Jump to content

Koń trojański w MIUI PL?


robinhopl
 Share

Recommended Posts

Witam

Skanując dzisiaj komputer eset w paczce z romami miui pl(5.0 i 3.11.29) wykrywa trojana Gedma.C:

E:\MI\miui pl\MIUIPolska_HM2013023_5.0-4.2.zip » ZIP » system/app/SmsReg.apk » ZIP » classes.dex - odmiana zagrożenia Android/Gedma.C koń trojański

ściągnąłem rom 5.0 z en.miui.com i tam tego trojana nie wykrywa...

ktoś wie o co chodzi? trojan czy to tylko fałszywy alarm eseta?

Acid wyjaśnisz?

Link to comment
Share on other sites

Witam

Skanując dzisiaj komputer eset w paczce z romami miui pl(5.0 i 3.11.29) wykrywa trojana Gedma.C:

E:\MI\miui pl\miuiandroid_multi_HM2013023_WCDMA_JHBCNAL5.0_jb-4.2.zip » ZIP » system/app/SmsReg.apk » ZIP » classes.dex - odmiana zagrożenia Android/Gedma.C koń trojański

ściągnąłem rom 5.0 z en.miui.com oraz multilang i tam tego trojana nie wykrywa...

ktoś wie o co chodzi? trojan czy to tylko fałszywy alarm eseta?

Acid wyjaśnisz?

A co mam wyjaśniać jak piszesz o romie MIUI PL a to nie jest rom MIUIPolska tylko multilang?

Przecież my używamy MIUIPolska_HM2013023_5.0...zip.

Zresztą... bez przesady. Nie ma możliwości by tu były trojany, w żadnym romie.

Link to comment
Share on other sites

ee piszę o MIUIPolska

w folderze mam 4 romy,w 3 wykrywa tego trojana w multilang też :( tylko w 5.0 od xiaomi nie.

E:\MI\miui pl\miuiandroid_multi_HM2013023_WCDMA_JHBCNAL5.0_jb-4.2.zip » ZIP » system/app/SmsReg.apk » ZIP » classes.dex - odmiana zagrożenia Android/Gedma.C koń trojański

E:\MI\miui pl\MIUIPolska_HM2013023_3.11.29-4.2.zip » ZIP » system/app/SmsReg.apk » ZIP » classes.dex - odmiana zagrożenia Android/Gedma.C koń trojański

E:\MI\miui pl\MIUIPolska_HM2013023_5.0-4.2.zip » ZIP » system/app/SmsReg.apk » ZIP » classes.dex - odmiana zagrożenia Android/Gedma.C koń trojański

antywirus mi to wykrył więc pytam... tylko ;)

Link to comment
Share on other sites

robinhopl, a której wersji ESETa używasz ?, bo przeskanowałem najnowszy rom MIUIPolska_aries_4.2.28-4.1.zip ostatnim ESETEM z świeżą bazą i nic nie wykrył.

3.0, ściągnąłem rom o którym piszesz i u mnie też nic ESET nie wykrył, problem dotyczy romów dla HongMi.

Malwarebytes nic nie wykrywa więc chyba wszystko ok ;)

Link to comment
Share on other sites

Lol. Dobrze, że mam Ubuntu... Dziś widzę, Windows nie może żyć bez antywirusa.

-- 28 lut 2014, o 16:41 --

Powodem, może być program, który jest używany do rozpakowania, a potem spakowania po tłumaczeniu aplikacji.

Wyślij do ESSETa plik SmsReg.apk i niech sprawdzą czy rzeczywiście tam coś jest czy to fałszywy alarm i już :)

Nie. Do rozpakowywania samego zip używamy 7za z pakietu p7zip czyli standard i norma wszędzie.

Natomiast aplikacje dekoduje się apktool z pomocą aapt. Nic nowego.

Wydaje mi się, że to wynika z tego jak sprawdza antywirus. Nie łudźmy sie, antywirus w praktyce szuka wzorców, czyli fragmentów kodów czy plików które mają podejrzaną treść czy nazwę. Może SmsReg ma coś w sobie to powoduje alarm w antywirusie, a ten od razu przyporządkowuje sobie ten wzorzec do znanych w swojej bazie i już robi szum, że znalazł wirusa. Swoją drogą to jak antywirus sprawdza te apki? Przecież .apk jest paczką archiwum (jak zip) i tam jest classes.dex i resources.arsc. To są pliki nieczytelne normalnie, chyba że antywirus potrafi sprawdzić classes.dex którego treść jest w hex (jeśli nie dekodowane przez apktool).

