → папка myDir на диске D должна существовать

 

Скинуть этот файл мне, например.

Скопировал файл. Куда можно прислать?

Проверка на VirusTotal

ESET-NOD32

A Variant Of Android/Triada.KJ

Fortinet

Android/Triada.HZ!tr

Kaspersky

HEUR:Trojan-Dropper.AndroidOS.Triada.az

ZoneAlarm by Check Point

HEUR:Trojan-Dropper.AndroidOS.Triada.az

Ссылка на комментарий
Поделиться на другие сайты

Да куда угодно, чтобы я мог скачать

 

А хотя, я глянул уже. Знаешь, тебе лучше найти другую прошивку, где вырезано вот это вообще. Потому что семейство Триада - это какой-то ад: https://securelist.ru/attack-on-zygote-a-new-twist-in-the-evolution-of-mobile-threats/28121/

Можешь, конечно, попытаться деинсталлировать через

adb shell pm uninstall --user 0 partner-com.engloryintertech.caping

но высока вероятность, что он снова прилетит.

 

Хотя всё равно скинь. Интересно глянуть будет внутри. Но это уже мой персональный интерес, к делу отношения не имеет.

Ссылка на комментарий
Поделиться на другие сайты

7 минут назад, Umnik сказал:

Хотя всё равно скинь. Интересно глянуть будет внутри. Но это уже мой персональный интерес, к делу отношения не имеет.

ссылка удалена     пароль 123 

Изучил ADB впервые - интересно. Спасибо за поддержку!

 

Я удивился, что прошивку то я с официального сайта скачал свежую. И в ней такой же подарок. Не могло ведь после Fastboot что-то остаться в системе? Или могло?

17 минут назад, Umnik сказал:

А хотя, я глянул уже. Знаешь, тебе лучше найти другую прошивку, где вырезано вот это вообще. Потому что семейство Триада - это какой-то ад: https://securelist.ru/attack-on-zygote-a-new-twist-in-the-evolution-of-mobile-threats/28121/

Можешь, конечно, попытаться деинсталлировать через



adb shell pm uninstall --user 0 partner-com.engloryintertech.caping

но высока вероятность, что он снова прилетит.

При попытке удаления пишет Failure [not installed for 0]

Разные пути пробую - одинаково.

 

Строгое предупреждение от модератора Mark D. Pearlstone
Ссылка удалена. Пункт 9 правил форума.
Ссылка на комментарий
Поделиться на другие сайты

Всё, файл можешь удалять, я забрал.

Я предполагаю, что Xiaomi просто продаёт в свои дешёвые (а может не только дешёвые) телефоны места под партнёрские приложения и даже не проверяет, чем эти приложения занимаются. В данном случае это загрузчик. Он не сам содержит полезную нагрузку (в данном случае - вредоносную), а качает и исполняет. Благо у него в ресурсах прописано довольно много мест, куда он ломится.

 

Я не знаю, как ты удалял. Но, даже если правильно вычистил, другие компоненты прошивки могли тебе доустановить сами то, чего не хватает. В том числе вот это. Я потому и не верю, что удаление через pm поможет, но подсказать команду обязан. Лучше зашить кастом без блотвари. Но тут проблема - это будет означать открытый загрузчик. А это приведёт к тому, что банковские приложения будут ругаться. Раньше так было, по крайней мере.

 

Но тут сам решай, что лучше - троян, описание которого поражает воображение или ноющие приложения, что у тебя загрузчик открыт.

 

41 минуту назад, Алексей Викторович сказал:

Failure [not installed for 0]

Тогда сначала спроси, какие пользователи стоят:

adb shell pm list users

Число до первого двоеточия - пройди по ним по всем. Но обычно там 0 только. Если и правда только 0, то попробуй без --user 0, но это хуже вариант.

Ссылка на комментарий
Поделиться на другие сайты

11 минут назад, Umnik сказал:

Всё, файл можешь удалять, я забрал.

Я предполагаю, что Xiaomi просто продаёт в свои дешёвые (а может не только дешёвые) телефоны места под партнёрские приложения и даже не проверяет, чем эти приложения занимаются. В данном случае это загрузчик. Он не сам содержит полезную нагрузку (в данном случае - вредоносную), а качает и исполняет. Благо у него в ресурсах прописано довольно много мест, куда он ломится.

 

Я не знаю, как ты удалял. Но, даже если правильно вычистил, другие компоненты прошивки могли тебе доустановить сами то, чего не хватает. В том числе вот это. Я потому и не верю, что удаление через pm поможет, но подсказать команду обязан. Лучше зашить кастом без блотвари. Но тут проблема - это будет означать открытый загрузчик. А это приведёт к тому, что банковские приложения будут ругаться. Раньше так было, по крайней мере.

 

Но тут сам решай, что лучше - троян, описание которого поражает воображение или ноющие приложения, что у тебя загрузчик открыт.

Все понял. Вашему авторитету доверяю абсолютно. Я попробую другую прошивку Global EU  вместо Индонезии. Может там повезет.

Удивительно, что еще несколько телефонов в семье с аналогичными прошивками - и только я словил.

Удалить через ADB не получается - еще пробую.

Спасибо!

Только что, Алексей Викторович сказал:

Все понял. Вашему авторитету доверяю абсолютно. Я попробую другую прошивку Global EU  вместо Индонезии. Может там повезет.

Удивительно, что еще несколько телефонов в семье с аналогичными прошивками - и только я словил.

Удалить через ADB не получается - еще пробую.

Спасибо!

