Bienvenue sur le forum des portables Asus !
Une communauté d'utilisateurs, des conseils d'experts, des guides et des tutos pour réparer vous même votre portable.

Arrivé en limite du "Do It Yourself" ? Nous prenons en charge votre portable dans nos ateliers.

Je rejoins la communauté Asus

GUIDE Autopsie d'un téléphone android infecté d'office, mais certifié par Google Protect

android-p-clear-bg-with-shadow-1x-png.8573



Il y a quelques temps, j'avais acheté un téléphone avec une batterie que l'on pouvait enlever facilement, et peu cher par la même occasion, mais qui présentait des anomalies.

Les anomalies sont les suivantes:
  • Activation automatique des sources inconnues, dans le paquet settings.apk, un paquet de base d'android, permettant de faire les mises à jour, activer les sources inconnues,etc.
  • Installation et lancement d'applications, présentes dans le Google Play Store, bien que non mises à jour, les applications demandant des droits exorbitants.
Comment détecter le ou les malwares ?

1) Via un antimalware:

Les antimalwares qui détectent les anomalies sont:
  • MBAM
  • Avast
Exemple:

jpg.8574


L'application système a été détectée comme un trojan.

Cela donne une bonne indication, sachant que paquet fait partie de l'activation des sources inconnues, qui était activé au bout d'un moment, même si il était désactivé. Donc on suppose que l'application de base android settings.apk est infectée.

2) Via l'analyse de trafic réseau:

L'idée est venue est de capturer et d'analyser le trafic réseau passant par ce téléphone infecté d'office. On monte donc un point d'accès sous la distribution GNU\Linux pour pouvoir capturer le trafic réseau.
Par chance, le trafic réseau étant essentiellement non chiffré, ce fût très facile d'analyser le trafic réseau. Un pur trésor pour analyser ce que fait android en cachette.
Cette analyse est intéressante, parce qu'on peut voir d'une certaine manière différentes formes de tracking opérées par les applications:

On observe cette trame:

png.8575


Intéressant, cette trame montre plusieurs choses:
  • L'user-Agent, nommé "Apache-httpClient/UNAVAIBLE (java 1.4)" est le même que celui qui permet de faire les mises à jour android, sachant que cette fonctionnalité fait partie de settings.apk), comme le montre l'image ci-dessous. Notez que le domaine contacté est "fota.adups.cn". Sachez simplement que la société adups fournit des firmwares et est responsable des mises à jour des androids sont son contrôle. Ci-dessous, une demande de mise à jour a été effectuée par mes soins. Notez l'agent-utilisateur "Apache-httpClient/UNAVAIBLE (java 1.4)" qui permet de tracer l'installation de programmes indésirables.

    png.8576


  • Pour installer l'application, la méthode de tracking est de récolter l'IMSI et l'IMEI du téléphone\carte SIM, bonjour la confidentialité!
  • On extrait le paquet concerné, via virustotal, on constate que l'application installé est com.augeapps.locker.
  • Puis, sans le savoir, je suis inscrit dans un magasin d'applications concurrent de Google Play Store, qui récolte des données, comme mon adresse mail, mon IMEI, mon IMSI:
  • Cerise sur le gâteau, une capture d'écran permet de lier l'utilisateur au téléphone, dommage, j'étais en train de dormir. C'est toute une philosophie:

    png.8578


  • Sachez que pour vérifier l'installation d'une application "pirate", un fichier est envoyé à un serveur sortant, contenant les applications installés et les processus en cours:
    exemple(tronqué):
    Code:
    Content-Disposition: form-data; name="file";email="*@qq.com"; filename="installInfo.txt"
    
    有应用被添加com.augeapps.locker   MD5=4a5206265397c8742a68a276fa8589ae    installer是null    installerMD5=无   安装时间:2017-03-12 01:49:13
    
    isRoot = true版本较高,无安装log
    包名:com.android.systemui  appName:Interface du système   MD5:9133677e0f63ff986425f0345b1ed44e
    ....
    内核版本: 3.10.65+     platform:sc8830
    
    model=L-EMENT503   brand=Logicom   osver=5.1
    
    ps
    USER     PID   PPID  VSIZE  RSS     WCHAN    PC        NAME
    root      1     0     8792   532   ffffffff 00000000 S /init
    root      2     0     0      0     ffffffff 00000000 S kthreadd
    ...root      205   1     248    36    ffffffff 00000000 S /system/bin/debuggerd64
  • Et validé par un autre fichier contenant le terme "Finish".
On trouve aussi d'autres applications:
  • com.jb.zcamera
  • com.jiubang.darlingclock
  • com.augeapps.locker
En image:

