Bienvenue sur le forum des portables Asus !
Une communauté d'utilisateurs, des conseils d'experts, des guides et des tutos pour réparer vous même votre portable.

Arrivé en limite du "Do It Yourself" ? Nous prenons en charge votre portable dans nos ateliers.

Je rejoins la communauté Asus

Guide Autopsie d'un téléphone android infecté d'office, mais certifié par Google Protect

android-p-clear-bg-with-shadow-1x-png.8573



Il y a quelques temps, j'avais acheté un téléphone avec une batterie que l'on pouvait enlever facilement, et peu cher par la même occasion, mais qui présentait des anomalies.

Les anomalies sont les suivantes:
  • Activation automatique des sources inconnues, dans le paquet settings.apk, un paquet de base d'android, permettant de faire les mises à jour, activer les sources inconnues,etc.
  • Installation et lancement d'applications, présentes dans le Google Play Store, bien que non mises à jour, les applications demandant des droits exorbitants.
Comment détecter le ou les malwares ?

1) Via un antimalware:

Les antimalwares qui détectent les anomalies sont:
  • MBAM
  • Avast
Exemple:

jpg.8574


L'application système a été détectée comme un trojan.

Cela donne une bonne indication, sachant que paquet fait partie de l'activation des sources inconnues, qui était activé au bout d'un moment, même si il était désactivé. Donc on suppose que l'application de base android settings.apk est infectée.

2) Via l'analyse de trafic réseau:

L'idée est venue est de capturer et d'analyser le trafic réseau passant par ce téléphone infecté d'office. On monte donc un point d'accès sous la distribution GNU\Linux pour pouvoir capturer le trafic réseau.
Par chance, le trafic réseau étant essentiellement non chiffré, ce fût très facile d'analyser le trafic réseau. Un pur trésor pour analyser ce que fait android en cachette.
Cette analyse est intéressante, parce qu'on peut voir d'une certaine manière différentes formes de tracking opérées par les applications:

On observe cette trame:

png.8575


Intéressant, cette trame montre plusieurs choses:
  • L'user-Agent, nommé "Apache-httpClient/UNAVAIBLE (java 1.4)" est le même que celui qui permet de faire les mises à jour android, sachant que cette fonctionnalité fait partie de settings.apk), comme le montre l'image ci-dessous. Notez que le domaine contacté est "fota.adups.cn". Sachez simplement que la société adups fournit des firmwares et est responsable des mises à jour des androids sont son contrôle. Ci-dessous, une demande de mise à jour a été effectuée par mes soins. Notez l'agent-utilisateur "Apache-httpClient/UNAVAIBLE (java 1.4)" qui permet de tracer l'installation de programmes indésirables.

    png.8576


  • Pour installer l'application, la méthode de tracking est de récolter l'IMSI et l'IMEI du téléphone\carte SIM, bonjour la confidentialité!
  • On extrait le paquet concerné, via virustotal, on constate que l'application installé est com.augeapps.locker.
  • Puis, sans le savoir, je suis inscrit dans un magasin d'applications concurrent de Google Play Store, qui récolte des données, comme mon adresse mail, mon IMEI, mon IMSI:
  • Cerise sur le gâteau, une capture d'écran permet de lier l'utilisateur au téléphone, dommage, j'étais en train de dormir. C'est toute une philosophie:

    png.8578


  • Sachez que pour vérifier l'installation d'une application "pirate", un fichier est envoyé à un serveur sortant, contenant les applications installés et les processus en cours:
    exemple(tronqué):
    Code:
    Content-Disposition: form-data; name="file";email="*@qq.com"; filename="installInfo.txt"
    
