На смартфоне Nomu S10 завёлся рекламный вирус, не удаляется.

[Sandynist]

 

 

Есть какие-то новости?

 

Видел пострадавшего владельца телефона, он жаловался, что реклама стала выскакивать намного чаще, чем раньше. Когда он в первый раз показывал свой смартфон с этой проблемой, то почему-то полчаса пришлось ждать, когда появятся баннеры. Во второй раз они появлялись с частотой приблизительно по одному в 30  сек.

 

Python 3 скачал себе на компьютер, что делать дальше?

P.S. Возможны задержки с исполнением тех или иных рекомендаций, так как у пользователя нет другого смартфона, соответственно этот свой заражённый аппарат он не может оставить мне для диагностики и лечения.

[Umnik]

До питона сделай то, что в первом варианте. У меня релиз на носу и сейчас я не буду писать скрипты.

[Sandynist]

 

 

Это похоже на Window Manager. Проверить не трудно, если при появлении этого экрана нажать на кнопку Недавние, то: 1. Если будет миниатюрка этого экрана — это активити.

 

Проблема углубилась и расширилась. Теперь телефон начинает выкидывать рекламу сразу при попытке начала работы, сложно закрыть всплывающие окна с рекламой.

 

Сегодня вечером пользователь принёс свой смартфон мне. Вопрос по инструкции — кнопку «Недавние» где искать?

[Umnik]

Квадрат — Недавние

Круг — Домой

Треугольник — Назад.

[Sandynist]

В недавних ничего подозрительного нет.

Если включить отображение системных процессов, то есть вот такая непонятная фигня на китайском. Кнопки «Остановить» и «Отключить» неактивные.

 

Удалил приложения Magic и ClockWallPaper, затем открыл Гугл Плей. Сразу-же выскочило сообщение от KISa, что обнаружены два новых приложения. Нажал на «Проверить».

 

В итоге получил сообщение о рекламной программе. На предложение удалить нажал на «Ok». Непонятно, какое второе приложение было?  Его KISa пропустил что-ли?

 

 

 

Ткнул в KISa, он выдал, что обнаружен троян «Settings», удалил его.

 

Тут же прилетело ещё три новых приложения 

 

 

 

Попробуйте adguard поставить.

 

 

Совет мимо кассы (ну впрочем как и всегда ранее). AdGuard работает в браузере, а эта реклама выводится минуя браузеры, поверх всего, даже поверх окон KISa (хотя по идее с антивирусом такого быть не должно в принципе).

Изменено 8 мая, 2019 пользователем Sandynist

[ska79]

Загрузчик в прошивке скорее всего.

[Umnik]

Если КИС что-то детектирует, то не сноси пока. Выполни adb shell pm list packages -i > file.txt

Разумеется adb должен быть где-то рядом.

[Sandynist]

Ну на нём не только KISa что-то детектирует. Другие антивирусы более детально во всём этом расписали.

 

 

 

В общем присобачил к смартфону TWRP и root-права. Теперь должно быть попроще.

[Umnik]

Сначала сделай то, что я прошу.

[Sandynist]

Я перепрошил его на Андроид 7.0, человеку завтра нужен телефон с утра, а у меня уже половина третьего ночи. Так что в этот раз не судьба. 

В официальном списке прошивок сообщается, что во всех ранних версиях были вирусы от разработчиков. Так что там антивирусы будут бессильны чего-либо сделать.

 

 

Перечень прошивок взял с 4pda.

[Umnik]

Вывод команды, что я дал, возможно, сообщила бы, какие именно приложения устанавливали заразу. И мы бы тогда сделали детект на сами эти приложения, а не только на то, что они устанавливали.

[Sandynist]

Ну там много чего было не так, я заскринил перед прошивкой:

 

     

 

 

[Umnik]

Ну и? Мы не ругались на эти приложения что ли?

[Sandynist]

Да вирусу вообще-то уже три года: https://xakep.ru/2016/11/16/adups-fota-backdoor/

Прошивка на смартфоне стояла тоже в аккурат трёхгодичной давности.

 

Так что логика KISa тут ясна — какой смысл детектировать заразу, если удалить всё равно нельзя?

[Sandynist]

По части SecurityService.apk — это тоже баян, обсуждалось на 4pda два года тому назад:  https://4pda.ru/forum/lofiversion/index.php?t780422-2920.html

Так что видимо самый правильный путь в сложившейся ситуации, не лечить, а отрезать ножом, то есть перепрошить чистой прошивкой.