png.8579


Sur ESexplorer, qui est aussi louche dans l'histoire, on observe deux fichiers:
  • kmPlugins.zip, qui a pour nom purify_1.5.5.163.apk. Ce paquet sert à rooter le téléphone.
  • -1560893142.jar, qui est en réalité chargelocker, cité plus haut.
Conclusion:
  • Ce téléphone a une porte dérobée\faille permettant d'installer des applications, et ainsi voler l'IMEI\L'IMSI du téléphone\carte SIM. L'utilisateur, à son insu, et connecté à un magasin d'application où la désinscription est impossible.
  • Des applications supplémentaires sont installées et lancées à l'insu de l'utilisateur plus que nécessaire, afin de récolter des informations, l'utilisateur est identifié\tracé via le biais de cookies\identifiants, des informations plus que nécessaires sont enregistrées, tel que l'IMSI\IMEI\adresse mail\photo de la caméra\état du wifi et peut-être le mot de passe du Wifi.
  • Finalement, ce serait une backdoor d'orgine chinoise, normalement destiné au marché chinois, lire les liens en-dessous.
    • How to Stay Safe from Adups Spyware on Budget Android Phones | Digital Trends
      Une seconde backdoor chinoise nichée dans les terminaux Android | Silicon
      6 questions et réponses sur l'affaire du backdoor chinois - FrAndroid
      • La société adups a promis de faire des mises à jour, mais je n'ai jamais vu de mise à jour, en partenariat avec Google.
      • Or il n'en est rien, je n'ai jamais vu de correctif, pire encore, le téléphone est certifié par Google Protect.
      • Aussi, je n'ai pas cherché à cacher le nom du constructeur. Il est lui-même responsable, car il a refusé de coopérer, et donc de me fournir une image système saine, prétextant de renvoyer un téléphone, or d'autres constructeurs permettent de réinitialiser le téléphone avec des logiciels adéquats, que l'on peut faire nous-même.
      • En les recontactant, pas de message de retour. Logicom refuse de communiquer, donc il est coupable, cette entreprise doit mieux tester et vérifier ses appareils.
      • Logicom est donc irresponsable, et n'est pas un constructeur sérieux.
    • La palme d'or revient à Google, qui se permet encore une fois de mentir, soit disant qu'une mise à jour serait proposé. Or rien n'a été fait, et le téléphone est certifié Google Play, c'est cela le pire dans l'histoire.

      Et pour terminer, comme on ne peut pas installer des roms autres que ceux des constructeurs, et que les pilotes ne peuvent pas téléchargés séparement, donc les téléphones android sont des gadgets.

Petite note à Google, qui se comporte en ce moment comme un petit dictateur: Reste humble, tout simplement que tu te permets des choses qui ne sont pas normales, comme dévoiler des failles de sécurité de Microsoft, hors toi-même tu n’arrives pas à mettre les téléphones android à jour.
Surtout tu t'attaques à un mastodon qui s'appelle Microsoft. Hors tu te crois le plus malin, mais Microsoft avait mentionné que des entreprises étaient sur-évaluées, et qu'il attendait que cela se passe pour racheter d'autres entreprises, et Microsoft a des ressources solides comme du roc en ce moment.
Ce que j'ai compris, c'est une bulle internet est en train de gonfler et va exploser. Comme tu bases tes revenus sur le modèle publicitaire, ton entreprise ne vaut rien. J'ai compris que Microsoft allait te ramasser à la petite cuillère.
Tu ressens peut-être le danger, en monétisant youtube, en faisant payer Google Maps, en essayant d'écraser Firefox et en mettant un pseudo-adblocker sur Google Chrome, mais ta fin est peut-être dans les deux ou trois années à venir.
Je dis cela, mais je n'ai rien dit, si la banque centrale américaine ferme le robinet concernant les liquidités, tu seras une victime rachetée par Microsoft.



prem_banner.jpg
 

Pièces jointes

  • 222.9 KB Affichages: 62
Dernière édition par un modérateur:
Alex (Alexandre01)

Commentaires


  L'atelier ASUS : témoignages

Vos accessoires ASUS

  L'atelier ASUS : témoignages

Nous vous aidons ... aidez nous.

