Trojan.Triada

[AlexFr]

le 26 avril 2017

Bonjour à tous ,

depuis le 20 avril , Malwarebytes  détecte un cheval de Troie appelé Android/Trojan.Triada.EU  situé sur /data/app/com.petsfamily-1/base.apk . Apparemment, il usurpe l'application Settings . Le problème est que meme si on choisit de supprimer l'infection elle réapparait la fois suivante et à chaque fois on doit à nouveau la supprimer. J'ai fait la captures des resultats d'analyse Malwarebytes (voir captures) et je suis allé avec un gestionnaire de fichiers sur /mnt/m-internal-storage/.jm/com.android.vending  pour supprimer le dossier afin de me débarrasser de 4182_1492513340610.xde.apk et  il semblait que maintenant l'infection ne se manifestait plus.

 

Une recherche en ligne montre que  Triada est un cheval de Troie modulaire qui utilise un accès root pour remplacer les fichiers système, il se loge dans la RAM , voir ici pour plus d'info:

https://securelist.fr/analyse/publications/64755/attack-on-zygote-a-new-twist-in-the-evolution-of-mobile-threats/

 

pour l'instant j'ai supprimé le dossier "com.android.vending" avec tout ce qu'il contenait mais j'ai continué a avoir des alertes de malwarebyte (analyse fichiers et detection application) , j'ai envoyé touts les info le 26 avril au support de malwarebytes.

 

27 avril 2017:

encore 2 detections depuis ce matin et alertes de malwarebytes qui detecte le mode root !!!! alors que ce n'est absolument pas le cas, cela semble confirmer que c'est bien une attaque "triada" qui s'infiltre par le processus zygote en activant des autorisations de superutilisateur ....

 

 

info :

contenu du dossier supprimé:

4182_1492513340610.xde

com.android.vending.bv

JmBean1001.dat

 

dossier racine /data/app/  contenu supprimé avec l'appli "root browser" (JRummy) mais revient après chaque nettoyage de malwarebytes:

/data/app/com.petsfamily-1/base.apk

/data/app/com.petsfamily-1/lib

/data/app/com.petsfamily-1/oat

 

[AlexFr]

addendum /correction :

contenu du dossier supprimé dans la memoire interne /.jm /com.android.vending mais revient après chaque nettoyage de malwarebytes:
4182_1492513340610.xde
com.android.vending.bv
JmBean1001.dat

dossier racine /data/app/ visible avec l'appli "root browser" (JRummy) mais impossible à supprimer et reste après chaque nettoyage de malwarebytes:
/data/app/com.petsfamily-1/base.apk
/data/app/com.petsfamily-1/lib
/data/app/com.petsfamily-1/oat

Edited April 27, 2017 by AlexFr
correction

[Aromino]

J'ai exactement le même problème sur mon Nomu S10.

Aprés de multiples restaure d'usine, je retrouve toujours une alerte sur une archive base.apk usurpant l'application Settings.

Je n'arrive pas à trouver quoi que ce soit sur le net qui puisse m'aider à corriger le problème.

Existe t'il une solution pour ce défaire de ce truc ?

[riko13]

23 hours ago, Aromino said:

J'ai exactement le même problème sur mon Nomu S10.

Aprés de multiples restaure d'usine, je retrouve toujours une alerte sur une archive base.apk usurpant l'application Settings.

Je n'arrive pas à trouver quoi que ce soit sur le net qui puisse m'aider à corriger le problème.

Existe t'il une solution pour ce défaire de ce truc ?

J'ai le même problème sur le Nomu S10! 

[Aromino]

Ras le bol de ces pubs intempestives générées par ce truc. Est ce la face visible de l'iceberg ?

J'ai l'impression que cela vient du firmware lui même. Pour info je suis en NOMU_S10_COMMON_V1.0.3_2016_10_24.

Le plus étonnant c'est que cette version n'est pas celle que je retrouve dans la majeure partie des repo de roms android.

Je tente un downgrade (NOMU_S10_COMMON_V1.0.2_2016_10_09) voir ce que cela peut donner.

si je n'ai plus le problème aprés une réinstalle complète de toutes mes applications cela peut signifier :

- soit que ce trojan est assez doué pour s'incorporer dans la restaure elle-même du mobile,

- soit qu'il est mis directement en usine.

Ton message riko13 me ferait opter pour le second choix, ce qui serait trés inquiétant...

Au vu de l'apparition aléatoire du malware, je vous redit cela aprés quelques jours d'utilisation.

[Aromino]

Le downgrade révèle un autre problème : l'application de mise à jour du système est considérée par MB comme étant un malware (trojan.fotaprovider).

J'ai à priori réussi à désactiver les mises à jour de ce truc et j'ai supprimer les mises à jour auto car il est IMPOSSIBLE a supprimer !

En effet, il faut les droits root pour faire un remove propre. Je n'ai hélas pas trouver un moyen simple et efficace pour obtenir ces droits sur le téléphone (MTK6737).

Verdict après quelques jours d'utilisation.

[Aromino]

Le problème est revenu malgré tout en v1.0.2. Le malware est installé directement dans le firmware (http://blog.checkpoint.com/2017/03/10/preinstalled-malware-targeting-mobile-users/).

Ce matin j'ai fait un upgrade vers une 1.0.4 qui n'existait pas auparavant, proposée depuis l'outil de mise à niveau du téléphone.

Pour l'instant plus aucune alerte. À suivre...