 

Только что, Umnik сказал:

Тогда сначала спроси, какие пользователи стоят:

 


adb shell pm list users

 

Число до первого двоеточия - пройди по ним по всем. Но обычно там 0 только. Если и правда только 0, то попробуй без --user 0, но это хуже вариант.

 

Забыл еще поделиться, что через неделю после обнаружения Зловред Касперским я получил на экране Яндекс Навигатора впервые в жизни окно о фиктивной задолженности за заправку. С чего и понял как все сошлось - и занялся вопрсосм.

Ссылка на комментарий
Поделиться на другие сайты

6 минут назад, ska79 сказал:

Напишите модель устройства

Xiaomi 11T pro  MIUI 13.0.6  Андроид 12  Заблокирован загрузчик

 

5 минут назад, Umnik сказал:

Тогда сначала спроси, какие пользователи стоят:

 


adb shell pm list users

 

Число до первого двоеточия - пройди по ним по всем. Но обычно там 0 только. Если и правда только 0, то попробуй без --user 0, но это хуже вариант.

Users:
        UserInfo{0:Владелец:c13} running
        UserInfo{999:XSpace:801010} running

 

Failure [DELETE_FAILED_INTERNAL_ERROR]    это без --user 0

Ссылка на комментарий
Поделиться на другие сайты

Только что, Umnik сказал:

А, 999 ещё откуда-то. Видимо это какая-то фишка прошивки. Так что стоит --user 999 тоже.

Все перебрал. Не хочет.

Перепрошью оперативно на другую прошивку.

Результаты доложу. Пару дней.

Ссылка на комментарий
Поделиться на другие сайты

2 часа назад, Umnik сказал:

Да, есть надежда, что они не во все регионы встраивают. Проверить можно.

Похоже победил. Установил MIUI 13.0.6 Тайвань с того же сайта официального ( mirom.ezbox.idv.tw ), что и предыдущую Индонезию с вирусом.

Сбер ничего не находит. Отдельно Касперский тоже.

 

По ADB глянул - его нет.

 

C:\platform-tools>adb shell ls path /cust/app/customized
ls: path: No such file or directory
partner-cn.wps.moffice_eng_63
partner-com.amazon.appmanager_434_41_track
partner-com.amazon.appmanager_435_41_track
partner-com.amazon.appmanager_436_41_track
partner-com.amazon.appmanager_437_41_track
partner-com.amazon.appmanager_438_41_track
partner-com.amazon.mShop.android.shopping_41
partner-com.facebook.katana_91
partner-com.netflix.mediaclient_90
partner-com.spotify.music_159

 

спасибо!

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Vyacheslav_G
      От Vyacheslav_G
      CollectionLog-2024.12.25-10.09.zip Точно сказать когда вирус появился не могу,называется chromium:page.malware.url. Проводил сканирование через Dr web,вроде бы вылечил,но при повторном сканировании dr web опять нашел его,и так еще несколько раз. По итогу мне надоело и я переустановил винду,  решил повторно проверить через dr web,он опять нашел его,я опять переустановил винду.Первые несколько программ которые я установил были google,dr web,telegram и steam. Опять делаю проверку на вирусы, и он опять находит его. Как его удалить?
    • bakanov
      От bakanov
      Добрый день , поймали шифровальщик HEUR:Trojan-Ransom.Win32.Mimic.gen. Залез судя по всему через RDP , отсканировал домен, получил доступы к администратору домена domain\administrator и начал все шифровать куда есть доступы админа. Машину вырубили, загрузился с livecd , нашел хвосты , временные файлы и т.д. Есть варианты файлов до шифровки и после шифровки , есть ли возможность найти ключик для дешифровки для конкретно это машины ?
    • raviloli
      От raviloli
      Вообщем, поменял термопасту, снял процессор, все сделал, поставил обратно - пк не запустился, бп ушел в защиту, разобрал, оказывается я поставил процессор наоборот, поставил уже правильно - пк стартанул, кулеры закрутились - но изображения нет, все перепробывал, переставлял оперативку местами, вытаскивал батарейку cmos, продул все слоты от пыли и т.д, вообщем, буквально все проверил - 0 результата, причем процессор греется а по звуку слышно, как запускается винда, но изображения все так же нет. Мог ли я сломать сокет или погнуть какую нибудь ножку ответственную за вывод изображения на монитор? Или еще что угробил? Видеокарту не трогал вообще, навряд ли с ней что то, но проверить без нее не могу, другой видеокарты нет, а процц без встройки, монитор тоже проверял, ставил другой - так же безрезультатно.
      Забыл упомянуть, сокет LGA 1700, проц 12100F
    • wwewww
      От wwewww
      Доброго времени суток, никак не выходит удалить вирус "CHROMIUM:PAGE.MALWARE.URL". При запуске хрома с включенной синхронизацией, вирус повторно появляется после обезвреживания. Возможно ли избавится от него?

       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь".
    • paradise
      От paradise
      В один день решил скачать читы для игры, естественно с левых сайтов, понимая что наверное будут вирусы, перед открытием первого файла установил dr web cureit, тк раньше им пользовался и он помогал. После скачивания и открытия примерно 3 файлов одного приложения с рахзных сайтов (одного приложения, потому что оно не работало после скачивания) решил проверить с помощью drweb cureit. Выдал 4 вируса, в том числе этот неудаляемый, все обезвредил. Перезагружаю ПК, сканирую cureit'ом опять вылазит этот же вирус. Наверное подхватил с этих левых сайтов, может раньше, это знать не могу потому что не проверял комп на вирусы
      CollectionLog-2024.10.17-08.19.zip
       
       
×
×
  • Создать...