Soutenir les forums Asus

Pour continuer à recevoir un support de qualité et gratuit dans les forums, aidez nous a supporter le coût de notre infrastructure.
Objectif
120.00 €
Collecté
60.00 €
Cette campagne s'achève dans

Parcourir les forums en musique




L'atelier ASUS : Accueil
Règles Aides Utilisateurs
Aucun support n'est délivré via le Tchat.
Merci d'ouvrir une nouvelle discussion dans les forums.
  • U (Invité) Ullysses:
    Bonjour, j'ai un gros souci avec mon rog strix, je ne pouvais plus lancer Aura core et ai donc decidé de le réinstaller probleme, impossible de l'installer... fichu microsoft store... des idées?
    Citer
  • kankan @ kankan:
    Bonjour Ullysses : créé un compte, ca prend 2 min et ouvre un sujet, nous ne faisons pas de support via le tchat. Merci
    Citer
  • U (Invité) Ullysses:
    okok, dommage un chan support serait pas mal :/
    Citer
  • kankan @ kankan:
    Il existe le forum c'est déjà pas mal, et ca permet de garder une trace pour aider les autres dans la meme situation
    Citer
  • Asus Bot Asus Bot:
    Bienvenue Ullysses Ullysses ! :raised-hand-emoji::good:
    Aucun support n'est délivré sur le Tchat.
    Pour votre question, merci d' ouvrir une nouvelle discussion dans les forums.
    Pour une réparation de votre portable ASUS (diagnostic et devis sans engagement), ouvrez un ticket auprès de l'atelier ASUS.
  • Asus Bot Asus Bot:
    B Beebop a ouvert une nouvelle discussion : ASUS R702UA-BX596T - ne démarre pas - malgré 3 réparations chez ASUS SAV dans la section Asus V.
    Bonjour,

    Mon ordi ASUS R702UA-BX596T ne démarre pas

    Quand j'appuie sur power (appui court ou long), rien ne se passe, aucun voyant allumé
    Si je branche l'alim, le voyant orange s'allume, et là si j'appuie sur power, le voyant blanc s'allume...
  • Asus Bot Asus Bot:
    Ullysses Ullysses a ouvert une nouvelle discussion : GL504GM dans la section Asus G - Autres modèles.
    Bonjour, j'ai un gros souci avec mon rog strix, je ne pouvais plus lancer Aura core et ai donc décidé de le réinstaller problème, impossible de l'installer... fichu microsoft store... des idées?
  • Asus Bot Asus Bot:
    Bienvenue L lion1265443 ! :raised-hand-emoji::good:
    Aucun support n'est délivré sur le Tchat.
    Pour votre question, merci d' ouvrir une nouvelle discussion dans les forums.
    Pour une réparation de votre portable ASUS (diagnostic et devis sans engagement), ouvrez un ticket auprès de l'atelier ASUS.
  • <font color="red"><b>Asus Bot</b></font> Asus Bot:
    L'équipe de l'atelier ASUS vous souhaite une bonne journée!
  • Asus Bot Asus Bot:
    O onyx70 a ouvert une nouvelle discussion : Blocage BIOS dans la section L'atelier ASUS : les avis de nos clients.
    Prestation de qualité, service très bon, équipe sympa, réactive et compétente, j'ai été informé au fur et à mesure de l'avancement des travaux, et avec photos, (très appréciable),
    je valide positivement la prestation, et je recommande sans...
  • Asus Bot Asus Bot:
    Bienvenue Francois260 Francois260 ! :raised-hand-emoji::good:
    Aucun support n'est délivré sur le Tchat.
    Pour votre question, merci d' ouvrir une nouvelle discussion dans les forums.
    Pour une réparation de votre portable ASUS (diagnostic et devis sans engagement), ouvrez un ticket auprès de l'atelier ASUS.
  • Asus Bot Asus Bot:
    Francois260 Francois260 a ouvert une nouvelle discussion : Affiche souvent au demarrage un tiret blanc clignotant. dans la section Support Windows 10.
    Bonjour à tous,
    Une fois sur 4, j'ai ce problème. Il faut eteindre et allumer et ca marche. Sans problème ensuite. C'est venu depuis que j'ai installé un nouveau SSd de 500 go et rajouter 4 Go et reinstaller windows 10. Sinon, ensuite tout...
  • Asus Bot Asus Bot:
    Bienvenue N Ninidu45 ! :raised-hand-emoji::good:
    Aucun support n'est délivré sur le Tchat.
    Pour votre question, merci d' ouvrir une nouvelle discussion dans les forums.
    Pour une réparation de votre portable ASUS (diagnostic et devis sans engagement), ouvrez un ticket auprès de l'atelier ASUS.
  • Asus Bot Asus Bot:
    N Ninidu45 a ouvert une nouvelle discussion : Hesitation scar III ou zephyrus s dans la section Conseils avant Achat.
    Bonjour tout le monde Je me permets de venir poser la question j'envisage l'achat d'un PC et deux modèles sur lesquels je lorgne
    Le zephyrus s gx532
    Et le
    Scar III G531GV
    en fait la balance penche pour moi niveau finesse et style pour le...
  • Asus Bot Asus Bot:
    M maradgab a ouvert une nouvelle discussion : asus a 73br dans la section Asus A.
    Bonsoir à tous, j'ai récupéré le pc de ma soeur qui s'allume et s’éteint au bout de 2 secondes. Je précise que le ventilateur tourne au démarrage.
    Merci pour votre aide.
  • Asus Bot Asus Bot:
    Bienvenue A atlantis27 ! :raised-hand-emoji::good:
    Aucun support n'est délivré sur le Tchat.
    Pour votre question, merci d' ouvrir une nouvelle discussion dans les forums.
    Pour une réparation de votre portable ASUS (diagnostic et devis sans engagement), ouvrez un ticket auprès de l'atelier ASUS.
  • Asus Bot Asus Bot:
    Bienvenue B BADASSS ! :raised-hand-emoji::good:
    Aucun support n'est délivré sur le Tchat.
    Pour votre question, merci d' ouvrir une nouvelle discussion dans les forums.
    Pour une réparation de votre portable ASUS (diagnostic et devis sans engagement), ouvrez un ticket auprès de l'atelier ASUS.
  • Asus Bot Asus Bot:
    Bienvenue B Brudesor ! :raised-hand-emoji::good:
    Aucun support n'est délivré sur le Tchat.
    Pour votre question, merci d' ouvrir une nouvelle discussion dans les forums.
    Pour une réparation de votre portable ASUS (diagnostic et devis sans engagement), ouvrez un ticket auprès de l'atelier ASUS.
  • Asus Bot Asus Bot:
    B Brudesor a ouvert une nouvelle discussion : Mise à jour ASUS dans la section Support Windows 10.
    Bonjour,
    Windows update propose une mise à jour: ASUS - System - 8/7/2019 12:00:00 AM - 1.0.0.12.
    Pouvez-vous me dire à quoi elle correspond et s'il faut l'installer.
    Merci d'avance

