Malware/trojan non rimovibili nelle ROM Le1PRO_US

Riassumo qui quanto emerso da altri thread, su un problema appena riscontrato ma che ha già colpito diversi utenti che utilizzano le ROM di Cuoco.

Sono stati trovati malware/trojan installati di default sulle ROM versione US di @Cuoco92 e non rimovibili.
La mia personale esperienza:

11S fino alla V46
Dopo settimane di utilizzo senza alcun problema, di colpo mi sono ritrovato delle app installate a mia insaputa. Launcher e altre porcherie. Nonostante avessi inizialmente pensato fosse colpa mia (installazione di app di aptoide), ho la conferma (@giacasale ed altri) che in realtà il problema fosse nella ROM, e che fosse sostanzialmente un malware "dormiente" che per qualche motivo la scorsa settimana si è risvegliato.
Cosa rilevano avast/norton/la maggior parte degli antivirus: NIENTE
Qual'è l'unico antivirus che rileva il problema: CM antivirus
Cosa rileva: Search Service Malware
Come rimuovere: sebbene CM antivirus consigli di installare Stubbon Trojan Killer, nemmeno questo risolve il problema. Non solo: dice che è impossibile rimuovere il malware, ed al riavvio ci si trova il telefono in boot loop sulla schermata EUI.

Ho reinstallato la rom pulita, wipe vari e factory reset, ma il malware era sempre lì.
Ho provato dunque un'altra ROM.

12S V50 di Cuoco:
Sebbene non abbia ancora dato fastidio né installato app strane, utilizzando ancora una volta l'unico antivirus che mi avesse rilevato il problema nella prima ROM (CM antivirus), qui ne trova un'altro: Ghost Push Trojan.
[img]//static.androidiani.com/extra/imageUploader/uploads/2016/06/image_rETXa.jpg[/img]
Stessa storia: utilizzando Stubbon Trojan Killer, non si riesce ad eliminarlo e si ritorna al boot loop di cui sopra.
E' un false friend? Non direi. Qualche info su questo "ghost push trojan" dalla rete: 'Ghost Push': An Un-Installable Android Virus Infecting 600,000+ Users Per Day - The world?s leading mobile tools provider
Una guida sulla rimozione che io personalmente non ho ancora provato: https://smplesmple.blogspot.it/2015/...-from.html?m=1

Allo stato attuale attendiamo un aiuto da parte di @Cuoco92 per capire cosa sta succedendo e se può eliminare questo grosso problema dalle sue ROM.

Siete invitati a postare le vostre esperienze.

EDIT 28/06:
11s: Riconosciuto che il malware è nella rom originaria (di ef**, successivamente modificata da cuoco92) è stata rilasciata da cuoco stesso una nuova versione di 11s che DOVREBBE essere priva di questo problema: https://www.androidfilehost.com/?w=files&flid=64249
12s: il ghost push trojan trovato con stubborn non ha ancora dato problemi a nessuno.

EDIT 22/07:
problema definitivamente risolto. Installate una qualsiasi delle ROM di @Cuoco92 (11s 48RL, 12S o 14s) condivise sulla sua pagina androidhost e non avrete più problemi. Ricordatevi di offrirgli una birra!!

11SV46 in uso da una settimana, CM rivela Search Service dannosa.

http://oi67.tinypic.com/2b3cww.jpg

Bisogna provare ad eliminare questa applicazione tramite root e vedere poi cosa accade.

Quote:

---

Originariamente inviato da Muscarob

11SV46 in uso da una settimana, CM rivela Search Service dannosa.

http://oi67.tinypic.com/2b3cww.jpg

Bisogna provare ad eliminare questa applicazione tramite root e vedere poi cosa accade.