    有应用被添加com.augeapps.locker   MD5=4a5206265397c8742a68a276fa8589ae    installer是null    installerMD5=无   安装时间:2017-03-12 01:49:13
    
    isRoot = true版本较高,无安装log
    包名:com.android.systemui  appName:Interface du système   MD5:9133677e0f63ff986425f0345b1ed44e
    ....
    内核版本: 3.10.65+     platform:sc8830
    
    model=L-EMENT503   brand=Logicom   osver=5.1
    
    ps
    USER     PID   PPID  VSIZE  RSS     WCHAN    PC        NAME
    root      1     0     8792   532   ffffffff 00000000 S /init
    root      2     0     0      0     ffffffff 00000000 S kthreadd
    ...root      205   1     248    36    ffffffff 00000000 S /system/bin/debuggerd64
  • Et validé par un autre fichier contenant le terme "Finish".
On trouve aussi d'autres applications:
  • com.jb.zcamera
  • com.jiubang.darlingclock
  • com.augeapps.locker
En image:

png.8579


Sur ESexplorer, qui est aussi louche dans l'histoire, on observe deux fichiers:
  • kmPlugins.zip, qui a pour nom purify_1.5.5.163.apk. Ce paquet sert à rooter le téléphone.
  • -1560893142.jar, qui est en réalité chargelocker, cité plus haut.
Conclusion:
  • Ce téléphone a une porte dérobée\faille permettant d'installer des applications, et ainsi voler l'IMEI\L'IMSI du téléphone\carte SIM. L'utilisateur, à son insu, et connecté à un magasin d'application où la désinscription est impossible.
  • Des applications supplémentaires sont installées et lancées à l'insu de l'utilisateur plus que nécessaire, afin de récolter des informations, l'utilisateur est identifié\tracé via le biais de cookies\identifiants, des informations plus que nécessaires sont enregistrées, tel que l'IMSI\IMEI\adresse mail\photo de la caméra\état du wifi et peut-être le mot de passe du Wifi.
  • Finalement, ce serait une backdoor d'orgine chinoise, normalement destiné au marché chinois, lire les liens en-dessous.
    • How to Stay Safe from Adups Spyware on Budget Android Phones | Digital Trends
      Une seconde backdoor chinoise nichée dans les terminaux Android | Silicon
      6 questions et réponses sur l'affaire du backdoor chinois - FrAndroid
      • La société adups a promis de faire des mises à jour, mais je n'ai jamais vu de mise à jour, en partenariat avec Google.
      • Or il n'en est rien, je n'ai jamais vu de correctif, pire encore, le téléphone est certifié par Google Protect.
      • Aussi, je n'ai pas cherché à cacher le nom du constructeur. Il est lui-même responsable, car il a refusé de coopérer, et donc de me fournir une image système saine, prétextant de renvoyer un téléphone, or d'autres constructeurs permettent de réinitialiser le téléphone avec des logiciels adéquats, que l'on peut faire nous-même.
      • En les recontactant, pas de message de retour. Logicom refuse de communiquer, donc il est coupable, cette entreprise doit mieux tester et vérifier ses appareils.
      • Logicom est donc irresponsable, et n'est pas un constructeur sérieux.
    • La palme d'or revient à Google, qui se permet encore une fois de mentir, soit disant qu'une mise à jour serait proposé. Or rien n'a été fait, et le téléphone est certifié Google Play, c'est cela le pire dans l'histoire.

      Et pour terminer, comme on ne peut pas installer des roms autres que ceux des constructeurs, et que les pilotes ne peuvent pas téléchargés séparement, donc les téléphones android sont des gadgets.

