Overmax z firmowym trojanem

Początkiem było urwanie ziemnego kabla telefonicznego przez ciężarówkę.

Netii naprawa tego, skądinąd prosta, zajęła dwa tygodnie.

Szczęśliwie miałem, zamówioną na wszelki wypadek, kartę Aero 2. Telefon posłużył do kupienia modemu na Allegro – i po kilku dniach Internet był. Znośny, aczkolwiek mocno rozbudowane strony nie zawsze się ładowały.

 A jak Netia naprawiła, postanowiłem się zabezpieczyć na przyszłość – i kupiłem w Proline najtańszy tablet z obsługą Aero 2: Overmax qualcore 7022 3G.

Co do tabletu: dziadostwo – bardzo marny smartfon przerobiony na tablet. Wyjątkowo zła kamera, akumulator trzymający dzień.

 Pierwszą niespodzianką było samorzutne otwieranie się w przeglądarce strony `m.yoyogame.net’. W każdej przeglądarce… Przez jakiś czas UC Browser tylko temu się nie dawał.

Przeglądanie sieci stało się skrajnie niewygodne.

Zacząłem się przyglądać systemowi.

Na pulpicie samorzutnie tworzyła się ikona `powerclean’ – różniąca się od ikony programu `powerclean’.

Dokształciłem się.

Skan przez Malwarebytes wyjaśnił sytuację – trojan w systemowej aplikacji `GoogleSearch.apk’. Systemowej – czyli nie do usunięcia przez użytkownika.

Trojan tworzył na karcie SD plik `PowerClean.apk’.

VirusTotal potwierdził – malware…

 Myślałem, że złapałem to sam, ale kilkukrotne resetowanie instalacji wyjaśniło, że nie trzeba nic robić by trojan się pojawił – wystarczy tylko poczekać…

redline


Otwarcie jakiejkolwiek przeglądarki skutkuje otwarciem strony yoyogame.net.

01 yoyogame

 


Sam z siebie pojawia się komunikat „Shortcut `power clean’ created”

02 powerclean 1

 


To właśnie on:

03 powerclean 2

 


A to obok shortcuta do prawdziwej aplikacji „Power Clean”:

04 powerclean 3

 


Malwarebytes trojana znalazło – w systemowej aplikacji Google Search.

Systemowa – czyli nie do usunięcia przez użytkownika…

05 malwarebytes

 


Na karcie SD pojawiała się APK.

06 powercleanapk

 


VirusTotal identyfikował ją jako trojana.

07 VirusTotal

 


redline


 

Napisałem do serwisu, polecili przysłać. Wysłałem, naprawione dostałem z powrotem.

Także z trojanem, ale lepiej ukrytym: żadnych plików i ikon. A Malwarebytes się wywalał przy skanie…

Ale jednak potrafił wykryć, że trojan jest w tym samym miejscu…

Serwis zainstalował lepszego trojana

Nadal pchał się do przeglądarek, ale teraz także wyświetlał reklamy, ostrzegał o wirusach i instalował w nocy gry.

 

10 malwarebytes 1

 


Skan, jeżeli się udał,  wyszukiwał nadal to samo:

11 malwarebytes 2

 


Trojan w działaniu:

20 ad

 


Trojan w działaniu:

21 ad

 


Trojan w działaniu:

22 ad

 


Trojan w działaniu:

23 ad

 


Trojan w działaniu:

24 ad

 


A tutaj przyglądamy się bliżej trojanowi. Jak widać – serwuje reklamy z Google

30 wyszukiwarka

 


 

redline

Tego to już nie można było wytrzymać…

Więc znowu się poduczyłem, roota uzyskałem stąd: www.kingoapp.com ,

appka wrzucona na kartę SD, odpalona, chwila emocji – i po chwili root!

No a potem `system app remover’ / JUMOBILE – I wyszukiwarki nie ma… problemów też.


Zakończenie:

Malwarebytes znalazł potem jeszcze jednego trojana – usunięty.

Potem Factory Data Reset – i chyba koniec!

No, systemowy browser przy ustawionej stronie startowej about:blank staruje z overmax.eu, ale to…

Advertisements
Ten wpis został opublikowany w kategorii Komputery i Internet i oznaczony tagami , . Dodaj zakładkę do bezpośredniego odnośnika.

Jedna odpowiedź na „Overmax z firmowym trojanem

  1. Pawel pisze:

    Witam,
    Trafilem tutaj bo szukalem w necie czy moje podejrzenia do aplikacji „Wyszukiwarka” są poprawne. Przykra sprawa.
    Kupilem tablet jako 2-gie przenosne urzadzenie, tylko do YT i poczty.
    Zdawalem sobie sprawe ze niskiej jakosci i niezbyt duzych mozliwosciach. OK.
    To normalne przy cenie (jakos 400zl).
    Ale malware ? i to nawet po „twardym resecie”.
    Dostawac takie cos w firmware. Dla mnie to Bardzo duza wada. Bede o tym kazdemu mowil.
    Jestem mgr inz inf to sobie poradze (przez roota) ale 95% ludzi jest skazanych na … na nie uzywanie tableta.

Skomentuj

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Log Out / Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Log Out / Zmień )

Facebook photo

Komentujesz korzystając z konta Facebook. Log Out / Zmień )

Google+ photo

Komentujesz korzystając z konta Google+. Log Out / Zmień )

Connecting to %s