Faire un don
ANNONCES

Bienvenue sur notre forum d'entraide informatique :youpie:
Notre équipe est là pour vous aider à régler vos problèmes informatiques.
Postez un message sur le forum pour expliquer votre problème,
vous obtiendrez une assistance efficace, gratuite et rapide (si les délais sont parfois un peu plus longs, c'est que nous avons beaucoup de demandes :ooops: ).

Si devenir "helper" vous tente, les inscriptions à notre école de formation sont ouvertes par intermittence. Suivez les instructions données sur cette page

N'hésitez pas à rendre une petite visite à nos partenaires, ça leur fera plaisir, et à nous aussi :D

Malwares sur tablette

Re : Malwares sur tablette.

Messagepar shion-ares » Dim 12 Mar 2017 09:33

hello

Ca te rappel kek chose >>> http://aide-contre-virus.forum-actif.net/
On été co-meilleurs posteur (2008) et Ji-Ji Factor été un ptit nouveau (dernier inscrit :D ).On a pris 10 ans :affraid: :lol:


oh que oui il y avait moins de guerre entre helper et plus d'entraite :D :D :D

PS de spoiler: Passe de temps en temps.Tu es comme Ric.Tu disparais comme tu apparais :lol:


Je reste toujours fidèle a ce forum même si je ne suis pas connecté j'y viens régulièrement en invité :félicitations: :smile2:
Avatar de l’utilisateur
shion-ares
Modérateur
Modérateur
 
Messages: 1548
Enregistré le: Mer 15 Juil 2009 08:00
Localisation: herbignac
Firefox 51.0 Firefox 51.0
Ubuntu Linux 64 bits Ubuntu Linux 64 bits
Résolution d’écran: 1920 x 1080 1920 x 1080

Re : Malwares sur tablette.

Messagepar alexkander » Mer 23 Aoû 2017 17:42

Bonjour tout le monde,

CrazyGeekMan a écrit:C'est assez étrange puisque malwarebytes m'a signalé que la tablette est rooté mais Root Checker me dit le contraire :réfléchi2:

Maintenant je demande à la fois votre aide et votre avis : est-ce pertinent de rooter la tablette comme il se le doit afin d'installer une ROM récente et ainsi TOUT formater? Ou bien y a t-il une solution afin de supprimer ces malwares ancrés dans le systèmes?


Bien que le sujet ne semble plus d'actualité et que tu as acheté un autre téléphone, je ne pourrais pas être certain pour ton cas, mais si c'est un téléphone peu cher, je le mettrai à la poubelle, ou d'essayer d'installer une ROM alternative, avec ce genre de problème.

J'ai eu un cas similaire au tien, bien qu'en réinitialisant le téléphone aux valeurs d'usine, j'avais des applications qui s'installaient à gogo, et, en analysant le trafic réseau, ce serait lié à une porte dérobée d'une application système de base android qui permet de telles folies.

Lien korben
Lien lefigaro
Lien en anglais qui résume le mieux la chose

:arrow: Si tu veux vraiment savoir ce qui se passe, tu peux analyser le trafic réseau de ton téléphone, bien que tu as dû t'en séparer.

Tu peux lire le topo pour mieux comprendre mon raisonnement:
:arrow: J'avais un téléphone bon marché, pas très cher, dont des applications s'installaient, et j'avais constaté que c'était lié à la fréquence de vérification de mise à jour système, et ceci la nuit, wifi activé, et, sans preuve, quand le téléphone n'est pas éteint avec wifi activé, mais qu'on s'en sert pas pendant un moment de la journée.

J'ai créé un point d'accès sur mon ordinateur pour visualiser et capturer le trafic réseau.

:flèche: En testant la vérification de mise à jour système , je note l'agent utilisateur (User Agent).
:arrow: C'est important par la suite, car cet User Agent, qui provient de je ne sais pas quelle application que je connaissais pas à l'époque, se connecte à d'autres hôtes; en cachette.

cliquez ici pour agrandir



l'User Agent est Apache-Http/UNAVAIBLE (java 1.4)
l'hôte contacté est fota4.adups.cn

Ainsi, en analysant le trafic, je vois la frame suivante

cliquez ici pour agrandir



En regardant dans les détails, on a:

Image

:flèche: Outre le fait que l'on capture mon IMEI et mon IMSI, je constate que l'application com.android.settings est liée.


:flèche: Ce paquet est un paquet légitime, de base d'android permettant de régler certaines choses sous android. J'avais un souci d'ailleurs avec les réglages, bien que je désactivais l'option pour installer des applications inconnues, cette option était réactivée plus tard sans mon accord.

:flèche: notons aussi l'UserAgent estApache-Http/UNAVAIBLE (java 1.4).
:flèche: Cet User Agent se connecte aussi à d'autres hôtes aussi, mais je vais vers l'essentiel.


