Problema con applicazioni spam e collegamenti malevoli

[JuJu75]

Salve a tutti ragazzi,
quello che voglio chiedere oggi al Forum è l'aiuto a risolvere un problema che sta diventando un pò antipatico sotto certi aspetti.
Vengo al dunque: in questi giorni mi son capitati 3 dispositivi android di 3 persone differenti; un Tablet Audiola TAB 0493 3G, un Tablet KN-Mobile T12 New e uno smartphone Ananda DK_35 HD che sembrano essere stati posseduti da uno strano virus che è praticamente si manifesta alla stessa ed identica maniera su tutti, con le stesse app o icone di collegamento.
Ho scritto ai rispettivi centri assistenza e ironia della sorte, solo il Centro Assistenza di Ananda & Co LTD mi ha aiutato veramente inviandomi firmware e strumenti per il ripristino, gli altri due (cosa che sconsiglierò a vita l'acquisto dei loro prodotti) si sono limitati a rispondere che dovevo mandare a loro il tablet perchè non rilasciano firmware (Kn-Mobile) oppure che se dopo il ripristino la situazione non cambiava allora dovevo spedire a loro il tablet perchè nemmeno loro rilasciano firmware e la spesa si aggira intorno a 45 euro (Audiola Majestic).
Facendo una scansione con vari tool antivirus, tra cui anche Kaspersky per android, tutti mi hanno sempre evidenziato come l'app com.system android e com.systemUI fossero infettatat, a questo punto ho fatto un hard reset dello smartphone DK_35 HD in quanto era l'unico che avevo a disposizione firmware e tutto, ho riflashato tutto con gli strumenti che loro mi avevano inviato ed esattamente SP MDT, ma quando attivo il Wi-Fi o la connessione dati ecco che appaiono le famigerate applicazioni Timobox, Olala, Sexy, Lucky, un pacchetto regalo che si apre e si collega ad un sito di applicazioni e ne inizia a scaricare da solo a bizzeffe.
La società Ananda mi ha inviato un altro firmware, da installare al posto dell'altro, stavolta di un telefono Landvo S6 che ha la stessa architettura del DK_35 HD, ma a quanto pare non si riesce a risolvere questo problema. I virus o collegamenti virali ci sono e non si riescono a debellare.
Tra l'altro queste applicazioni o collegamenti, non hanno nessun riferimento all'interno delle applicazioni installate quindi non sono nemmeno disinstallabili o disattivabili.
Ho provato a fare una scansione con AirPush detector, ma anche questa applicazione mi riporta all'infezione di com.systemUI.
Come si può ovviare a questo problema se è possibile naturalmente ?

[megthebest]

Ciao, il problema sembra abbastanza grave, in passato su alcune marche di smartphone c'erano installati dei Trojan/PUP, ma con un Factory reset si risolveva.
Il problema lo avevi alla prima accensione e collegamento internet? Se con factory reset non risolvi, unico metodo sarebbe facendo il root e inibendo qualsiasi accesso ad internet con app apposite alle app incriminate a livello di sistema.

[Sartana]

Hai detto quando li colleghi al Wi-Fi vero?
tre dispositivi diversi infetti è strano, O era un sito visitato da tutti e 3, oppure cos'altro li accomuna?
Io direi la connessione wi-fi.
Temo che il tuo router aia infettato, è capitato anche a me. Se hai anche un pc connesso ci sta sua infetto anche quello, a meno che il tuo antivirus non l'abbia bloccato.
Di solito la rimozione è semplice, basta un reset del router, la cui procedura dipende dal modello ma di solito c'è un tasto ad hoc, oppure una fessura dentro cui inserire un ago o simile.
Se hai un router standard fornito dal provider (tipo i pirelli di alice) per prevenire ulteriori problemi puoi fare poco, se hai un tuo router è bene aggiornare firmware, utilizzare strong password per l'accesso al router etc etc (trovi in rete guide generiche o specifiche a seconda del modello)

Inviato da qualche parte con Androidiani app

[JuJu75]

Ciao, il problema sembra abbastanza grave, in passato su alcune marche di smartphone c'erano installati dei Trojan/PUP, ma con un Factory reset si risolveva.
Il problema lo avevi alla prima accensione e collegamento internet? Se con factory reset non risolvi, unico metodo sarebbe facendo il root e inibendo qualsiasi accesso ad internet con app apposite alle app incriminate a livello di sistema.

Il problema è che queste non sono delle vere e proprie applicazioni, se entro nelle impostazioni non le disinstallo perchè non ci sono.
Ma appaiono all'improvviso quando rifaccio la procedura di reset sia da recovery che da ripristino di sistema che da flash ex novo tramite firmware e tool.