[bouby]

J'ai la même saloperie depuis quelques jours. 

Je suis vraiment novice niveau android, si vous trouvez une solution j'en serai ravi !

[StefNomuS20]

Bonjour les damnés de la terre... J'ai un nomu s20 depuis environ 1 an, sans problèmes... Ça fait quelques jours que ce virus se manifeste sur mon appareil! Ce qui accrédite l'idée d'Aromino, que le problème est implanté à l'usine... À l'insu du constructeur sans doute.  J'attends donc avec impatience une mise à jour vers  1.0.4 encore indisponible pour le S20 (actuellement, j'ai la 1.0.3), peut-être une réaction récente de Nomu.

[Aromino]

Le problème est général chez NOMU...

Il suffit juste d'aller voir dans la section publications visiteur de la page Facebook.

 

[bouby]

J'ai un S10 moi aussi, où à tu trouvé le 1.0.4 ?

[Aromino]

C'est le programme de mise à jour qui me l'a proposé ce matin comme par miracle. D'autant plus curieux qu'il n'existe nulle part sur le net.

Je n'arrive plus à faire confiance à cette entreprise. Je ne saurai vous conseiller de changer tout vos mots de passe.

Je vais essayer une autre méthode pour virer leurs firmwares infectés de saloperies.

Je vous tient au courant si ca marche.

[bouby]

J'ai changé mes MDP de compte en banque, pour le reste c'est pas bien grave dans mon cas.

Le logiciel ne me propose pas de maj OTA, je suis en 1.0.3.

C'est quand même la loose ce truc... Surtout que j'adore ce mobile, il est vraiment ultra costaud et à une autonomie incomparable.

[Aromino]

Je suis d'accord : la machine est d'enfer mais le prix à payer est un peu lourd à mon sens...

Précision : la mise à jour n'est apparue qu'aprés un downgrade en 1.0.2 infecté également...

[bouby]

Le downgrade, tu l'as fait par USB? Tu as rooté le tel pour installer un recovery ?

[Aromino]

Nope il n'est pas rooté. J'ai utilisé un logiciel de Flash. Attention, la manipulation n'est pas sans danger pour votre téléphone.

Cependant, j'ai enfin réussi à définitivement ne plus utiliser de firmware NOMU.

Thx Mono pour le tuyau.

[bouby]

Un petit lien pour ton cfw?

 

[Aromino]

26 minutes ago, bouby said:

Un petit lien pour ton cfw?

 

ok envoie moi un msg en pv.

[AlexFr]

bonjour à tous,
il semble bien que l'infection vienne du fabricant NOMU car mon appareil est un rebranding du NOMU S20 , le MTT IDEAL distribué en France par ADAR GENERALE TELECOM SERVICES (https://www.mttmobiles.com/fr/mtt-ideal/)
voir ici pour plus d'info : http://www.planetenumerique.com/Test-smartphone-Nomu-S20-smartphone-etanche-resistant-IP68,3513

j'ai remonté l'info au SAV du distributeur en France qui me propose de renvoyer l'appareil en SAV pour flashage ! Je vais voir avec eux s'il ne serait pas plus simple d'attendre une mise a jour OTA !!!

[Totorico]

Bonjour à tous,

J'ai le même téléphone...et le même problème que toi AlexFr. Et la même réponse du SAV.

J'hésite à le leur envoyer, car s'ils se contentent de remettre leur firmware vérolé, ça n'aura servi à rien.

N'hésite pas à nous tenir au courant, je posterai la résolution de mon cas si jamais je m'en sors

[AlexFr]

Pour info je leur ai répondu qu'au lieu d'envoyer l'appareil en SAV, il serait plus simple pour tous les utilisateurs d'obtenir une mise a jour OTA avec un systeme propre exempt de malwares...pour l'instant pas de reponse , je vous tiendrais informés dès que j'ai une réponse.

Il y avait aussi Aromino qui semblait avoir trouvé une ROM AOSP propre pour cet appareil...je pense qu'il nous donnera le resultat de ses essais...

[StefNomuS20]

J'ai aussi laissé un message sur nomu.hk... Pour l'instant sans réponse. Par ailleurs, déçu par l'installation d'usine (vraisemblablement), je ne vais pas me ruer sur une autre installation aveuglément.

[Aromino]

Après 24h de cette nouvelle ROM. Tout va bien. La démarche est curieuse mais à le mérite de fonctionner et de se débarrasser de tout firmware Nomu. Elle m'a été rapportée par une victime de ces malwares et qui tente d'obtenir en vain des explications sur la page Facebook de Nomu. Elle consiste à utiliser le firmware d'un autre fabricant sur une machine très similaire. 

 

[NomuS20-victim]

Salut!

Pardon, je juste parle un peu de francais, mais j ai le meme probleme avec mon Nomu S20. Est ce que tu peut etre me dire que je peut faire pour installer un autre OS/ ta solution, en anglais s'il vous plait?

(eng: please give me a solution on how you changed your OS / to which OS you changed, i have basic computer skills, but i am not really into the Android / Linux systems)

Merci!

Edited May 3, 2017 by NomuS20-victim

[Aromino]

Hello Nomu S20 Victim.

I'm really sorry i have no solution for the s20. You could try to post your message on the Facebook Nomu community page and try to contact other victims.

This the way i use to solve my problem on s10.

Furthermore it's important that Nomu become aware about their customers problems.