3 votes

Parag Humane avatar

Suppression du cheval de Troie Android

Demandé el 22 de Juillet, 2016
Quand la question a-t-elle été
3604 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai le smartphone Android "Lava Iris 455". Mon téléphone n'est pas rooté. Depuis la semaine dernière, j'ai installé un fichier APK à partir d'un site web. Après un deuxième jour, je réalise qu'un cheval de Troie est installé sur mon téléphone. Il télécharge des applications Android automatiquement lorsque la connexion de données est sur mon téléphone.

J'ai installé AVG Antivirus à partir de Google Play Store. Il montre que le cheval de Troie suivant est installé sur mon téléphone :

  • Nom : netalpha 3.1.8
  • paquet : com.play.photo.json.alpha
  • emplacement : /system/app/LibsCore.apk

  • Date d'installation : 2016/07/19**

    1. L'antivirus AVG n'a pas réussi à supprimer ce cheval de Troie.
    2. L'antivirus Lookout indique que la désinstallation n'a pas abouti.
    3. Après une réinitialisation d'usine, il revient à nouveau.
    4. J'ai essayé manuellement de forcer l'arrêt du service, de le désactiver, d'effacer les données. Il est activé automatiquement.

J'ai cherché ce problème sur Google, mais je n'ai pas trouvé de solution.

La dernière option est de flash Android stock ROM au téléphone avec le logiciel de flashage.

J'ai deux questions :

  1. Comment le cheval de Troie est-il installé dans le répertoire /system/app même si mon téléphone n'est pas encore rooté ?
  2. De toute évidence, s'il est installé dans le répertoire System App, il doit pouvoir être supprimé sans que je doive mettre mon téléphone en rooting.
Demandé el 22 de Juillet, 2016 par Parag Humane

Réponses

Trop de publicités?

1voto

Andy Herbert avatar
Andy Herbert Points 21

Après avoir lu ceci, je suis allé voir sur mon téléphone que /system/app contient des dossiers pour les apps Google, plus probablement les apps stock. Faites une sauvegarde du téléphone (les sauvegardes ne comprennent que les applications du Play Store et les autres données) et effacez-le. Vous devrez peut-être obtenir un fichier image pour votre téléphone, installer une restauration comme TWRP ou CWM, effacer la partition système, puis installer l'image os et restaurer.

Répondu el 22 de Juillet, 2016 par Andy Herbert (21 Points )

1voto

Dan Brown avatar
Dan Brown Points 1748

Après quelques recherches (notamment dans la base de données AVG), il signale trois choses

LibsCore.apk est la victime dans cette affaire. Laissez-le vivre et aimer.

com.play.photo.Jason.alpha s'affiche comme n'étant PAS un cheval de Troie, mais une collection de trois modules malveillants distincts. Ces modules sont

  1. Airpus

  2. Malware générique

  3. gp ei ccc (quelqu'un peut-il expliquer ce nom ?)

    • Malware générique est un logiciel malveillant qui, eh bien, fait les choses de base, comme lancer des gâteaux et enregistrer les frappes au clavier (mots de passe, etc.). Le genre de choses que l'on attend d'un morceau de code hostile.

    • airpus est un logiciel malveillant qui fait BEAUCOUP moins que son frère générique et ennuyeux. La seule chose qu'ils ont en commun est le vol de données personnelles. Cependant, airpus est aussi un adware, et affichera des publicités PARTOUT (croyez-moi par expérience personnelle).

    • gp ei ccc semble s'injecter dans les appareils en utilisant des sites web légitimes ET illégitimes. Il peut constituer une menace pour la vie privée mais ouvre également un accès Root pour les autres modules de logiciels malveillants.

Alors, que pouvez-vous faire ?

Eh bien, comme je le vois, vous avez 4 options

  1. Enracinez l'appareil, et supprimez LibsCore.apk et espérez que rien ne s'écroule. Cela peut ne pas fonctionner si le malware a un script de survie.

  2. Rooter l'appareil, faire une installation propre de la ROM*. Cela donne les meilleures chances de réussite, mais n'a pas 100% de chances de fonctionner (loi de Murphy).

  3. Faites avec.

  4. Prends un nouveau téléphone.

Désolé d'être brutal avec les deux derniers, mais ce sont des options.

Bonne chance, et bonne chasse, Enthousiaste !

*Izzy l'a dit en premier, donc il peut être crédité. Ça ne me dérange pas. Bon sang, j'aurais probablement oublié de le mettre dans la réponse sinon.

Pour répondre à vos questions...

  • de nombreuses applications peuvent utiliser des exploits et des vulnérabilités du système pour obtenir un accès à Root pour elles-mêmes, comme les logiciels malveillants.

  • Non, j'ai peur. Le malware a utilisé un exploit pour gagner Root et s'installer dans /system/app. Vous devrez donc également obtenir le statut Root pour modifier le répertoire /system/app. Les logiciels malveillants se donnent essentiellement des racines, vous devez donc faire de même pour vous.

Répondu el 22 de Juillet, 2016 par Dan Brown (1748 Points )

Questions en vedette

Top Tags

Dans notre réseau

androidalle.com

AndroidAlle est une communauté de androiders où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X