---

Ti va in boot loop su schermata EUI, provato :)

Inviato dal mio Le1Pro usando Androidiani App

Il problema non è solo delle ROM di Cuoco, anche quelle montate di fabbrica su tutti gli X800 US ne sono affette. Solo quella "originale" senza modifiche dei venditori sembra esente (secondo stubborn)

Il mio non sembra avere di questi problemi.. Almeno per il momento..
Parto dal presupposto che gli antivirus su android servano come i fichi secchi.. ma la tua esperienza mi ha incuriosito, tanto da riprestinare un backup della 11s-v46 (da qualche giorno ero sulla 13s..dopo aver provato anche la 12s).. installato CM antivirus e scansionato il terminale..risultato: "Nessuna minaccia rilevata" cercato con solid explorer Search Engine nella parte root, mi ha trovato il file con estensione. .json. .. non credo comunque che le rom siano infette... magari scaricando da Aptoide...[img]//static.androidiani.com/extra/imageUploader/uploads/2016/06/image_cdUiF.jpg[/img]

Inviato dal mio Le 1 Pro usando Androidiani App

Ciao, prova con stubborn Trojan killer, dal play store.

Quote:

---

Originariamente inviato da ecaf

Il problema non è solo delle ROM di Cuoco, anche quelle montate di fabbrica su tutti gli X800 US ne sono affette. Solo quella "originale" senza modifiche dei venditori sembra esente (secondo stubborn)

---

È vero, va detto che non capisco come la 12s, che di fatto è un porting da versione non US, abbia lo stesso problema.

Inviato dal mio Le1Pro usando Androidiani App

Quote:

---

Originariamente inviato da ecaf

Ciao, prova con stubborn Trojan killer, dal play store.

---

si mi ha trovato il famoso ghost push... ma vuoi farti una risata? ho anche un le max2 stock (cinese/inglese) provato anche su quello.. risultato: mi da lo stesso virus trovato... .. come ipensavo.. questi antivirus non servono a niente .. ora rimetto la 13s di cuco92 sul 1pro e scommetto che mi rileva sempre lo stesso "virus"
Edit: "scommessa vinta" e non credo ci sia alcun virus nelle rom di cuoco92

Quote:

---

Originariamente inviato da MMoroboshik

Quote:

---

Originariamente inviato da ecaf

Ciao, prova con stubborn Trojan killer, dal play store.

---

si mi ha trovato il famoso ghost push... ma vuoi farti una risata? ho anche un le max2 stock (cinese/inglese) provato anche su quello.. risultato: mi da lo stesso virus trovato... .. come ipensavo.. questi antivirus non servono a niente .. ora rimetto la 13s di cuco92 sul 1pro e scommetto che mi rileva sempre lo stesso "virus"

---

Sono d'accordo nel senso che nemmeno io installo mai le ciofeche di antivirus o booster nei miei telefoni. Va detto però che quando mi sono trovato installate app a me sconosciute mi sono girate parecchio. Quando poi ho scoperto che anche ad altri capitava, allora è chiari che non sono io ad aver installato qualcosa di insicuro ma è un problema radicato e, se non ancora mostratosi, latente anche per altri.

Inviato dal mio Le1Pro usando Androidiani App

OK... questa è l'ultima volta che installo antivirus o porcate simili, su un tel android... sia sul le max2 che sul 1pro, questo fantomatico antivirus "stubborn Trojan killer" mi ha disinstallato il root dai 2 telefoni.. costringendomi a un altro ripristino.. per me capitolo chiuso

Stamattina il telefono mi è rimasto in boot loop .. ero con la 12s v50 , ora rimessa da backup 11s v46.. speriamo bene.

Inviato dal mio Le 1 Pro usando Androidiani App

Non fosse che ci si ritrova installati programmi non voluti... potrebbe essere anche un falso positivo...

Nessun falso positivo.
Anch'io Rom di cuoco, nessuna schifezza strana installata, l'altro ieri di colpo si autoinstallavano programmi tipo:

gestione della batteria
browser
file explorer ecc.

anche se li disinstallavo, eccoli dopo 20 secondi di nuovo

AVG, Stub ecc. non sono riusciti a risolvere il problema, quindi wipe e rifatto il telefono (sempre rom di cuoco).
Per sicurezza ieri sera però prima di aggiornarlo alla versione attuale (avevo il vecchio update.zip sul cell) ho fatto un bel backup da twrp subito dopo aver instalalto tutte le mie app ecc., quindi, se dovesse capitare, rewipe e via...

Certo che non posso credere che cuoco ci abbia messo del suo quindi, immaginate di fronte a cosa ci troviamo se queste schifezze se riescono nstallare app non volute in teoria potrebbero riuscire a prenderci i dati sensibili che abbiamo sul telefono (password, nr di carte di credito ecc..)

...e pensare che ero passato da windowsmobile ad android proprio perchè "poco interessante" per gli hacker .....
Il mercato si adegua e con esso i malintenzionati...!

I have the cuoco rom v 46 since the day it was updated but I have not seen any strange behaviour. Maybe it is the anti virus you are using that is causing it.

Quote:

---

Originariamente inviato da r_esisto

Nessun falso positivo.
Anch'io Rom di cuoco, nessuna schifezza strana installata, l'altro ieri di colpo si autoinstallavano programmi tipo:

gestione della batteria
browser
file explorer ecc.

anche se li disinstallavo, eccoli dopo 20 secondi di nuovo

AVG, Stub ecc. non sono riusciti a risolvere il problema, quindi wipe e rifatto il telefono (sempre rom di cuoco).
Per sicurezza ieri sera però prima di aggiornarlo alla versione attuale (avevo il vecchio update.zip sul cell) ho fatto un bel backup da twrp subito dopo aver instalalto tutte le mie app ecc., quindi, se dovesse capitare, rewipe e via...

Certo che non posso credere che cuoco ci abbia messo del suo quindi, immaginate di fronte a cosa ci troviamo se queste schifezze se riescono nstallare app non volute in teoria potrebbero riuscire a prenderci i dati sensibili che abbiamo sul telefono (password, nr di carte di credito ecc..)

...e pensare che ero passato da windowsmobile ad android proprio perchè "poco interessante" per gli hacker .....
Il mercato si adegua e con esso i malintenzionati...!

---

Sono certo che non dipende da cuoco, ma la cosa mi inquieta un bel po' 😯ti posso dire comunque che né con Meizu né con xiaomi mi era mai capitato, solo con un tablet teclast...

Inviato dal mio Le1Pro usando Androidiani App

Un momento, non vorrei essere stato frainteso:

con "Certo che non posso credere che cuoco ci abbia messo del suo quindi" intendo dire: Ma nemmeno lontanamente mi viene il dubbio che....
per cui:

ESCLUSO Cuoco, che non posso credere che ci abbia messo del suo .... qualcuno comunque li ha messi!

Ora, non vorrei sembrare lo scemo del villaggio che gira con la stagnola in testa per non farsi captare i pensieri :) o che crede nei complotti, scie chimiche ecc.,
provate solo a immaginare se qualcuno DI PROPOSITO ci ha messo dentro qualcosa (magari di fabbrica) giusto per carpire i nostri dati (quanti di noi si mandano le mail su gmail con dentro numeri carte di credito, date di nascita, password per siti ecc...?
Certo che al giorno d'oggi continuare (anch'io) a farlo equivale a girare con il PIN del bancomat scritto sul fogliettino nel portafogli.... e' QUESTO che mi preoccupa

per quello che ne so io, l'unico che può toglierci tutti i dubbi è @Cuoco92...attendiamo sue news.

Quote:

---

Originariamente inviato da profgiol

I have the cuoco rom v 46 since the day it was updated but I have not seen any strange behaviour. Maybe it is the anti virus you are using that is causing it.