    Bruno
  • Asus Bot Asus Bot:
    C cedricsavoie73 a ouvert une nouvelle discussion : Réparation Asus T100 dans la section L'atelier ASUS : les avis de nos clients.
    Service super pro et rapide, je suis très satisfait de la réparation de ma tablette asus T100 (soudure du connecteur usb)
  • Asus Bot Asus Bot:
    A atlantis27 a ouvert une nouvelle discussion : Problème insoluble pour moi dans la section Asus F et Vivobook F.
    Bonjour à tous.

    Je cherche a résoudre ce problème qui en somme ne me paraît pas logique. Si quelqu'un a une idée
    triste.gif
    .
    Voilà j'ai d'une part un ACER de moyenne config, voire petite...
  • Asus Bot Asus Bot:
    Bienvenue A atlantis2727 ! :raised-hand-emoji::good:
    Aucun support n'est délivré sur le Tchat.
    Pour votre question, merci d' ouvrir une nouvelle discussion dans les forums.
    Pour une réparation de votre portable ASUS (diagnostic et devis sans engagement), ouvrez un ticket auprès de l'atelier ASUS.
  • Asus Bot Asus Bot:
    Bienvenue G GWD ! :raised-hand-emoji::good:
    Aucun support n'est délivré sur le Tchat.
    Pour votre question, merci d' ouvrir une nouvelle discussion dans les forums.
    Pour une réparation de votre portable ASUS (diagnostic et devis sans engagement), ouvrez un ticket auprès de l'atelier ASUS.
  • Asus Bot Asus Bot:
    JEFF24700 JEFF24700 a ouvert une nouvelle discussion : pc asus x72dr-ty048v dans la section Conseils avant Achat.
    Bonjour a tous,
    une fois de plus il me faut vos lumières.
    PC asus X72DR-TY048V possède un proc AMD PHENOM II X4 P920 1.6Ghz
    puis-je le remplacer par un AMD PHENOM II x640 3.2Ghz
    sinon quel proc me conseiller vous?
    merci d'avance de votre aimable...
  • Asus Bot Asus Bot:
    Bienvenue R RayWatts ! :raised-hand-emoji::good:
    Aucun support n'est délivré sur le Tchat.
    Pour votre question, merci d' ouvrir une nouvelle discussion dans les forums.
    Pour une réparation de votre portable ASUS (diagnostic et devis sans engagement), ouvrez un ticket auprès de l'atelier ASUS.
    Asus Bot Asus Bot: Bienvenue RayWatts ! :raised-hand-emoji::good: Aucun support n'est délivré sur le Tchat. Pour...