[megthebest]

Verifica allora come detto da Sartana, se hai subito un attacco al router, magari provando con altri smartphone o pc e vedendo se la situazione e la stessa.
Ricordo ad esempio un vecchio ruter nilox di mio cognato che aveva subito un attacco e avevano cambiato i dns/password da remoto, risultato, ogni navigazione portava malware e siti non voluti

[JuJu75]

Hai detto quando li colleghi al Wi-Fi vero?
tre dispositivi diversi infetti è strano, O era un sito visitato da tutti e 3, oppure cos'altro li accomuna?
Io direi la connessione wi-fi.
Temo che il tuo router aia infettato, è capitato anche a me. Se hai anche un pc connesso ci sta sua infetto anche quello, a meno che il tuo antivirus non l'abbia bloccato.
Di solito la rimozione è semplice, basta un reset del router, la cui procedura dipende dal modello ma di solito c'è un tasto ad hoc, oppure una fessura dentro cui inserire un ago o simile.
Se hai un router standard fornito dal provider (tipo i pirelli di alice) per prevenire ulteriori problemi puoi fare poco, se hai un tuo router è bene aggiornare firmware, utilizzare strong password per l'accesso al router etc etc (trovi in rete guide generiche o specifiche a seconda del modello)

Inviato da qualche parte con Androidiani app

Si, però si tratta di 3 casi analoghi di persone estranee a loro, io sil DK_35 HD ci stavo già lavorando da un pò quando mi si son presentati questi altri due casi di tablet appartenenti a persone diverse.
Io credo di più che se un virus c'è deve aver infettato e sovrascritto qualcosa nella memoria eMMC.Pensavo più che altro di installare una cwm modificata per quel modello di processore MTK e fare i vari wipe e la formattazione della eMMC dopodichè passare al flash del firmware.
Non l'ho fatto ancora perchè la formattazione della eMMC non sò a cosa mi porterebbe.

[ivanphone]

Ciao a tutti, anchio ho lo stesso problema di agosto75 su uno smartphone Landvo S6. Da quello che ho letto in giro (siti stranieri) è un virus e sarebbe ancora in fase di ricerca soluzione.
Gli antivirus (provati almeno 5) rilevano le app infette (o presumibilmente infette) ma non sono in grado di pulirle. Alcune volte cambiando antivirus rileva app diverse. Addirittura ci sono antivirus che alcune non le rilevano proprio.
Non so precisamente con che app si prenda, il cell non è mio, ma sicuramente è perchè gli sono stati dati i "permessi a installare app/file di origini sconosciute".
Cmq non è un problema di connessione wifi perchè "pulendolo" e fatto hard reset dopo averlo disconnesso da qualsiasi rete, appena si connette ad una rete qualsiasi (provato anche con rete comunale), il virus inizia a scaricare le solite noiose app.
Nel mio caso anche collegamenti a siti porno cinesi/jap. Questo è stato provato con sim di diversi gestori e wifi diverse.

Probabilmente il solo metodo per eliminarlo è quello di sostituire il firmware.
Le app infette nel mio caso sono tutte nella rom (n°4 AccessibilyService - AccessibiliCoreService - Core Service - PowerCoreService)
Al momento ho identificato e bloccato la presunta app che sembrerebbe crei il problema. Non posso eliminarla perchè ancora non so cosa sia/cosa faccia e voglio esserne sicuro prima di toglierla, semmai la toglierò (il rischio che il terminale abbia problemi è possibile) e sempre che si riesca ad eliminarla.
In questo momento lo sto ancora provando, ma il virus è ancora li. L'app colpevole nelmio caso l'ho identificata in CHAJIAN.

Ho usato il metoto di freezarle con Titanium Backup Pro dopo averlo rootato, quindi si potrebbe identificare il colpevole cosi:
Ovviamente bisogna rootare lo smartphone. Installare Titanium Backup Pro (quello a pagamento perchè x il free la funzione congela non è attiva).
Dopodichè procedere a congelare le app che si ritiene siano coinvolte.

In alcuni casi le app o finte app/virus si replicano, quindi ho dovuto freezzare anche le doppie (sempre con Titanium Backup Pro). Nel caso di CoreService ho la 1.5 e la 1.6
Una volta identificate e congelate tutte le app, il cell non scarica più niente di indesiderato (al momento è così), anche se l'antivirus continua a notificare i virus.

n.b. In rete ho letto che virus simili (scaricano da soli app e link porno) hanno anche nomi diversi, quindi i nomi da me elencati potrebbero non corrispondere ad altri. Per farsi un idea basta cercare "Virus Monkey Test" o "time Service".