---

Sounds weird I know, but actually it's not the first Android phone I have and I can tell you that I didn't install any Antivirus before I faced the problem. Now that I have 12s HOPEFULLY I'll never get any unwanted app, but the previous problem scared me a bit for the fact that one day randomly (and maybe when I have no time to fix anything) I should face this issue again.

Quote:

---

Originariamente inviato da r_esisto

Un momento, non vorrei essere stato frainteso:

con "Certo che non posso credere che cuoco ci abbia messo del suo quindi" intendo dire: Ma nemmeno lontanamente mi viene il dubbio che....
per cui:

ESCLUSO Cuoco, che non posso credere che ci abbia messo del suo .... qualcuno comunque li ha messi!

Ora, non vorrei sembrare lo scemo del villaggio che gira con la stagnola in testa per non farsi captare i pensieri :) o che crede nei complotti, scie chimiche ecc.,
provate solo a immaginare se qualcuno DI PROPOSITO ci ha messo dentro qualcosa (magari di fabbrica) giusto per carpire i nostri dati (quanti di noi si mandano le mail su gmail con dentro numeri carte di credito, date di nascita, password per siti ecc...?
Certo che al giorno d'oggi continuare (anch'io) a farlo equivale a girare con il PIN del bancomat scritto sul fogliettino nel portafogli.... e' QUESTO che mi preoccupa

---

Quando succede è esattamente di proposito, anche se tipicamente questi vengono pagati in base a quante volte fanno installare determinate app

Inviato dal mio Le1Pro usando Androidiani App

Quote:

---

Originariamente inviato da nipponiko

per quello che ne so io, l'unico che può toglierci tutti i dubbi è @Cuoco92...attendiamo sue news.

---

Questo problema dei virus, me l'hanno già fatto presente pure altri utenti. E se c'è una rom da sospettare è proprio la versione 11S della E**x.
Penso che dovrò rivedere la rom in questione, magari partendo direttamente dalla versione non modificata...

Le2 X820 MAX

CM Security Lite su ROM stock G*****st
(5.5.011S (stable) Build number BGXNAOP5501103071S)

http://i63.tinypic.com/255svas.jpg

Anche io dopo settimane senza problemi mi trovo le stesse porcherie.

Avevo disattivato installazioni da origini sconosciute da impostazioni > sicurezza e dopo qualche ora me lo ritrovo attivo!

Ho fatto una scansione e pulito con kaspersky internet Security e per ora (parliamo di qualche ora) sembra sia pulito. Speriamo bene

Rom 11s v46 di cuoco92

Inviato dal mio X800+ usando Androidiani App

Dopo aver letto ho voluto provare CM Security Lite su Rom Cuoco 11s v43 x800 US e non trova nulla, per fortuna.
Ps ma la scansione impiega pochi secondi?

Inviato con Tapatalk

Avevo installato la 12 s sul mio x800us.
All'inizio tutto OK, ma dopo un po le varie app di sistema hanno iniziato ad andare in crash.
Sono tornato alla 11s v46 tramite nandroid backup fatto in precedenza.
Comunque ad oggi sia sulla 12s che sull'attuale 11s v46 i problemi da voi riscontrati non si sono verificati.
Speriamo bene e attendiamo che il buon cuoco possa risolvere il problema.

ROM stock anch'io con CM trova search.... service ma e CM che installa le app a caso !!!!! Non il virus .... Se non sbaglio il search service e il processo per la localizzazione delle chiamate e poi viene trovato solo da cm...

Inviato dal mio Le 1 Pro usando Androidiani App

Se c'è un'antivirus che uso..è Kaspersky e nn mi rileva assolutamente nessuna minaccia.

Le2 X820 MAX

Quote:

---

Originariamente inviato da Cuoco92

Se c'è un'antivirus che uso..è Kaspersky e nn mi rileva assolutamente nessuna minaccia.

