Bienvenue sur le forum des portables Asus !
Une communauté d'utilisateurs, des conseils d'experts, des guides et des tutos pour réparer vous même votre portable.

Arrivé en limite du "Do It Yourself" ? Nous prenons en charge votre portable dans nos ateliers.

Je rejoins la communauté Asus




Guide Autopsie d'un téléphone android infecté d'office, mais certifié par Google Protect

android-p-clear-bg-with-shadow-1x-png.8573



Il y a quelques temps, j'avais acheté un téléphone avec une batterie que l'on pouvait enlever facilement, et peu cher par la même occasion, mais qui présentait des anomalies.

Les anomalies sont les suivantes:
  • Activation automatique des sources inconnues, dans le paquet settings.apk, un paquet de base d'android, permettant de faire les mises à jour, activer les sources inconnues,etc.
  • Installation et lancement d'applications, présentes dans le Google Play Store, bien que non mises à jour, les applications demandant des droits exorbitants.
Comment détecter le ou les malwares ?

1) Via un antimalware:

Les antimalwares qui détectent les anomalies sont:
  • MBAM
  • Avast
Exemple:

jpg.8574


L'application système a été détectée comme un trojan.

Cela donne une bonne indication, sachant que paquet fait partie de l'activation des sources inconnues, qui était activé au bout d'un moment, même si il était désactivé. Donc on suppose que l'application de base android settings.apk est infectée.

2) Via l'analyse de trafic réseau:

L'idée est venue est de capturer et d'analyser le trafic réseau passant par ce téléphone infecté d'office. On monte donc un point d'accès sous la distribution GNU\Linux pour pouvoir capturer le trafic réseau.
Par chance, le trafic réseau étant essentiellement non chiffré, ce fût très facile d'analyser le trafic réseau. Un pur trésor pour analyser ce que fait android en cachette.
Cette analyse est intéressante, parce qu'on peut voir d'une certaine manière différentes formes de tracking opérées par les applications:

On observe cette trame:

png.8575


Intéressant, cette trame montre plusieurs choses:
  • L'user-Agent, nommé "Apache-httpClient/UNAVAIBLE (java 1.4)" est le même que celui qui permet de faire les mises à jour android, sachant que cette fonctionnalité fait partie de settings.apk), comme le montre l'image ci-dessous. Notez que le domaine contacté est "fota.adups.cn". Sachez simplement que la société adups fournit des firmwares et est responsable des mises à jour des androids sont son contrôle. Ci-dessous, une demande de mise à jour a été effectuée par mes soins. Notez l'agent-utilisateur "Apache-httpClient/UNAVAIBLE (java 1.4)" qui permet de tracer l'installation de programmes indésirables.

    png.8576


  • Pour installer l'application, la méthode de tracking est de récolter l'IMSI et l'IMEI du téléphone\carte SIM, bonjour la confidentialité!
  • On extrait le paquet concerné, via virustotal, on constate que l'application installé est com.augeapps.locker.
  • Puis, sans le savoir, je suis inscrit dans un magasin d'applications concurrent de Google Play Store, qui récolte des données, comme mon adresse mail, mon IMEI, mon IMSI:
  • Cerise sur le gâteau, une capture d'écran permet de lier l'utilisateur au téléphone, dommage, j'étais en train de dormir. C'est toute une philosophie:

    png.8578


  • Sachez que pour vérifier l'installation d'une application "pirate", un fichier est envoyé à un serveur sortant, contenant les applications installés et les processus en cours:
    exemple(tronqué):
    Code:
    Content-Disposition: form-data; name="file";email="*@qq.com"; filename="installInfo.txt"
    
    有应用被添加com.augeapps.locker   MD5=4a5206265397c8742a68a276fa8589ae    installer是null    installerMD5=无   安装时间:2017-03-12 01:49:13
    
    isRoot = true版本较高,无安装log
    包名:com.android.systemui  appName:Interface du système   MD5:9133677e0f63ff986425f0345b1ed44e
    ....
    内核版本: 3.10.65+     platform:sc8830
    
    model=L-EMENT503   brand=Logicom   osver=5.1
    
    ps
    USER     PID   PPID  VSIZE  RSS     WCHAN    PC        NAME
    root      1     0     8792   532   ffffffff 00000000 S /init
    root      2     0     0      0     ffffffff 00000000 S kthreadd
    ...root      205   1     248    36    ffffffff 00000000 S /system/bin/debuggerd64
  • Et validé par un autre fichier contenant le terme "Finish".
On trouve aussi d'autres applications:
  • com.jb.zcamera
  • com.jiubang.darlingclock
  • com.augeapps.locker
En image:

png.8579


Sur ESexplorer, qui est aussi louche dans l'histoire, on observe deux fichiers:
  • kmPlugins.zip, qui a pour nom purify_1.5.5.163.apk. Ce paquet sert à rooter le téléphone.
  • -1560893142.jar, qui est en réalité chargelocker, cité plus haut.
Conclusion:
  • Ce téléphone a une porte dérobée\faille permettant d'installer des applications, et ainsi voler l'IMEI\L'IMSI du téléphone\carte SIM. L'utilisateur, à son insu, et connecté à un magasin d'application où la désinscription est impossible.
  • Des applications supplémentaires sont installées et lancées à l'insu de l'utilisateur plus que nécessaire, afin de récolter des informations, l'utilisateur est identifié\tracé via le biais de cookies\identifiants, des informations plus que nécessaires sont enregistrées, tel que l'IMSI\IMEI\adresse mail\photo de la caméra\état du wifi et peut-être le mot de passe du Wifi.
  • Finalement, ce serait une backdoor d'orgine chinoise, normalement destiné au marché chinois, lire les liens en-dessous.
    • How to Stay Safe from Adups Spyware on Budget Android Phones | Digital Trends
      Une seconde backdoor chinoise nichée dans les terminaux Android | Silicon
      6 questions et réponses sur l'affaire du backdoor chinois - FrAndroid
      • La société adups a promis de faire des mises à jour, mais je n'ai jamais vu de mise à jour, en partenariat avec Google.
      • Or il n'en est rien, je n'ai jamais vu de correctif, pire encore, le téléphone est certifié par Google Protect.
      • Aussi, je n'ai pas cherché à cacher le nom du constructeur. Il est lui-même responsable, car il a refusé de coopérer, et donc de me fournir une image système saine, prétextant de renvoyer un téléphone, or d'autres constructeurs permettent de réinitialiser le téléphone avec des logiciels adéquats, que l'on peut faire nous-même.
      • En les recontactant, pas de message de retour. