Jump to content

Recommended Posts

le 26 avril 2017
Bonjour à tous ,
depuis le 20 avril , Malwarebytes  détecte un cheval de Troie appelé Android/Trojan.Triada.EU  situé sur /data/app/com.petsfamily-1/base.apk . Apparemment, il usurpe l'application Settings . Le problème est que meme si on choisit de supprimer l'infection elle réapparait la fois suivante et à chaque fois on doit à nouveau la supprimer. J'ai fait la captures des resultats d'analyse Malwarebytes (voir captures) et je suis allé avec un gestionnaire de fichiers sur /mnt/m-internal-storage/.jm/com.android.vending  pour supprimer le dossier afin de me débarrasser de 4182_1492513340610.xde.apk et  il semblait que maintenant l'infection ne se manifestait plus.
 
Une recherche en ligne montre que  Triada est un cheval de Troie modulaire qui utilise un accès root pour remplacer les fichiers système, il se loge dans la RAM , voir ici pour plus d'info:
 
pour l'instant j'ai supprimé le dossier "com.android.vending" avec tout ce qu'il contenait mais j'ai continué a avoir des alertes de malwarebyte (analyse fichiers et detection application) , j'ai envoyé touts les info le 26 avril au support de malwarebytes.
 
27 avril 2017:
encore 2 detections depuis ce matin et alertes de malwarebytes qui detecte le mode root !!!! alors que ce n'est absolument pas le cas, cela semble confirmer que c'est bien une attaque "triada" qui s'infiltre par le processus zygote en activant des autorisations de superutilisateur ....
 
 
info :
contenu du dossier supprimé:
4182_1492513340610.xde
com.android.vending.bv
JmBean1001.dat
 
dossier racine /data/app/  contenu supprimé avec l'appli "root browser" (JRummy) mais revient après chaque nettoyage de malwarebytes:
/data/app/com.petsfamily-1/base.apk
/data/app/com.petsfamily-1/lib
/data/app/com.petsfamily-1/oat
 

detection fichiers.png

detection applications.png

Link to post
Share on other sites

  • Replies 90
  • Created
  • Last Reply

Top Posters In This Topic

Top Posters In This Topic

Posted Images

addendum /correction :

contenu du dossier supprimé dans la memoire interne /.jm /com.android.vending mais revient après chaque nettoyage de malwarebytes:
4182_1492513340610.xde
com.android.vending.bv
JmBean1001.dat

dossier racine /data/app/ visible avec l'appli "root browser" (JRummy) mais impossible à supprimer et reste après chaque nettoyage de malwarebytes:
/data/app/com.petsfamily-1/base.apk
/data/app/com.petsfamily-1/lib
/data/app/com.petsfamily-1/oat

Edited by AlexFr
correction
Link to post
Share on other sites

J'ai exactement le même problème sur mon Nomu S10.

Aprés de multiples restaure d'usine, je retrouve toujours une alerte sur une archive base.apk usurpant l'application Settings.

Je n'arrive pas à trouver quoi que ce soit sur le net qui puisse m'aider à corriger le problème.

Existe t'il une solution pour ce défaire de ce truc ?

Link to post
Share on other sites

23 hours ago, Aromino said:

J'ai exactement le même problème sur mon Nomu S10.

Aprés de multiples restaure d'usine, je retrouve toujours une alerte sur une archive base.apk usurpant l'application Settings.

Je n'arrive pas à trouver quoi que ce soit sur le net qui puisse m'aider à corriger le problème.

Existe t'il une solution pour ce défaire de ce truc ?

J'ai le même problème sur le Nomu S10! 

Link to post
Share on other sites

Ras le bol de ces pubs intempestives générées par ce truc. Est ce la face visible de l'iceberg ?

J'ai l'impression que cela vient du firmware lui même. Pour info je suis en NOMU_S10_COMMON_V1.0.3_2016_10_24.

Le plus étonnant c'est que cette version n'est pas celle que je retrouve dans la majeure partie des repo de roms android.

Je tente un downgrade (NOMU_S10_COMMON_V1.0.2_2016_10_09) voir ce que cela peut donner.

si je n'ai plus le problème aprés une réinstalle complète de toutes mes applications cela peut signifier :

- soit que ce trojan est assez doué pour s'incorporer dans la restaure elle-même du mobile,

- soit qu'il est mis directement en usine.

Ton message riko13 me ferait opter pour le second choix, ce qui serait trés inquiétant...

Au vu de l'apparition aléatoire du malware, je vous redit cela aprés quelques jours d'utilisation.

Link to post
Share on other sites

Le downgrade révèle un autre problème : l'application de mise à jour du système est considérée par MB comme étant un malware (trojan.fotaprovider).

J'ai à priori réussi à désactiver les mises à jour de ce truc et j'ai supprimer les mises à jour auto car il est IMPOSSIBLE a supprimer !

En effet, il faut les droits root pour faire un remove propre. Je n'ai hélas pas trouver un moyen simple et efficace pour obtenir ces droits sur le téléphone (MTK6737).

