Koń trojański w MIUI PL?

[robinhopl]

Witam

Skanując dzisiaj komputer eset w paczce z romami miui pl(5.0 i 3.11.29) wykrywa trojana Gedma.C:

E:\MI\miui pl\MIUIPolska_HM2013023_5.0-4.2.zip » ZIP » system/app/SmsReg.apk » ZIP » classes.dex - odmiana zagrożenia Android/Gedma.C koń trojański

ściągnąłem rom 5.0 z en.miui.com i tam tego trojana nie wykrywa...

ktoś wie o co chodzi? trojan czy to tylko fałszywy alarm eseta?

Acid wyjaśnisz?

[Athame]

ktoś wie o co chodzi? trojan czy to tylko fałszywy alarm eseta?

No pewnie że trojan. Jak nie ufasz esetowi to sprawdź czymś innym...

[Acid]

Witam

Skanując dzisiaj komputer eset w paczce z romami miui pl(5.0 i 3.11.29) wykrywa trojana Gedma.C:

E:\MI\miui pl\miuiandroid_multi_HM2013023_WCDMA_JHBCNAL5.0_jb-4.2.zip » ZIP » system/app/SmsReg.apk » ZIP » classes.dex - odmiana zagrożenia Android/Gedma.C koń trojański

ściągnąłem rom 5.0 z en.miui.com oraz multilang i tam tego trojana nie wykrywa...

ktoś wie o co chodzi? trojan czy to tylko fałszywy alarm eseta?

Acid wyjaśnisz?

A co mam wyjaśniać jak piszesz o romie MIUI PL a to nie jest rom MIUIPolska tylko multilang?

Przecież my używamy MIUIPolska_HM2013023_5.0...zip.

Zresztą... bez przesady. Nie ma możliwości by tu były trojany, w żadnym romie.

[robinhopl]

ee piszę o MIUIPolska

w folderze mam 4 romy,w 3 wykrywa tego trojana w multilang też tylko w 5.0 od xiaomi nie.

E:\MI\miui pl\miuiandroid_multi_HM2013023_WCDMA_JHBCNAL5.0_jb-4.2.zip » ZIP » system/app/SmsReg.apk » ZIP » classes.dex - odmiana zagrożenia Android/Gedma.C koń trojański

E:\MI\miui pl\MIUIPolska_HM2013023_3.11.29-4.2.zip » ZIP » system/app/SmsReg.apk » ZIP » classes.dex - odmiana zagrożenia Android/Gedma.C koń trojański

E:\MI\miui pl\MIUIPolska_HM2013023_5.0-4.2.zip » ZIP » system/app/SmsReg.apk » ZIP » classes.dex - odmiana zagrożenia Android/Gedma.C koń trojański

antywirus mi to wykrył więc pytam... tylko

[arcadioush]

Ciekawa sprawa...

[Renegade]

Powodem, może być program, który jest używany do rozpakowania, a potem spakowania po tłumaczeniu aplikacji.

Wyślij do ESSETa plik SmsReg.apk i niech sprawdzą czy rzeczywiście tam coś jest czy to fałszywy alarm i już

[Endriu]

Gdybym ja w swoim życiu patrzył na takie rzeczy, to do dzisiejszego dnia bym nie miał pojęcia o dobrodziejstwach niektórych programów

[Renegade]

robinhopl, a której wersji ESETa używasz ?, bo przeskanowałem najnowszy rom MIUIPolska_aries_4.2.28-4.1.zip ostatnim ESETEM z świeżą bazą i nic nie wykrył.

[kulig007]

Mi "gugl" Chrome też wykazało jakiegoś wirus przy pobraniu 4.2.28 z MiCore .

Za chwilkę zobaczę, czy GData pokaże to samo po skanowaniu paczki.

PS. Oczywiście paniki nie sieję

---edit---

GData nic nie wykrył.

[robinhopl]

robinhopl, a której wersji ESETa używasz ?, bo przeskanowałem najnowszy rom MIUIPolska_aries_4.2.28-4.1.zip ostatnim ESETEM z świeżą bazą i nic nie wykrył.

3.0, ściągnąłem rom o którym piszesz i u mnie też nic ESET nie wykrył, problem dotyczy romów dla HongMi.

Malwarebytes nic nie wykrywa więc chyba wszystko ok

[Acid]

Lol. Dobrze, że mam Ubuntu... Dziś widzę, Windows nie może żyć bez antywirusa.

-- 28 lut 2014, o 16:41 --

Powodem, może być program, który jest używany do rozpakowania, a potem spakowania po tłumaczeniu aplikacji.

Wyślij do ESSETa plik SmsReg.apk i niech sprawdzą czy rzeczywiście tam coś jest czy to fałszywy alarm i już

Nie. Do rozpakowywania samego zip używamy 7za z pakietu p7zip czyli standard i norma wszędzie.

Natomiast aplikacje dekoduje się apktool z pomocą aapt. Nic nowego.

Wydaje mi się, że to wynika z tego jak sprawdza antywirus. Nie łudźmy sie, antywirus w praktyce szuka wzorców, czyli fragmentów kodów czy plików które mają podejrzaną treść czy nazwę. Może SmsReg ma coś w sobie to powoduje alarm w antywirusie, a ten od razu przyporządkowuje sobie ten wzorzec do znanych w swojej bazie i już robi szum, że znalazł wirusa. Swoją drogą to jak antywirus sprawdza te apki? Przecież .apk jest paczką archiwum (jak zip) i tam jest classes.dex i resources.arsc. To są pliki nieczytelne normalnie, chyba że antywirus potrafi sprawdzić classes.dex którego treść jest w hex (jeśli nie dekodowane przez apktool).

Ogólnie classes.dex zawiera kod java aplikacji (kod smali po dekodowaniu) i jeśli coś ma być w aplikacji podejrzanego to faktycznie ten plik to może zawierać.

Mogę kiedyś popatrzeć co dekodowany SmsReg zawiera ale ponieważ to smali więc... praktycznie nic z takiego kodu nie da się odczytać.

[Athame]

Lol. Dobrze, że mam Ubuntu... Dziś widzę, Windows nie może żyć bez antywirusa.

Pomijając kwestię tego czy to trojan (co jest dla mnie oczywiste) czy fałszywy alarm to w tym miejscu napisałeś bez sensu. Ten trojan atakuje Androida, a nie Windowsy.

[robinhopl]

To chyba jednak nie trojan.

Patrzcie tutaj tylko eset wykrywa na 50 antywirusów:

https://www.virustotal.com/pl/file/89d02790ac7dd08858e747cf6307dc7f7b455043c602929757cf8b1dbcf7a7c2/analysis/1393669321/

[Acid]

Z sensem, z sensem.

To co napisałem nie tyczy się tego przypadku, ale ogólnie uwzględniając podobne przypadki kiedy w paczkach .zip z romami znajdowały się wirusy, trojany i inne cuda. A zawsze to był program do root czy jakiś inny exploit w romie (niegroźny). Posiadacz linuxa nie zaprząta sobie tym głowy, a w Windows bez antywirusa ani rusz. Parę razy dostawałem maile jak użytkownicy zgłaszali, że przeglądarka czy antywirus informowały o wirusie w paczce i prośba o usunięcie pliku z pobierania. Nigdy mi się nie chciało wyjaśniać dlaczego jest alarm bo i tak nikt by nie uwierzył (a pierwszemu lepszemu antywirusowi tak...) więc pisałem by po prostu nie pobierał romu i tyle.

Co do tego przypadku to... gdzie masz napisane, że akurat to jest wirus? To alarm antywirusa który przyporządkował sobie jakiś kod pod znany schemat i wybrał, że jest to ten wirus na Androida o takiej czy innej nazwie. Ponadto pomyśl sam: nie ma możliwości by podczas tworzenia romu MIUIPolska, miuiandroid był dołączony jakikolwiek kod do java (classes,dex). Jest to technicznie niemożliwe. Aplikacji SmsReg nawet nie ruszamy dekompilacją. Jeśli jest tam jakiś kod to musi też występować w romie z xiaomi.com, a jeśli tak to należy sprawdzic poprzednie romy bo ta aplikacja nie była ruszana od dosyć dawna.

[Ralph]

U mnie podczas pobierania tez zgłosiła przeglądarka, co przy innych wcześniejszych wersjach się nie pojawiło. Tyle, że ja olałem sprawę

Wysłane z mojego MI 2S przy użyciu Tapatalka

[Athame]

Ponadto pomyśl sam: nie ma możliwości by podczas tworzenia romu MIUIPolska, miuiandroid był dołączony jakikolwiek kod do java (classes,dex). Jest to technicznie niemożliwe.

Tutaj, jak rozumiem, żartujesz. Niby jaki jest problem ze zmianą kodu w classes.dex?

Na potwierdzenie:

http://forum.xda-developers.com/showthread.php?t=709037

http://forum.xda-developers.com/showthread.php?t=646607

http://www.lazytrap.com/?tag=classes-dex

[Acid]

Lol, przestań proszę wycinać moje zdania i rzucać wszystko bez kontekstu.

Dobrze wiem jako można dekodować apk i to co pokazujesz to jest podstawa podstaw i przedszkole androida.

I tu wiem znacznie więcej niż Ty, i ludzie piszący w tych postach razem wzięci.

Ponadto pomyśl sam: nie ma możliwości by podczas tworzenia romu MIUIPolska, miuiandroid był dołączony jakikolwiek kod do java (classes,dex). Jest to technicznie niemożliwe. Aplikacji SmsReg nawet nie ruszamy dekompilacją.

Czy mam jeszcze zrobić czerwoną czcionką by było jasne?

[ZduneX25]

Chyba nie orientujesz się jak powstaje spolszczenie. Połowa aplikacji z google play (w wersjach free) z reklamami jest rozpoznawana jako potencjalne wirusy przez eset.

[Acid]

Dokładnie. Skoro eset wywala się przy reklamach to resztę dopowiedzcie sobie sami.

EOT.

[Deragon]

I miedzy innymi to był jeden z wielu powodów, dla których zrezygnował 4 lata temu z antywirusa Windows wcale nie musi mieć tego pożeracza przyjemności z korzystania systemu..

[Acid]

Aktualną 13.10 a od kwietnia 14.04 LTS (już mam przygotowany nowy SSD na to..)

[Lalo]

Tak samo jak cracki to wirusy... Brednie

[Athame]

Skoro w MIUI PL ten kluczowy element jest niezmieniony to dlaczego w bazie (chińskiej) antywirusy niczego nie wykrywają, a tu nawet prześwietlanie google'a podpowiada że to trojan? Sprawa śmierdzi i tyle. Jeśli wszystko jest OK to warto to zgłosić do ESET/Google by nie wprowadzały niepokoju. ESET bardzo szybko reaguje na takie zgłoszenia.

[Renegade]

Skoro jesteś tego pewny, że to trojan (napisałeś, że jest to dla Ciebie oczywiste...) to zgłoś to do ESETa z prośbą analizy pliku, zamiast siać "śmierdzącą" teorię spisku

Pomyśl logicznie na 50 AV tylko 1 coś wykrywa i dla Ciebie to pewniak ?

[Endriu]

NOD32 to dno jeśli chodzi właśnie o takie rzeczy jak np. "witaminki" do gier i programów.

Czyste pliki, ale ten skurczybyk albo wyje, albo po prostu odrzuci plik w trakcie pobierania lub w ogóle nie pozwoli go rozpocząć.

[gwalberg]

Nie tylko eset widzi wirusa, comodo też wykrywa "system/app/SmsReg.apk|classes.dex".

MBAM milczy, nie wiem co powiedziałby na ten temat wirustotal, plik jest zbyt duży.

[Eru]

Olać nieskuteczne programy AV

Tapnięte z MI2S

[leonov]

Nie tylko nasz ROM z tym się bryka http://forum.android.com.pl/f1051/4-2-2-qm7-v2-2-02-03-2014-a-378432/index15.html inne też

Ale z drugiej strony coraz ciekawiej się robi patrząc na to https://www.virustotal.com/pl/file/05f2b345648db1f610d67cd46f8a2fb74fb228e79313d5bf03b6b985fb41513b/analysis/, ale czy zagrożenie badają na podstawie "uprawnień" aplikacji ?

Required permissions

android.permission.CHANGE_NETWORK_STATE (change network connectivity)

android.permission.SEND_SMS (send SMS messages)

android.permission.ACCESS_SURFACE_FLINGER (access SurfaceFlinger)

android.permission.INTERNET (full Internet access)

android.permission.BROADCAST_WAP_PUSH (send WAP-PUSH-received broadcast)

android.permission.BROADCAST_SMS (send SMS-received broadcast)

android.permission.RECEIVE_WAP_PUSH (receive WAP)

android.permission.ACCESS_WIFI_STATE (view Wi-Fi status)

android.permission.RECEIVE_MMS (receive MMS)

android.permission.WAKE_LOCK (prevent phone from sleeping)

android.permission.RECEIVE_BOOT_COMPLETED (automatically start at boot)

android.permission.CHANGE_WIFI_STATE (change Wi-Fi status)

android.permission.ACCESS_NETWORK_STATE (view network status)

android.permission.READ_PHONE_STATE (read phone state and identity)

android.permission.MOUNT_UNMOUNT_FILESYSTEMS (mount and unmount file systems)

android.permission.WRITE_EXTERNAL_STORAGE (modify/delete SD card contents)

android.permission.RECEIVE_SMS (receive SMS)

[Acid]

Dobrze tam ktoś zauważył. W przypadku Redmi rom jest odexowany i aby dodać tłumaczenie to rom musi przejść deodexowanie do pojedynczych plików .apk i .jar. Aplikacja jest systemowa więc taki proces przeszła w naszym skrypcie. Niemożliwe by cokolwiek tam było, ponieważ podczas deodexowania zmienia się struktura pliku. Wątpię by ESET i inne temu podobne apki czytały wnętrze classex.dex które w tej postaci jest nieczytelny.

Dopiero po dekodowaniu apk powstaje kod bajtowy z classes.dex w katalogu /smali. Jednak po tłumaczeniu i zbudowaniu apk znowu tworzy się classes.dex.

[dreniu]

Problem występuje nadal. Świeżo pobrana paczka (MIUIPolska_HM2013023_JHBCNBA13.0_jb-4.2.zip) z najnowszym MIUI dla Red Rice zaalarmowała Avasta w SmsReg.apk, no ale on jest przewrażliwiony, to sprawdziłem przez VirusTotal. Wyniki to:

 

https://www.virustotal.com/pl/file/7829ae4064a9d313c0d6f289b568e941da955d66daa548957bf4d0039db516c8/analysis/1400007071/

 

21 z 51 antywirusów widzi coś w tym pliku, w tym Kaspersky, BitDefender, McAfee, Sophos, Comodo i NOD32.

 

Chyba jednak warto się temu przyjrzeć i zmodyfikować/usunąć ten apk z romu?

Edited May 13, 2014 by dreniu

[Acid]

To usuń. Otwórz zip daj delete na SmsReg.apk (pozwól na przepakowanie zip) i zainstaluj. Albo na żywca: adb shell i potem su, i rm system/app/SmsReg.apk.

[dreniu]

Żadne skutki uboczne nie powinny się pojawić?

 

Bo ta apka to w ogóle za co odpowiada? Coś z smsami wspólnego, sądząc po nazwie?

[Acid]

Nie mam pojęcia. Nie używam Redmi. Chcesz bez wirusa to sprawdź sam i daj mi znać.

[dreniu]

Ok, wywaliłem z zipa SmsReg.apk, żadnych negatywnych skutków ubocznych nie stwierdzono. Połączenia/transfery/smsy działają, nic nie krzyczy o brak tej apki . Można śmiało wywalać  z instalki ze strony, bo plik wątpliwy.

[Acid]

Ok usunę następnym razem. Przejrzałem apke. To jakaś apka czysto od Mediateka. Jakieś rejestrowanie SMS czy coś. 

Apka nie ma tłumaczenia. W zasadzie wszystko jest zbudowane jako jakaś usługa. Posiada uprawnienia na wysyłanie SMS. 

Faktycznie do niczego to ponieważ nigdzie indziej nie ma SmsReg np. w nowym Redmi 1S.