Malware/adware preinstallato di fabbrica su Mediacom PhonePad Duo G515 ?

[giox069]

Ciao a tutti. Un amico ha acquistato da circa 1 anno un Mediacom PhonePad Duo G515 M-PPxG515.
Ha sempre avuto, fin dall'acquisto, un fastidioso adware che:

• Presenta pubblicità tra le notifiche
• Scarica una fasdidiosa app che introduce un secondo lock screen con altra pubblicità, costringendo comunque l'utente a sbloccare il telefono 2 volte
• Installa altre app non desiderate. Se le disinstallo, riappaiono installate dopo qualche ora o qualche giorno.

Ho eseguito una scansione sia con MalwareBytes che con F-Secure. Entrambi rilevano un malware installato. Entrambi segnalano che è l'app "Settings.apk" ad essere infetta. Precisamente MalwareBytes indica il file /system/priv-app/Settings/Settings.apk come infetto. Entrambi gli antivirus non sono però in grado di rimuovere la minaccia. MalwareBytes dice addirittura che il telefono è rooted, ma non c'è traccia di nessuna app per la gestione dei permessi di root (tipo SuperSu).

Allora mi sono chiesto: ma può essere che il malware sia stato preinstallato fino dall'acquisto? Il mio amico dice che il telefono era confezionato nella scatola originale quando lo ha comprato.

Quindi sono andato sul sito del produttore a scaricare il firmware originale per lo smartphone.
Il download del firmware avviene presso MEGA.nz, e richiede l'installazione sul PC di un software o estensione downloader, il che non è assolutamente né rassicurante né serio da parte dell'azienda.
Comunque procedo, scarico l'estensione per firefox, e poi scarico il firmware per il G515. Il file si chiama "G515 V1.14 03.06.2016 - solo seriali 1605-1607.zip" e contenere Android 5.1, stessa versione già installata nel telefono.
Scomprimo il file .zip, apro il file system.img con appositi tools, ed estraggo Settings.apk.

Orrore: è identico al Settings.apk rilevato infetto presente sul telefono. Stessa dimensione, stessa data/ora, stesso sha256sum.
Ma vado oltre, invio Settings.apk al sito virustotal.com. Risultato: Settings.apk ufficiale di Android 5.1 del G515 è infetto secondo almeno 2 produttori di antivirus. Strano che MalwareBytes non lo consideri infetto.
Ora, oltre a togliere la mia totale fiducia a Mediacom, che manda i propri clienti a scaricare i firmware ufficiali presso siti dubbi, che ne pensate di tuto ciò?
E' malware distribuito ufficialmente?
Ho anche qualche possibilità di togliere quel maledetto adware/malware? Magari non è proprio il file Settings.apk?

Grazie per qualsiasi consiglio.
PS: ho tolto gli URL ai risultati di scansione di virustotal e ai download dal sito del produttore perché non ho l'autorizzazione a postarli nel forum.

[Fran58]

Ciao a tutti. Un amico ha acquistato da circa 1 anno un Mediacom PhonePad Duo G515 M-PPxG515.
Ha sempre avuto, fin dall'acquisto, un fastidioso adware che:

• Presenta pubblicità tra le notifiche
• Scarica una fasdidiosa app che introduce un secondo lock screen con altra pubblicità, costringendo comunque l'utente a sbloccare il telefono 2 volte
• Installa altre app non desiderate. Se le disinstallo, riappaiono installate dopo qualche ora o qualche giorno.

Ho eseguito una scansione sia con MalwareBytes che con F-Secure. Entrambi rilevano un malware installato. Entrambi segnalano che è l'app "Settings.apk" ad essere infetta. Precisamente MalwareBytes indica il file /system/priv-app/Settings/Settings.apk come infetto. Entrambi gli antivirus non sono però in grado di rimuovere la minaccia. MalwareBytes dice addirittura che il telefono è rooted, ma non c'è traccia di nessuna app per la gestione dei permessi di root (tipo SuperSu).

Allora mi sono chiesto: ma può essere che il malware sia stato preinstallato fino dall'acquisto? Il mio amico dice che il telefono era confezionato nella scatola originale quando lo ha comprato.

Quindi sono andato sul sito del produttore a scaricare il firmware originale per lo smartphone.
Il download del firmware avviene presso MEGA.nz, e richiede l'installazione sul PC di un software o estensione downloader, il che non è assolutamente né rassicurante né serio da parte dell'azienda.
Comunque procedo, scarico l'estensione per firefox, e poi scarico il firmware per il G515. Il file si chiama "G515 V1.14 03.06.2016 - solo seriali 1605-1607.zip" e contenere Android 5.1, stessa versione già installata nel telefono.
Scomprimo il file .zip, apro il file system.img con appositi tools, ed estraggo Settings.apk.