Le2 X820 MAX

---

Io riscontro questo problema!
Ogni volta che sblocco lo schermo mi appare il messaggio che dice di aggiornare il sistema android.
Subito dopo il messaggio che sono stati trovati 2 virus.
Ho installato kaspersky in versione free ma scansionando il telefono non trova nessun virus.
ROM attuale 11s v46

@cuciu70
Quale antivirus stai utilizzando?

Le2 X820 MAX

Ciao cuoco.. anche io ho scansionato con kadpersky e non mi trova niente.. speriamo bene..
L'unica cosa che ieri mattina all'accensione mi è rimasto in boot loop.. ero con la 12 s v50. Poi ho ripristinato il backup della 11s v 46.

Inviato dal mio Le 1 Pro usando Androidiani App

Kasperski in versione free.
Ho rifatto la scansione dell'intero telefono, ma questa volta ne ha visualizzati 2 che ho rimosso subito.
Erano apk di un restore con titanium backup, molto probabilmente file di aptoide.

Rifatta anche io.. mi rileva virus " search service"..

Inviato dal mio Le 1 Pro usando Androidiani App

Quote:

---

Originariamente inviato da UtenteXY

ROM stock anch'io con CM trova search.... service ma e CM che installa le app a caso !!!!! Non il virus .... Se non sbaglio il search service e il processo per la localizzazione delle chiamate e poi viene trovato solo da cm...

Inviato dal mio Le 1 Pro usando Androidiani App

---

Ahaha rimosso subito....

Inviato con Tapatalk

Io sono in ferie e non ho modo, ma se caricate lo zip della ROM su virustotal e fate l'analisi cosa dice?

Inviato dal mio Le1Pro utilizzando Tapatalk

Quote:

---

Originariamente inviato da teorouge

Io sono in ferie e non ho modo, ma se caricate lo zip della ROM su virustotal e fate l'analisi cosa dice?

Inviato dal mio Le1Pro utilizzando Tapatalk

---

accetta file delle dimensioni massime di 148MB, quindi non saprei come provare :(

Ciao, da X800 con Rom originale ricevuto da GearB..
- se scansiono con CM Security rileva il virus " search service" classificato con "Android.MALAWARE.at_iappg.a"
- se scansiono con 360 Security non rileva virus.

cm si inventa i virus

Inviato dal mio Le 1 Pro usando Androidiani App

Quote:

---

Originariamente inviato da UtenteXY

cm si inventa i virus

Inviato dal mio Le 1 Pro usando Androidiani App

---

Quoto.. Sarà un caso ma non ci credo..nel mio caso tutto è iniziato installando app antivirus e anti malaware di CM.. Un antivirus che riesce a disinstallarmi i permessi di root è qualcosa di subdolo


Inviato dal mio Le 1 Pro usando Androidiani App

Quote:

---

Originariamente inviato da serginho

Rifatta anche io.. mi rileva virus " search service"..

Inviato dal mio Le 1 Pro usando Androidiani App

---

ora con kssperski o come cavolo si chiama lo ha rilevato pure a me!
disinstallato subito il suddetto file ma credo che il problema sia insito nella rom:(
speriamo bene:|

Nella rom penso sia impossibile... io non mi fido molto di questi antivirus...

Inviato dal mio Le 1 Pro usando Androidiani App

Quote:

---

Originariamente inviato da MMoroboshik

Quoto.. Sarà un caso ma non ci credo..nel mio caso tutto è iniziato installando app antivirus e anti malaware di CM.. Un antivirus che riesce a disinstallarmi i permessi di root è qualcosa di subdolo


Inviato dal mio Le 1 Pro usando Androidiani App

---

quoto, stessa cosa anche a me, non ho avuto problemi per due settimane, poi leggendo i post dell'altro topic ho installato stabborn trojan killer , che mi rivelava un trojan, e da quel momento sono iniziati i casini... non può essere un caso secondo me...

E l'unico modo per uscirne è formattare tutto e rifare un installazione pulita..NON INSTALLATE APP CM

Inviato dal mio Le 1 Pro usando Androidiani App