[JuJu75]

Ciao a tutti, anchio ho lo stesso problema di agosto75 su uno smartphone Landvo S6. Da quello che ho letto in giro (siti stranieri) è un virus e sarebbe ancora in fase di ricerca soluzione.
Gli antivirus (provati almeno 5) rilevano le app infette (o presumibilmente infette) ma non sono in grado di pulirle. Alcune volte cambiando antivirus rileva app diverse. Addirittura ci sono antivirus che alcune non le rilevano proprio.
Non so precisamente con che app si prenda, il cell non è mio, ma sicuramente è perchè gli sono stati dati i "permessi a installare app/file di origini sconosciute".
Cmq non è un problema di connessione wifi perchè "pulendolo" e fatto hard reset dopo averlo disconnesso da qualsiasi rete, appena si connette ad una rete qualsiasi (provato anche con rete comunale), il virus inizia a scaricare le solite noiose app.
Nel mio caso anche collegamenti a siti porno cinesi/jap. Questo è stato provato con sim di diversi gestori e wifi diverse.

Probabilmente il solo metodo per eliminarlo è quello di sostituire il firmware.
Le app infette nel mio caso sono tutte nella rom (n°4 AccessibilyService - AccessibiliCoreService - Core Service - PowerCoreService)
Al momento ho identificato e bloccato la presunta app che sembrerebbe crei il problema. Non posso eliminarla perchè ancora non so cosa sia/cosa faccia e voglio esserne sicuro prima di toglierla, semmai la toglierò (il rischio che il terminale abbia problemi è possibile) e sempre che si riesca ad eliminarla.
In questo momento lo sto ancora provando, ma il virus è ancora li. L'app colpevole nelmio caso l'ho identificata in CHAJIAN.

Ho usato il metoto di freezarle con Titanium Backup Pro dopo averlo rootato, quindi si potrebbe identificare il colpevole cosi:
Ovviamente bisogna rootare lo smartphone. Installare Titanium Backup Pro (quello a pagamento perchè x il free la funzione congela non è attiva).
Dopodichè procedere a congelare le app che si ritiene siano coinvolte.

In alcuni casi le app o finte app/virus si replicano, quindi ho dovuto freezzare anche le doppie (sempre con Titanium Backup Pro). Nel caso di CoreService ho la 1.5 e la 1.6
Una volta identificate e congelate tutte le app, il cell non scarica più niente di indesiderato (al momento è così), anche se l'antivirus continua a notificare i virus.

n.b. In rete ho letto che virus simili (scaricano da soli app e link porno) hanno anche nomi diversi, quindi i nomi da me elencati potrebbero non corrispondere ad altri. Per farsi un idea basta cercare "Virus Monkey Test" o "time Service".

Secondo me non c'è più alcun controllo sul Play Store, o per meglio dire, sono controllate solo alcune tipologie di applicazioni, ovvero quelle a pagamento (e forse) mentre le altre son lasciate al loro destino, basti vedere la miriade di pubblicità che si apre quando si apre una applicazione free. Dai test effettutati con diversi antivirus ho notato che tutti, mi riportavano come infette app di sistema come com.android.systemui.

[bovirus]

@agosto75
Non sono d'accrodo.
La maggior parte delle aziende che pubblicano sul Play Store sono serie.
Quasi tutte le app gratuite si mantengono con la pubblictà.
La ROM del telefono deve essere pulita (non ci devono essere malware pre-installati - che sono epr la maggior parte repsonsabili delle infezioni) e possibilmente con le proetzioni aggiornate.
E' comunque semrpe consigliabile un buon antivirus (io uso CM Antivirus).

[ivanphone]

Secondo me non c'è più alcun controllo sul Play Store, o per meglio dire, sono controllate solo alcune tipologie di applicazioni, ovvero quelle a pagamento (e forse) mentre le altre son lasciate al loro destino, basti vedere la miriade di pubblicità che si apre quando si apre una applicazione free. Dai test effettutati con diversi antivirus ho notato che tutti, mi riportavano come infette app di sistema come com.android.systemui.

Il fatto di infettare app di sistema o cmq file di sistema è comune a quasi tutti i virus, non solo per sistemi android, poi bisognerebbe vedere se sono reali app di sistema o sono "app emulatrici". Cmq il fatto che dicevo precedentemente dei "permessi a installare app/file di origini sconosciute" è dovuto alla prova che lavorando su questo cell infetto, se si blocca quella funzione (settabile in impostazioni>sicurezza>Origini sconosciute) dopo aver pulito con determinati antivirus (l'antivirus -qualcuno- ti dice che è pulito ma al riavvio i virus ci sono ancora), queste app cercano di reinstallarsi, ma vengono bloccate da questa funzione che chiede di andare a variare nelle impostazioni appunto quel settaggio di "origini sconosciute".
Il risultato è quello di avere ogni 4-5 secondi solo il messaggio (cosa snervante) che ti dice di consentire all'installazione, ma questi non si installano.
Probabilmente l'errore iniziale del proprietario del cell è quello di cedere e acconsentire l'installazione, credendo che sparisca per sempre la notifica (e infatti sparisce), ma poi si ritrova infetto.