Orrore: è identico al Settings.apk rilevato infetto presente sul telefono. Stessa dimensione, stessa data/ora, stesso sha256sum.
Ma vado oltre, invio Settings.apk al sito virustotal.com. Risultato: Settings.apk ufficiale di Android 5.1 del G515 è infetto secondo almeno 2 produttori di antivirus. Strano che MalwareBytes non lo consideri infetto.
Ora, oltre a togliere la mia totale fiducia a Mediacom, che manda i propri clienti a scaricare i firmware ufficiali presso siti dubbi, che ne pensate di tuto ciò?
E' malware distribuito ufficialmente?
Ho anche qualche possibilità di togliere quel maledetto adware/malware? Magari non è proprio il file Settings.apk?

Grazie per qualsiasi consiglio.
PS: ho tolto gli URL ai risultati di scansione di virustotal e ai download dal sito del produttore perché non ho l'autorizzazione a postarli nel forum.

Ho acquistato il telefono a Dicembre e da quando ho abilitato la connessione dati ha incominciato a:
1 abilitare autonomamente la installazione di programmi non da fonti sicure
2 installare inizialmente le applicazioni AceBrowser - MySettings e un altra che non ricordo
3 riempire di pop up di pubblicità lo schermo sempre in maniera più invasiva.
Da una scansione con MalwareBytes risultano infetti i files settings.apk e fotaupd.apk ma MalwareBytes non rimuove la minaccia.
Anch'io ho scaricato dal sito Mediacom il firmware (lo stesso che tu) ma il problema persiste. Il firmware è infetto e non c'è modo di risolvere.

[giox069]

Anch'io ho scaricato dal sito Mediacom il firmware (lo stesso che tu) ma il problema persiste. Il firmware è infetto e non c'è modo di risolvere.

Risposta poco utile di stamattina da parte del supporto via e-mail di Mediacom:
Può ricaricare il firmware del prodotto, lo trova sul sito della Mediacom www . mediacomeurope . it sezione 'download'

Cosa che ovviamente abbiamo già fatto entrambi. Io però ammetto che dopo averlo scaricato, NON ho reinstallato il firmware, ma solo estratto i files infetti dall'immagine scaricata per verificare che effettivamente fossero infetti.

Fran58: Tu hai reinstallato l'ultimo firmware resettando completamente il telefono ?

[NiloGlock]

Risposta poco utile di stamattina da parte del supporto via e-mail di Mediacom:
Può ricaricare il firmware del prodotto, lo trova sul sito della Mediacom www . mediacomeurope . it sezione 'download'

Cosa che ovviamente abbiamo già fatto entrambi. Io però ammetto che dopo averlo scaricato, NON ho reinstallato il firmware, ma solo estratto i files infetti dall'immagine scaricata per verificare che effettivamente fossero infetti.

Fran58: Tu hai reinstallato l'ultimo firmware resettando completamente il telefono ?

Post reso visibile...

[Fran58]

Si, ho resettato il telefono e reinstallato il firmware originale (la stessa versione che tu citi). Poi considerato che il problema si riproponeva ho contattato il servizio Mediacom che testualmente mi ha risposto così: Può provare a installare l’app ccleaner e fare una pulizia di sistema, se non dovesse dare esiti positivi, può riprovare a caricare il firmware del prodotto

Ho ancora caricato una seconda volta il firmware ma non appena abilitata la connessione dati riecco lo stesso problema con identica successione temporale.

[edulus91]

probabilmente mediacom:
1 vuole fare soldi installando adware sui dispositivi (rovinandosi da sola)
2 lavora con una versione di android infetta (bisogna essere abbastanza incompetenti per non accorgersene)

aggiungo che io possiedo un mediacom 1050s2 con kitkat e gli stessi problemi. consiglio di passare ad altri dispositivi più decenti e non prodotti da aziende italiane misconosciute.

