J'ai un vieux téléphone (2016) Mediatek mtk6580 chipset (non rooté/stock). Il y a quelques jours, j'ai téléchargé une application appelée "Apk extractor" depuis play store, et j'ai extrait les applications du système sur la carte SD. Puis de là, je les ai téléchargés sur https://virustotal.com et j'ai découvert que, Cadre du système Android , com.mediatek , Vue web du système Android , eSETterminal y Fournisseur de navigateur pour Android avaient des malwares dedans. Il y a quelques jours, une vulnérabilité sérieuse (mtk-su) pour le mediatek mt65** a été trouvée qui donne à un utilisateur un privilège Root temporaire. J'ai été en mesure d'obtenir la permission Root et j'ai fait mount -o rw,remount /system et est allé directement à /system/app/ et supprimé Vue web du système Android y Fournisseur de navigateur pour Android . Cependant, je n'ai pas été capable de trouver com.mediatek auf /system/app et l'a trouvé sur /data/data . Je l'ai supprimé de là. Mais ensuite j'ai fait une réinitialisation du système. com.mediatek était toujours là. De plus, je ne pouvais pas supprimer Cadre de service Android parce que j'ai essayé de faire adb shell pm uninstall -k --user 0 android et je ne pouvais accéder à rien depuis le menu de notification. Pour l'instant, j'ai désactivé les applications avec adb shell pm uninstall -k --user 0 com.app.name . Existe-t-il un moyen de supprimer définitivement com.mediatek .
Si cela peut vous aider, je peux joindre un dumpsys adb et des logs adb logcat. J'ai remarqué quelques comportements suspects comme, lorsque je quitte une application, les données/le wifi s'arrêtent complètement, et les logs du vpn disent que changement de réseau détecté . Aucun des autres téléphones n'a ce problème. Je pense que je pourrais avoir affaire à quelque chose d'important ici.
Edit :
Bon, je n'ai pas tous les liens, mais deux de ces applications étaient avec moi, et je fournis ici les liens de numérisation pour eSet terminal et webview.
11 votes
Obtenir les autorisations temporaires de la racine et supprimer les applications du système est le moyen le plus simple de rendre votre appareil inutilisable. Si un téléphone est infecté par un logiciel malveillant au niveau du système, vous devez réinstaller l'ensemble du micrologiciel. BTW : Je ne suis pas sûr que le vôtre le soit vraiment, virustotal a plusieurs façons de mal interpréter les résultats, vous devriez poster les liens de virus total vers les résultats de l'analyse.
2 votes
Que dit le contrôle d'intégrité de Root ?
11 votes
~60 AVs disent que le fichier est sûr, et 1 dit qu'il ne l'est pas. Pourquoi supposez-vous que le 1 est correct ? xkcd.com/882
0 votes
@alecxs La vérification de l'intégrité de la racine indique qu'il manque quelques applications, c'est tout. Des applications comme webview, YouTube et Browser provider.
0 votes
Mais je me demande toujours pourquoi je ne peux pas effacer com.mediatek . J'ai essayé de la supprimer de /data/data et /data/user/0 et j'ai aussi essayé "pm uninstall --user 0" et je me suis retrouvé avec l'application à chaque réinitialisation du système.
2 votes
C'est le composant de base que vous pouvez trouver /system/vendor/framework/mediatek-res/mediatek-res.apk il fonctionne avec Android.uid.system
1 votes
Il se peut que tous les appareils de ce modèle/ROM soient livrés avec des logiciels malveillants d'extraction de données, ce qui n'est pas inhabituel xda-developers.com/
0 votes
@alecxs Oui ! !! j'ai trouvé l'application dans /system/framework/mediatek-res/mediatek-res.apk. Puis je l'ai supprimée ! !! j'étais coincé dans un bootloop. J'ai bien fait de copier l'application dans /sdcard avant de la supprimer. Je suis allé dans /data/local/tmp et j'ai fait su, puis j'ai recopié le fichier là où il était. Apparemment, cette application ne peut pas être supprimée. Zut
3 votes
Parce que ce n'est pas une application. C'est un conteneur de ressources qui contient des chaînes de caractères, des images, des couleurs, des styles, etc. dont le système dépend.
0 votes
Merci @TheWanderer