Petite note à Google, qui se comporte en ce moment comme un petit dictateur: Reste humble, tout simplement que tu te permets des choses qui ne sont pas normales, comme dévoiler des failles de sécurité de Microsoft, hors toi-même tu n’arrives pas à mettre les téléphones android à jour.
Surtout tu t'attaques à un mastodon qui s'appelle Microsoft. Hors tu te crois le plus malin, mais Microsoft avait mentionné que des entreprises étaient sur-évaluées, et qu'il attendait que cela se passe pour racheter d'autres entreprises, et Microsoft a des ressources solides comme du roc en ce moment.
Ce que j'ai compris, c'est une bulle internet est en train de gonfler et va exploser. Comme tu bases tes revenus sur le modèle publicitaire, ton entreprise ne vaut rien. J'ai compris que Microsoft allait te ramasser à la petite cuillère.
Tu ressens peut-être le danger, en monétisant youtube, en faisant payer Google Maps, en essayant d'écraser Firefox et en mettant un pseudo-adblocker sur Google Chrome, mais ta fin est peut-être dans les deux ou trois années à venir.
Je dis cela, mais je n'ai rien dit, si la banque centrale américaine ferme le robinet concernant les liquidités, tu seras une victime rachetée par Microsoft.



prem_banner.jpg
 

Pièces jointes

  • 222.9 KB Affichages: 34
Dernière édition par un modérateur:
Alex (Alexandre01)

Commentaires

Sujets similaires


Connectés au Tchat

Vos accessoires

  L'atelier ASUS : les avis

Connectés au Tchat

Nous vous aidons ... aidez nous.

Soutenir les forums Asus

Pour continuer à recevoir un support de qualité et gratuit dans les forums, aidez nous a supporter le coût de notre infrastructure.
Objectif
85.00 €
Collecté
25.00 €
Cette campagne s'achève dans

Parcourir les forums en musique




Accueil
Règles Aides Utilisateurs
Aucun support n'est délivré via le Tchat.
Merci d'ouvrir une nouvelle discussion dans les forums.
  • <font color="red"><b>Asus Bot</b></font> Asus Bot:
    Bienvenue K kvinbls ! :raised-hand-emoji: :good:
  • <font color="red"><b>Asus Bot</b></font> Asus Bot:
    K kvinbls a ouvert une nouvelle discussion : ASUS FX753VD - TOUCHE F1 F2 F3 F4 F5 F6 F7 NE FONCTIONNE PLUS dans la section Accessoires et Périphériques.
    Bonjour, depuis quelques jours mes touches de F1 à F7 ne fonctionne plus, j'ai regarder dans plusieurs forum si je trouvais une solution à mon problème mais RIEN ! donc je viens vous suppliez votre aide parce que c'est quand même très agaçant de...
  • <font color="red"><b>Asus Bot</b></font> Asus Bot:
    Bienvenue K kebriand ! :raised-hand-emoji: :good:
  • <font color="red"><b>Asus Bot</b></font> Asus Bot:
    Bienvenue J jeanclaudeta ! :raised-hand-emoji: :good:
  • <font color="red"><b>Asus Bot</b></font> Asus Bot:
    J jeanclaudeta a ouvert une nouvelle discussion : Problèmes de veille : batterie qui se vide ou sortie difficile Zenbook UX331UAL dans la section Asus U - UX - Ultrabook - Zenbook.
    Bonjour,

    J'ai des soucis avec ma veille depuis le début sur mon ordi, Zenbook UX331UAL, (neuf de 2 mois)
    A priori je suis pas le seul mais pas trouvé d'info précise sur le forum et souvent avec d'autres modèles,
    J'ai vu qu'on pouvait passer...
  • <font color="red"><b>Asus Bot</b></font> Asus Bot:
    Bienvenue G gégé 47 ! :raised-hand-emoji: :good:
  • <font color="red"><b>Asus Bot</b></font> Asus Bot:
    Bienvenue F fredtey ! :raised-hand-emoji: :good:
  • <font color="red"><b>Asus Bot</b></font> Asus Bot:
    Bienvenue B Beroud73000 ! :raised-hand-emoji: :good:
  • <font color="red"><b>Asus Bot</b></font> Asus Bot:
    Bienvenue F francou ! :raised-hand-emoji: :good:
  • <font color="red"><b>Asus Bot</b></font> Asus Bot:
    Bienvenue shinoob shinoob ! :raised-hand-emoji: :good:
  • <font color="red"><b>Asus Bot</b></font> Asus Bot:
    Bienvenue L Lilzer ! :raised-hand-emoji: :good:
  • <font color="red"><b>Asus Bot</b></font> Asus Bot:
    L Lilzer a ouvert une nouvelle discussion : Mot de passe Bios oublié dans la section BIOS : Mot de passe oublié ou inconnu.
    Bonjour à tous,