:arrow: Note: Il y a aussi une application préinstallée, bien que considéré comme légitime sur google play, qui, dans ce téléphone, à un comportement bien spécifique , et qui possède plusieurs aussi User Agent, et qui semble configurer les spywares installés sans mon accord.
Mais grâce à cette application, on peut voir les dernières applications installées :mrgreen:

Il y a:

Kmplugins.zip contient une application android qui permet de rooter le téléphone.
-1560893142.jar contient une application android qui est installé sur mon téléhone.


:arrow: je note les informations concernant le certificat de cette application:

Edit: validto: 10:47 AM 04/05/2045
serialnumber: 552b9ec6
thumbprint: c459406a9658dd6c379a4467a238a267bb5c8bc3
validfrom: 10:47 AM 04/13/2015
Issuer
DN: C:US, CN:Android Debug, O:Android
C: US
CN: Android Debug
O: Android


Le mode debug, je n'aime pas trop, lien concernant ce type de certificats


En rootant le téléphone, je fais une copie de l'application com.android.settings (appelé settings.apk pour l’occasion), que j'ai uploadé sur le site de virustotal


Je note qu'à l'époque, en Mars 2015, les antivirus sont complètement dépassés, seul un seul antivirus pas connu détectait une anomalie, les autres antivirus ne détectaient rien, bien que MBAM et Avast détectait quelque chose dans le téléphone.

En uploadant le fichier aujourd'hui, la reconnaissance est meilleure facure:

Image

:flèche: En rootant le téléphone, en désactivant l'option "autoriser l'installation d'applications inconnues", en en renommant l'application com.android.settings et en supprimant l'application litigieuse, je n'ai plus d'installations d'applications parasites.

:flèche: Par contre, en renommant l'application à son nom d'origine, elle est rejetée par android (problème de droits).

:flèche: En essayant de réinitialiser le téléphone via des options aux démarrage, je tombe sur l'image avec le robot android avec plein d'options en caractères mandarin (sûrement chinois).

:flèche: En choisissant une des options, le téléphone est réinitialisé, mais je suis bloqué à la configuration du réseau wifi.
Comme l'application com.android.settings est supprimée, ca bloque à ce niveau.

:arrow: J'ai contacté le constructeur du téléphone, demandant une rom usine, ce qu'il n'a pas voulu (ou pu) me fournir :evil:

Finalement, je suis allé le reporter au magasin et en expliquant ce qui se passe. On m'a repris le téléphone, et comme ils ont des problèmes avec ce modèle, ils ont arrêté la commercialisation avec ce constructeur, et aussi de téléphones e bas de gamme. :twisted:

Résumé:

:arrow: Si je résume le baratin:
  • Une application système android, normalement légitime, mais infectée, qui a plusieurs fonctions, dont une est de mettre à jour le téléphone (en se basant sur l'agent utilisateur), se permet de se connecter à d'autres domaines, la nuit, wifi activée, sans que l'on touche le téléphone.
  • Installation et lancement de programmes sans l'accord de l'utilisateur et sans qu'il en prenne connaissance.
  • Les programmes parasites qui sont lancés d'office, avec des droits exhorbitants.
  • L'envoi de données, comme l'IMEI et l'IMSI, liste d'applications installées.
  • Impossible de faire une véritable réinitialisation, on garde toujours l'application infectée


:flèche2: Conclusion

(source (en anglais)

:flèche2: Certains téléphones, bon marché ont une porte dérobée, via une application système, diffusé en partenariat avec Shangai AdUps Technology.

:arrow: :À la base,ces téléphones seraient simplement destiné et uniquement au marché chinois. Promis, juré, craché, les données ne sont pas sauvegardées et les téléphones infectés seraient assainis via googlePlay, ce qui en pratique est faux, car la date de découverte de ce mea-culpa (date des articles), est postérieur à ma découverte.

:arrow: Les capacités de ce type de téléphones infectés sont:

  • De collecter et d'envoyer des SMS aux serveurs d'AdUps tous les 72 heures.
  • De collecter et d'envoyer des logs d'appels aux serveurs d'AdUps tous les 72 heures.
  • De collecter et d'envoyer des informations personnelle identifiable aux serveurs d'AdUps toutes les 24 heures.
  • De collecter et d'envoyer les identifiants IMSI et l'IMEI.
  • De collecter et d'envoyer des informations de géolocalisation.
  • De collecter et d'envoyer une liste contenant les applications installées sur le téléphone.
  • De télécharger et installer des applications sans le consentement de l'utilisateur, et sans son accord.
  • De mettre à jour et de supprimer des applications.
  • De mettre à jour le firmware et de reprogrammer le téléphone
  • Exécuter des commandes à distance en root au téléphone.

