Guerrila Trojan/Malware στο Android κινητό μου.

[GriGaS]

Πριν μερικούς μήνες, στο εντελώς ξεκάρφωτο άρχισαν να βγαίνουν pop up στο κινητό μου και να κατεβαίνουν αυτόματα διαφημίσεις. Δεν είχα μπει σε κάποια περίεργη ιστοσελίδα, ούτε είχα εγκαταστήσει κάποιο apk εκτός playstore.

 

Αφού δεν κατάφερα με τίποτα να το βγάλω (δοκίμασα διάφορα antimalware και antivirus) έκανα επαναφορά εργοστασιακών ρυθμίσεων (χωρίς τη χρήση κάποιου backup). Εντωμεταξύ, είχε προλάβει να με γράψει και σε μία συνδρομητική υπηρεσία πολυμεσικού χαρακτήρα η οποία χωρίς κανένα απολύτως sms με χρέωσε και 2 φορές από 3 ευρώ. Αυτό ξαναέγινε άλλες 2 φορές σε πολύ σύντομο χρονικό διάστημα.

 

Όλο το διάστημα αυτό, στο κινητό είχα εγκατεστημένες 2 sim, μία της Vodafone με τον κύριο αριθμό μου και μία της Wind αποκλειστικά για Data.

 

Τελευταία φορά που έκανα επαναφορά εργοστασιακών ρυθμίσεων ήταν γύρω στις 30 Δεκεμβρίου, οπότε και έβγαλα την κάρτα της Wind μιας και η Vodafone μου είχε κάνει δώρο αρκετά GB. Προχθές που τελείωσαν τα GB ξαναέβαλα την Sim της Wind, ενεργοποίησα πακέτο data και με το που συνδέθηκα στο Internet μέσα σε 1 λεπτό άρχισαν πάλι τα παλαβά. Το κινητό άρχισε να σέρνεται και διαπίστωσα ένα σκασμό εγκατηστημένες εφαρμογές. Επειδή δεν είχα το απαραίτητο δίωρο για επαναφορά εργοστασιακών, εγκατέστησα το antivirus της ESET, το οποίο βρήκε τα παρακάτω:

 

 

Δυστυχώς για μένα το καθάρισμα που κάνει το ESET (και οποιοδήποτε άλλο a/v) είναι προσωρινό και τα trojan εμφανίζονται 2 φορές την ημέρα.

 

Προφανώς και σήμερα - αύριο που θα έχω χρόνο θα ξανακάνω επαναφορά εργοστασιακών ρυθμίσεων.

 

Έχει κανείς ιδέα όμως τι μπορεί να συμβαίνει και γιατί συμβαίνει κατ' εξακολούθηση; To ότι προχθές συνέβει με το που συνδέθηκα στο διαδίκτυο μέσω του δικτύου της Wind πιστεύετε ότι είναι τυχαίο;

 

 

[jpavly]

Τα malware που ανιχνεύονται δεν πρόκειται να καθαριστούν πλήρως γιατί πιθανά να κρύβονται σε σημείο που δεν "επιτρέπεται" και να μολύνουν ξανά διάφορες εφαρμογές. Το AV δεν έχει πρόσβαση σε όλο το τηλέφωνο.

 

Malware για Android κρύβονται πλέον μέσα σε επίσημα apps στο Play store, αλλά μέχρι και σε διαφημίσεις που πετάγονται, οπότε μπορεί να έχει προέλθει από κάτι παρόμοιο. Έχουμε δει τέτοιου είδους μολύνσεις στο παρελθόν, συνήθως το μόνο που βοηθάει είναι επαναφορά σε εργοστασιακές και updates, γιατί πιθανά να οφείλεται σε exploit του μοντέλου/os που διαθέτει. Αν πρόκειται περί exploit, τότε δεν αποκλείεται να το ξαναδείς ακόμα και μετά το reset. Το γεγονός ότι σχετίζεται με το Wind δίκτυο σου είναι πιθανά τυχαίο, ίσως έχει "μαρκαριστεί" η δεύτερη IP σου (αν και αμφιβάλλω να είναι στατική) και να επικοινώνησε το malware με κάποιο CC.

 

Μέχρι το reset, άσε το ESET μέσα και ενεργοποίησε του daily/on charge auto scans για να σου το ελέγχει περιοδικά και να έχεις το κεφάλι σου πιο ήσυχο. Επίσης δες τις ρυθμίσεις για το αν έχεις ενεργοποιήσει και τα potentially unsafe/unwanted apps, καλό είναι να το πας στο "τέρμα". 

[GriGaS]

Ναι έχω ενεργοποιημένα τα πάντα σε εκνευριστικό βαθμό.

 

Ερώτηση : Εάν είχα εγκατεστημένο εξαρχής το ESET θα με είχε γλιτώσει;

[YDinopoulos]

Εχω κατι παρομοιο. Χρεωσεις απο SMS που εννοειται δεν εχω στειλει. 

 

Φοβαμαι οτι κατι εχει το κινητο. Φυσικα reset to factory default εχουν γινει !

[jpavly]

Για χρεώσεις των SMS μιλάτε με τους παρόχους σας. Υπάρχουν κάτι τρελά services, τύπου Gami5 που σου κάνουν register το κινητό σου για SMS / Subscription μόνο που βλέπεις/πατάς μία διαφήμισή τους την ώρα που είσαι με το 3G. 

 

Σχετικά με το αν είχες από πριν AV, όλα είναι σχετικά, εξαρτάται από το αν πέρασε μέσω http ή exploit, αλλά σίγουρα θα το είχες πάρει χαμπάρι πολύ νωρίτερα.

[GriGaS]

πριν 12 λεπτά, το μέλος jpavly έγραψε:

Υπάρχουν κάτι τρελά services, τύπου Gami5 που σου κάνουν register το κινητό σου για SMS / Subscription μόνο που βλέπεις/πατάς μία διαφήμισή τους την ώρα που είσαι με το 3G

 

αυτό ακριβώς είχα τσιμπήσει

[GriGaS]

Αν και αγόρασα στο ενδιάμεσο νέο κινητό, τελικά από όσο φαίνεται δεν έφταιγα ούτε εγώ ούτε κανείς άλλος, παρά η αναβάθμιση που μας είχε δώσει η Cubot κάποια στιγμή το Δεκέμβριο σύμφωνα με την οποία περιείχε malware. Βγήκε νέο firmware το οποίο επίσης λένε ότι έχει malware...

 

http://forum.cubot.net/viewtopic.php?f=4&t=2191

 

https://forums.malwarebytes.com/topic/217745-malware-infection-keeps-returning/?page=2

Έγινε επεξεργασία Μάρτιος 15, 2018 από GriGaS