Ogólnie classes.dex zawiera kod java aplikacji (kod smali po dekodowaniu) i jeśli coś ma być w aplikacji podejrzanego to faktycznie ten plik to może zawierać.

Mogę kiedyś popatrzeć co dekodowany SmsReg zawiera ale ponieważ to smali więc... praktycznie nic z takiego kodu nie da się odczytać.

Link to comment
Share on other sites

Lol. Dobrze, że mam Ubuntu... Dziś widzę, Windows nie może żyć bez antywirusa.

Pomijając kwestię tego czy to trojan (co jest dla mnie oczywiste) czy fałszywy alarm to w tym miejscu napisałeś bez sensu. Ten trojan atakuje Androida, a nie Windowsy.

Link to comment
Share on other sites

Z sensem, z sensem.

To co napisałem nie tyczy się tego przypadku, ale ogólnie uwzględniając podobne przypadki kiedy w paczkach .zip z romami znajdowały się wirusy, trojany i inne cuda. A zawsze to był program do root czy jakiś inny exploit w romie (niegroźny). Posiadacz linuxa nie zaprząta sobie tym głowy, a w Windows bez antywirusa ani rusz. Parę razy dostawałem maile jak użytkownicy zgłaszali, że przeglądarka czy antywirus informowały o wirusie w paczce i prośba o usunięcie pliku z pobierania. Nigdy mi się nie chciało wyjaśniać dlaczego jest alarm bo i tak nikt by nie uwierzył (a pierwszemu lepszemu antywirusowi tak...) więc pisałem by po prostu nie pobierał romu i tyle.

Co do tego przypadku to... gdzie masz napisane, że akurat to jest wirus? To alarm antywirusa który przyporządkował sobie jakiś kod pod znany schemat i wybrał, że jest to ten wirus na Androida o takiej czy innej nazwie. Ponadto pomyśl sam: nie ma możliwości by podczas tworzenia romu MIUIPolska, miuiandroid był dołączony jakikolwiek kod do java (classes,dex). Jest to technicznie niemożliwe. Aplikacji SmsReg nawet nie ruszamy dekompilacją. Jeśli jest tam jakiś kod to musi też występować w romie z xiaomi.com, a jeśli tak to należy sprawdzic poprzednie romy bo ta aplikacja nie była ruszana od dosyć dawna.

Link to comment
Share on other sites

Ponadto pomyśl sam: nie ma możliwości by podczas tworzenia romu MIUIPolska, miuiandroid był dołączony jakikolwiek kod do java (classes,dex). Jest to technicznie niemożliwe.

Tutaj, jak rozumiem, żartujesz. Niby jaki jest problem ze zmianą kodu w classes.dex?

Na potwierdzenie:

http://forum.xda-developers.com/showthread.php?t=709037

http://forum.xda-developers.com/showthread.php?t=646607

http://www.lazytrap.com/?tag=classes-dex

Link to comment
Share on other sites

Lol, przestań proszę wycinać moje zdania i rzucać wszystko bez kontekstu.

Dobrze wiem jako można dekodować apk i to co pokazujesz to jest podstawa podstaw i przedszkole androida.

I tu wiem znacznie więcej niż Ty, i ludzie piszący w tych postach razem wzięci.

Ponadto pomyśl sam: nie ma możliwości by podczas tworzenia romu MIUIPolska, miuiandroid był dołączony jakikolwiek kod do java (classes,dex). Jest to technicznie niemożliwe. Aplikacji SmsReg nawet nie ruszamy dekompilacją.

Czy mam jeszcze zrobić czerwoną czcionką by było jasne?

Link to comment
Share on other sites

Skoro w MIUI PL ten kluczowy element jest niezmieniony to dlaczego w bazie (chińskiej) antywirusy niczego nie wykrywają, a tu nawet prześwietlanie google'a podpowiada że to trojan? Sprawa śmierdzi i tyle. Jeśli wszystko jest OK to warto to zgłosić do ESET/Google by nie wprowadzały niepokoju. ESET bardzo szybko reaguje na takie zgłoszenia.

Link to comment
Share on other sites

Skoro jesteś tego pewny, że to trojan (napisałeś, że jest to dla Ciebie oczywiste...) to zgłoś to do ESETa z prośbą analizy pliku, zamiast siać "śmierdzącą" teorię spisku :D

Pomyśl logicznie na 50 AV tylko 1 coś wykrywa i dla Ciebie to pewniak ?

Link to comment
Share on other sites

NOD32 to dno jeśli chodzi właśnie o takie rzeczy jak np. "witaminki" do gier i programów.