    Je ne me souviens plus de mon mot de passe Bios et donc mon ordinateur est inutilisable.
    Est ce qu'il y a un moyen de réinitialiser ce mot de passe ?
    Je viens d'effectuer la manipulation , la date Bios est 2009/01/01

    Par avance...
  • <font color="red"><b>Asus Bot</b></font> Asus Bot:
    Bienvenue spcram spcram ! :raised-hand-emoji: :good:
  • <font color="red"><b>Asus Bot</b></font> Asus Bot:
    L'équipe de l'atelier ASUS vous souhaite une bonne journée!
  • <font color="red"><b>Asus Bot</b></font> Asus Bot:
    Bienvenue batterypross batterypross ! :raised-hand-emoji: :good:
  • <font color="red"><b>Asus Bot</b></font> Asus Bot:
    batterypross batterypross a ouvert une nouvelle discussion : G55VW BATTERY NOT CHARGING PROBLEM dans la section Conseils avant Achat.
    I buy G55VW before 2016 .
    Today i see that my battery is 65%, all time was plugged in charger.
    I try some time run on battery and it get on 46%.
    Plug in charger and no charging the battery, it is all time on 46%.

    Orange lamp for batter charging...
  • <font color="red"><b>Asus Bot</b></font> Asus Bot:
    Bienvenue A arnica62 ! :raised-hand-emoji: :good:
  • <font color="red"><b>Asus Bot</b></font> Asus Bot:
    Bienvenue S sedan ! :raised-hand-emoji: :good:
  • <font color="red"><b>Asus Bot</b></font> Asus Bot:
    S sedan a ouvert une nouvelle discussion : asus a7v dans la section Asus A.
    Bonjour,
    Je cherche manuel pour accéder à la pile
    Merci pour votre réponse
  • <font color="red"><b>Asus Bot</b></font> Asus Bot:
    Bienvenue F f6bvp ! :raised-hand-emoji: :good:
  • <font color="red"><b>Asus Bot</b></font> Asus Bot:
    Bienvenue B Berninos04 ! :raised-hand-emoji: :good:
  • <font color="red"><b>Asus Bot</b></font> Asus Bot:
    B Berninos04 a ouvert une nouvelle discussion : impossible mettre a jour F751L de windows 10 1709 vers windows 10 1803 ou 1809 ? dans la section Support Windows 10.
    mon partable 64bits intel i5 J'ai déjà utilisée les trois possibilitées de microsoft d'update et création de média
    sans succés. je n'ai que Defendeur comme antivirus pare feu....et carte graphique NVIDIA.
    Je débranche tout lrs périférique pendant...
  • <font color="red"><b>Asus Bot</b></font> Asus Bot:
    Bienvenue P Philou68 ! :raised-hand-emoji: :good:
  • <font color="red"><b>Asus Bot</b></font> Asus Bot:
    P Philou68 a ouvert une nouvelle discussion : Probleme HDMI dans la section Asus F et Vivobook F.
    Bonjour à tous,
    Voilà mon problème : Jusqu'à hier mon portable Vivobook fonctionnait avec un écran externe en HDMI et ce matin, plus d'image sur l'écran externe. Chipset mis à jour, pilote mis à jour, essai avec autre cable HDMI, autre écran et...
  • <font color="red"><b>Asus Bot</b></font> Asus Bot:
    Bienvenue B Bulbi ! :raised-hand-emoji: :good:
    <font color="red"><b>Asus Bot</b></font> Asus Bot: Bienvenue Bulbi ! :raised-hand-emoji: :good: