Virus FW .100, ROM "100cleanYOU"

[xperiaFuuu]

Ho visto che non sono l'unico che è incappato in questa rom infetta, quindi apro il topic per fare un po' più di chiarezza.

Innanzitutto, la rom incriminata è quella di pirej che si trova in questo topic su xda:
Xperia U Debranded stock b.1.89 and b.1.100 - xda-developers
Essendo cwm flashabile, a non voler pensar male pirej aveva la rom infetta e quando ha fatto la rom s'è portato dietro i file infetti.
Mi pare strano che nessuno abbia segnalato niente nel topic, se avete un account su xda pensateci voi in caso...

Comunque, tutto si riduce ad un apk chiamato magicbox-popcap.apk, almeno per quello che mi ha rilevato Avira:

codice:

../100CleanYOU.zip
    [0] Tipo di archivio: ZIP
    --> system/app/magicbox-popcap.apk
        [1] Tipo di archivio: ZIP
      --> assets/Chuzzle.apk
          [2] Tipo di archivio: ZIP
        --> classes.dex
            [RILEVAMENTO] Contiene il codice del virus ANDROID/Flexion.PM
            [AVVISO]    I file infetti negli archivi non possono essere riparati!
      --> assets/Peggle.apk
          [2] Tipo di archivio: ZIP
        --> classes.dex
            [RILEVAMENTO] Contiene il codice del virus ANDROID/FlexionA.A.30
            [AVVISO]    I file infetti negli archivi non possono essere riparati!
      --> assets/PvZ.apk
          [2] Tipo di archivio: ZIP
        --> classes.dex
            [RILEVAMENTO] Contiene il codice del virus ANDROID/FlexionA.A.45
            [AVVISO]    I file infetti negli archivi non possono essere riparati!
      --> classes.dex
          [RILEVAMENTO] Contiene il codice del virus ANDROID/Malmix3.VU
          [AVVISO]    I file infetti negli archivi non possono essere riparati!

Facendo un po' di ricerche ho trovato questo.
A quanto pare si tratta di qualche gioco-bloatware con malware di monetizzazione, anche se sophos lo segna come trojan, non so perché.

Io sinceramente non ricordo più se l'ultima volta ho messo il .100 della 3, e poi ripulito, ed ho scaricato questa rom per metterla in un secondo momento. L'ho beccato per puro caso nello zip della rom facendo una scansione completa del pc con Avira.
In ogni caso ho cercato questo magicbox-popcap.apk sull'xU e non l'ho trovato da nessuna parte.
Forse era qualche residuo della rom di pirej che non è stato inserito durante il flash...


All'inizio m'ero allarmato e mi stavo organizzando per flashare qualcos'altro e cambiare tutte le pwd dei vari account, poi mi sono un po' tranquillizzato.
Voi che ne sapete in merito? Se qualcuno ha usato questa rom, provi a cercare quel magicbox e faccia sapere!


PS: non c'è un modo per capire quale rom si ha sul dispositivo?

[Tuxedo75]

Ciao,
qualcuno conferma o smentisce questa cosa?

[Pulse]

Non mi sembra che ne parlino nel topic di XDA.. (tanto per cominciare)

[Tuxedo75]

Questo lo penso anch'io...
Però con'è mai in più thread si parla di questo presunto virus?


Simone"Tuxedo"Monsignori

[fede993]

io ho su proprio la 100 clean di pirej, ma pur facendo la scansione di avast sullo zip e poi direttamente sul file, avast non ha trovato nulla.

[xperiaFuuu]

Hai fatto la scansione con l'avg del pc? Ma a te quell'apk l'ha messo quando hai flashato la rom? Io non l'ho mai visto e non ce l'ho tutt'ora, sul terminale.
Per essere sicuro ho pure riscaricato lo zip della rom e fatto la scansione, lo trova sempre... nessuno di voi ha avira?

Non mi sembra che ne parlino nel topic di XDA.. (tanto per cominciare)

Come dice Tuxedo qui in alcuni topic se ne parla, ho aperto questo anche per capire chi se ne sia accorto per primo o se l'ha letto da qualche parte su xda.
Se avete l'account su xda, potreste chiedere nel topic di pirej di controllare la rom.

[marce]

A me è stato segnalato da un utente del quale non ricordo il nome. Avira diciamo che è molto più sensibile rispetto ad altri anti virus e possono capitare falsi positivi lo uso ormai da 4 anni, ma se è al vertice da molti anni nelle avcomparative ci sarà un motivo

[Sghizz]

ma di che state parlando?! I virus sono per windows non per android... parlate a vuoto. Chi flasha da linux e mac non se lo pone proprio il problema e sopratutto. Avira è un exe di windows e conosce i virus solo per windows. Quando flashate rom apk e altre cose nel cell poi usate il cell.. avoja di quanto spy che vi fanno.. è tutto invisibile ai nostri occhi..

[marce]

Sei rimasto un Po al passato, ora virus ci sono per tutte le piattaforme e non solo per Windows. Avira è approdato anche su Android da più di un anno ed il virus portava la dicitura Androi.
Su Android la sicurezza è importante e non sottovalutate il problema visto il gran numero di informazioni delicate contenute su questi smartphone
Prima di sparare a zero cerchiamo di informarci al meglio.

[xperiaFuuu]

A me è stato segnalato da un utente del quale non ricordo il nome. Avira diciamo che è molto più sensibile rispetto ad altri anti virus e possono capitare falsi positivi lo uso ormai da 4 anni, ma se è al vertice da molti anni nelle avcomparative ci sarà un motivo

Infatti all'inizio avevo pensato ad un falso positivo, poi però vedendo che nel forum qualcun altro se n'era accorto m'è sorto il dubbio... comunque se è un malware di monetizzazione non penso ci sia da preoccuparsi. Quello che non capisco è come mai quel giochino non l'ho mai visto neanche subito dopo aver flashato, anzi, essendo una "clean" non capisco manco come ci sia finito.

Però come ho detto non ricordo se alla fine la flashai o no, quindi se qualcuno l'ha flashata e controllasse sarebbe meglio!