Czyste pliki, ale ten skurczybyk albo wyje, albo po prostu odrzuci plik w trakcie pobierania lub w ogóle nie pozwoli go rozpocząć.

Link to comment
Share on other sites

  • 5 weeks later...

Nie tylko nasz ROM z tym się bryka http://forum.android.com.pl/f1051/4-2-2-qm7-v2-2-02-03-2014-a-378432/index15.html :lol: inne też :idea:

Ale z drugiej strony coraz ciekawiej się robi patrząc na to https://www.virustotal.com/pl/file/05f2b345648db1f610d67cd46f8a2fb74fb228e79313d5bf03b6b985fb41513b/analysis/, ale czy zagrożenie badają na podstawie "uprawnień" aplikacji ?

Required permissions

android.permission.CHANGE_NETWORK_STATE (change network connectivity)

android.permission.SEND_SMS (send SMS messages)

android.permission.ACCESS_SURFACE_FLINGER (access SurfaceFlinger)

android.permission.INTERNET (full Internet access)

android.permission.BROADCAST_WAP_PUSH (send WAP-PUSH-received broadcast)

android.permission.BROADCAST_SMS (send SMS-received broadcast)

android.permission.RECEIVE_WAP_PUSH (receive WAP)

android.permission.ACCESS_WIFI_STATE (view Wi-Fi status)

android.permission.RECEIVE_MMS (receive MMS)

android.permission.WAKE_LOCK (prevent phone from sleeping)

android.permission.RECEIVE_BOOT_COMPLETED (automatically start at boot)

android.permission.CHANGE_WIFI_STATE (change Wi-Fi status)

android.permission.ACCESS_NETWORK_STATE (view network status)

android.permission.READ_PHONE_STATE (read phone state and identity)

android.permission.MOUNT_UNMOUNT_FILESYSTEMS (mount and unmount file systems)

android.permission.WRITE_EXTERNAL_STORAGE (modify/delete SD card contents)

android.permission.RECEIVE_SMS (receive SMS)

Link to comment
Share on other sites

Dobrze tam ktoś zauważył. W przypadku Redmi rom jest odexowany i aby dodać tłumaczenie to rom musi przejść deodexowanie do pojedynczych plików .apk i .jar. Aplikacja jest systemowa więc taki proces przeszła w naszym skrypcie. Niemożliwe by cokolwiek tam było, ponieważ podczas deodexowania zmienia się struktura pliku. Wątpię by ESET i inne temu podobne apki czytały wnętrze classex.dex które w tej postaci jest nieczytelny.

Dopiero po dekodowaniu apk powstaje kod bajtowy z classes.dex w katalogu /smali. Jednak po tłumaczeniu i zbudowaniu apk znowu tworzy się classes.dex.

Link to comment
Share on other sites

  • 1 month later...

Problem występuje nadal. Świeżo pobrana paczka (MIUIPolska_HM2013023_JHBCNBA13.0_jb-4.2.zip) z najnowszym MIUI dla Red Rice zaalarmowała Avasta w SmsReg.apk, no ale on jest przewrażliwiony, to sprawdziłem przez VirusTotal. Wyniki to:

 

https://www.virustotal.com/pl/file/7829ae4064a9d313c0d6f289b568e941da955d66daa548957bf4d0039db516c8/analysis/1400007071/

 

21 z 51 antywirusów widzi coś w tym pliku, w tym Kaspersky, BitDefender, McAfee, Sophos, Comodo i NOD32.

 

Chyba jednak warto się temu przyjrzeć i zmodyfikować/usunąć ten apk z romu?

Edited by dreniu
Link to comment
Share on other sites

Ok, wywaliłem z zipa SmsReg.apk, żadnych negatywnych skutków ubocznych nie stwierdzono. Połączenia/transfery/smsy działają, nic nie krzyczy o brak tej apki ;). Można śmiało wywalać  z instalki ze strony, bo plik wątpliwy.

Link to comment
Share on other sites

Ok usunę następnym razem. Przejrzałem apke. To jakaś apka czysto od Mediateka. Jakieś rejestrowanie SMS czy coś. 

Apka nie ma tłumaczenia. W zasadzie wszystko jest zbudowane jako jakaś usługa. Posiada uprawnienia na wysyłanie SMS. 

Faktycznie do niczego to ponieważ nigdzie indziej nie ma SmsReg np. w nowym Redmi 1S.

Link to comment
Share on other sites

Guest
This topic is now closed to further replies.
 Share

×
×
  • Create New...