:flèche: Je note que sur google play, il y a une autre application qui permet de détecter des malwares, qui est très prisée, qui détecte des adwares comme GhostPush, mais dont je constate que cette dernière envoie des données en clair sur un serveur distant, concernant le liste des applications préinstallée sur le téléphone, ainsi que les processus en cours. Je ne sais pas si c'est spécifique à ce téléphone, ou si cette application le fait pour tous les téléphones.

:arrow: Je fais donc attention de vérifier le pays d'origine avant d'installer des applications android.

:arrow: Par la même occassion, j'ai acheté un téléphone plus cher, considérant qu'il est fiable (ce qui n'est pas le cas), et changé ma carte SIM (pour ne plus garder l'IMSI). On n'est jamais trop prudent.


Sources (en francais)
Lien korben
Lien lefigaro
Lien en anglais qui résume le mieux la chose


Cordialement
alexkander
En formation avancée
En formation avancée
 
Messages: 15
Enregistré le: Ven 8 Fév 2013 17:42
Firefox 52.0 Firefox 52.0
Windows 7 Windows 7
Résolution d’écran: 1920 x 1080 1920 x 1080

Re : Malwares sur tablette.

Messagepar CrazyGeekMan » Ven 1 Sep 2017 13:25

Hello alexkander :salut:

alexkander a écrit:Bien que le sujet ne semble plus d'actualité et que tu as acheté un autre téléphone, je ne pourrais pas être certain pour ton cas, mais si c'est un téléphone peu cher, je le mettrai à la poubelle, ou d'essayer d'installer une ROM alternative, avec ce genre de problème.

Comme dit précédemment, j'ai "réussi" à éliminer les malwares présents sur la tablette, du coup plus besoin de la jeter :P

alexkander a écrit:J'ai eu un cas similaire au tien, bien qu'en réinitialisant le téléphone aux valeurs d'usine, j'avais des applications qui s'installaient à gogo, et, en analysant le trafic réseau, ce serait lié à une porte dérobée d'une application système de base android qui permet de telles folies.

Eh bien on était dans le même cas ;)
Cela colle bien avec tes liens, c'est une tablette chinoise (il y a des applications dont le nom est en caractères asiatiques).
C'est bien un problème lié aux application de base pré-installées.

alexkander a écrit:Si tu veux vraiment savoir ce qui se passe, tu peux analyser le trafic réseau de ton téléphone, bien que tu as dû t'en séparer.
Tu peux lire le topo pour mieux comprendre mon raisonnement:

Merci pour ton aide mais ce n'est pas encore à mon niveau :?
Quand j'aurais plus de notions de sécurité / informatique j'y reviendrai certainement :D

:hello:
CrazyGeekMan
En formation avancée
En formation avancée
 
Messages: 33
Enregistré le: Mar 20 Déc 2016 17:06
Google Chrome 60.0.311 Google Chrome 60.0.311
Windows 8 64 bits Windows 8 64 bits
Résolution d’écran: 1366 x 768 1366 x 768

Re : Malwares sur tablette.

Messagepar zimou13 » Dim 18 Mar 2018 02:42

Malwarebytes Anti-Malware va détecter et éliminer les logiciels malveillants, y compris les logiciels espions et les chevaux de Troie, vous alerter si un lien vers un site Web malveillant est détecté dans un SMS, arrêter tout accès non autorisé à vos données personnelles, analyser votre appareil pour trouver les failles de sécurité et identifier les applications qui vous géolocalisent.

ShowBoxVidMateMobdro
zimou13
Nouveau membre
Nouveau membre
 
Messages: 3
Enregistré le: Mer 14 Fév 2018 00:23
Google Chrome 64.0.328 Google Chrome 64.0.328
Windows 7 64 bits Windows 7 64 bits
Résolution d’écran: 1366 x 768 1366 x 768

Re : Malwares sur tablette.

Messagepar rantanpluche » Dim 18 Mar 2018 08:14

Bonjour zimou13, et bienvenue ici.

Je t'invite à lire la charte du forum, ainsi que la particularité du forum de désinfection.
Pour obtenir de l'aide ouvre un nouveau sujet dans la partie du forum concernée.

Pour les présentations ça se passe par ici

Pour la publicité ça se passera ailleurs que sur ce forum...

:hello:
errare canem est (Rantanplus)
Avatar de l’utilisateur
rantanpluche
Administrateur du site
Administrateur du site
 
Messages: 5879
Enregistré le: Jeu 2 Fév 2012 17:28
Localisation: Ile de France (S&M)
Firefox 59.0 64 bits Firefox 59.0 64 bits
Windows 8 64 bits Windows 8 64 bits
Résolution d’écran: 1568 x 882 1568 x 882

Précédente

Retourner vers Android

 


  • Articles en relation
    Réponses
    Vues
    Dernier message

Qui est en ligne

Utilisateurs parcourant ce forum : Aucun utilisateur enregistré et 1 invité