Verdict après quelques jours d'utilisation.

Link to post
Share on other sites

Le problème est revenu malgré tout en v1.0.2. Le malware est installé directement dans le firmware (http://blog.checkpoint.com/2017/03/10/preinstalled-malware-targeting-mobile-users/).

Ce matin j'ai fait un upgrade vers une 1.0.4 qui n'existait pas auparavant, proposée depuis l'outil de mise à niveau du téléphone.

Pour l'instant plus aucune alerte. À suivre...

Link to post
Share on other sites

Bonjour les damnés de la terre... J'ai un nomu s20 depuis environ 1 an, sans problèmes... Ça fait quelques jours que ce virus se manifeste sur mon appareil! Ce qui accrédite l'idée d'Aromino, que le problème est implanté à l'usine... À l'insu du constructeur sans doute.  J'attends donc avec impatience une mise à jour vers  1.0.4 encore indisponible pour le S20 (actuellement, j'ai la 1.0.3), peut-être une réaction récente de Nomu.

Link to post
Share on other sites

C'est le programme de mise à jour qui me l'a proposé ce matin comme par miracle. D'autant plus curieux qu'il n'existe nulle part sur le net.

Je n'arrive plus à faire confiance à cette entreprise. Je ne saurai vous conseiller de changer tout vos mots de passe.

Je vais essayer une autre méthode pour virer leurs firmwares infectés de saloperies.

Je vous tient au courant si ca marche.

Link to post
Share on other sites

J'ai changé mes MDP de compte en banque, pour le reste c'est pas bien grave dans mon cas.

Le logiciel ne me propose pas de maj OTA, je suis en 1.0.3.

C'est quand même la loose ce truc... Surtout que j'adore ce mobile, il est vraiment ultra costaud et à une autonomie incomparable.

Link to post
Share on other sites

Nope il n'est pas rooté. J'ai utilisé un logiciel de Flash. Attention, la manipulation n'est pas sans danger pour votre téléphone.

Cependant, j'ai enfin réussi à définitivement ne plus utiliser de firmware NOMU.

Thx Mono pour le tuyau.

Link to post
Share on other sites

bonjour à tous,
il semble bien que l'infection vienne du fabricant NOMU car mon appareil est un rebranding du NOMU S20 , le MTT IDEAL distribué en France par ADAR GENERALE TELECOM SERVICES (https://www.mttmobiles.com/fr/mtt-ideal/)
voir ici pour plus d'info : http://www.planetenumerique.com/Test-smartphone-Nomu-S20-smartphone-etanche-resistant-IP68,3513

j'ai remonté l'info au SAV du distributeur en France qui me propose de renvoyer l'appareil en SAV pour flashage ! Je vais voir avec eux s'il ne serait pas plus simple d'attendre une mise a jour OTA !!!

Link to post
Share on other sites

Bonjour à tous,

J'ai le même téléphone...et le même problème que toi AlexFr. Et la même réponse du SAV.

J'hésite à le leur envoyer, car s'ils se contentent de remettre leur firmware vérolé, ça n'aura servi à rien.

N'hésite pas à nous tenir au courant, je posterai la résolution de mon cas si jamais je m'en sors ;)

Link to post
Share on other sites

Pour info je leur ai répondu qu'au lieu d'envoyer l'appareil en SAV, il serait plus simple pour tous les utilisateurs d'obtenir une mise a jour OTA avec un systeme propre exempt de malwares...pour l'instant pas de reponse , je vous tiendrais informés dès que j'ai une réponse.

Il y avait aussi Aromino qui semblait avoir trouvé une ROM AOSP propre pour cet appareil...je pense qu'il nous donnera le resultat de ses essais...

Link to post
Share on other sites

Après 24h de cette nouvelle ROM. Tout va bien. La démarche est curieuse mais à le mérite de fonctionner et de se débarrasser de tout firmware Nomu. Elle m'a été rapportée par une victime de ces malwares et qui tente d'obtenir en vain des explications sur la page Facebook de Nomu. Elle consiste à utiliser le firmware d'un autre fabricant sur une machine très similaire. 

 

Link to post
Share on other sites

Salut!

Pardon, je juste parle un peu de francais, mais j ai le meme probleme avec mon Nomu S20. Est ce que tu peut etre me dire que je peut faire pour installer un autre OS/ ta solution, en anglais s'il vous plait?

(eng: please give me a solution on how you changed your OS / to which OS you changed, i have basic computer skills, but i am not really into the Android / Linux systems)

Merci!

Edited by NomuS20-victim
Link to post
Share on other sites

Hello Nomu S20 Victim.

I'm really sorry i have no solution for the s20. You could try to post your message on the Facebook Nomu community page and try to contact other victims.

This the way i use to solve my problem on s10.

Furthermore it's important that Nomu become aware about their customers problems.

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    • No registered users viewing this page.

Back to top
×
×
  • Create New...

Important Information

This site uses cookies - We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.