[giox069]

Sarebbe bello capire se ci sono gli estremi per una class action... ma in Italia per ora con la class action si recuperano solo i soldi spesi dell'apparecchio, eventuali spese legali e quelle di verifiche sui firmware sono tutte a carico del consumatore

[mediacom2017]

probabilmente mediacom:
1 vuole fare soldi installando adware sui dispositivi (rovinandosi da sola)
2 lavora con una versione di android infetta (bisogna essere abbastanza incompetenti per non accorgersene)

aggiungo che io possiedo un mediacom 1050s2 con kitkat e gli stessi problemi. consiglio di passare ad altri dispositivi più decenti e non prodotti da aziende italiane misconosciute.

i prodotti non hanno problemi con malware già pre-installati nelle rom, altrimenti TUTTI i prodotti usciti dalla fabbrica avrebbero il problema. considerando che ne hanno venduti circa 80.000 in un anno.non è così.
E' uscito un nuovo firmware scaricabile dal sito mediacom . l'ho provato e risolve
ho letto vari messaggi in questo post di cass action o che mediacom vuole farsi soldi mettendo apposta adware nei dispositivi. non so per quale motivo molti sono prevenuti su mediacom.
Chiedo a edulus91 di spiegare meglio il problema sul 1050s2 essendo un prodotto di 3 anni fa ed essendo l'unico ad avere questo problema.. anche questo prodotto ha dei problemi con malware? oppure è solo la voglia di fare cattiva pubblicità lavorando per altre aziende del settore? chiamare mediacom microsconosciuta.... e hai 2 prodotti loro
vi state chiedendo se lavoro in mediacom? no non lavoro in mediacom ma apprezzo i prodotti che fanno e li pubblicizzo perchè sono italiani e sono cresciuti in modo esponenziale negli ultimi anni.
hanno i loro problemi... si li hanno... e chi non li ha? samsung? apple? oppure viene "accettato" il fatto che hanno problemi......

[edulus91]

i prodotti non hanno problemi con malware già pre-installati nelle rom, altrimenti TUTTI i prodotti usciti dalla fabbrica avrebbero il problema. considerando che ne hanno venduti circa 80.000 in un anno.non è così.
E' uscito un nuovo firmware scaricabile dal sito mediacom . l'ho provato e risolve
ho letto vari messaggi in questo post di cass action o che mediacom vuole farsi soldi mettendo apposta adware nei dispositivi. non so per quale motivo molti sono prevenuti su mediacom.
Chiedo a edulus91 di spiegare meglio il problema sul 1050s2 essendo un prodotto di 3 anni fa ed essendo l'unico ad avere questo problema.. anche questo prodotto ha dei problemi con malware? oppure è solo la voglia di fare cattiva pubblicità lavorando per altre aziende del settore? chiamare mediacom microsconosciuta.... e hai 2 prodotti loro
vi state chiedendo se lavoro in mediacom? no non lavoro in mediacom ma apprezzo i prodotti che fanno e li pubblicizzo perchè sono italiani e sono cresciuti in modo esponenziale negli ultimi anni.
hanno i loro problemi... si li hanno... e chi non li ha? samsung? apple? oppure viene "accettato" il fatto che hanno problemi......

La app per gli aggiornamenti OTA Mediacom non mi mostra alcun aggiornamento fin dal giorno in cui l'ho tolto dalla scatola. Dobbiamo forse tornare ai tempi in cui per aggiornare android devi scaricarti lo zip dal sito e flasharlo dalla recovery?
Non sono stato l'unico ad avere il problema e ti cito altri thread in cui hanno avuto la mia stessa esperienza:
https://www.androidiani.com/forum/le...one-app-3.html
https://www.androidiani.com/forum/al...-duo-g511.html

Io possiedo un prodotto Mediacom, non due, che sarà anhe l'ultimo data la mia ultima esperienza.
Non lavoro per "altre aziende del settore" per un semplice motivo: i loro prodotti sono così scadenti che non c'è neanche bisogno di diffamarla perché lo fa da sola.

"apprezzo Mediacom perché è italiana" Penso che se Mediacom è quello che rimane dell'informatica italiana siamo messi male.
Le aziende italiane sono caratterizzate da prodotti di qualità, non da dispositivi scadenti, è per questo che non ho intenzione di supportarli. Conta che probabilmente il 90% dei loro prodotti saranno made in China.
Penso che supportare le aziende italiane sia giusto, ma a patto che se lo merito, anziché sprecare la tua fiducia in produttori che non la meritano dalla a delle startup promettenti come: iotty - https://www.kickstarter.com/projects...porary-italian

Le aziende più grandi non vengono criticate per problemi e difetti semplicemente perché sono celeri nel risolverli, o meglio, non li provocano proprio.
Sembra che sia tu ad essere affiliato a Mediacom dato che ti rifiuti di vedere gli evidenti difetti dei loro prodotti.
Non c'è bisogno che ti rispieghi il mio problema perché è già stato descritto dal primo post del thread.

[edulus91]

Solo ora ho visto il tuo username... mediacom2017? HAHAHAHAHA
E poi sarei io quello affiliato ad un produttore. Patetico.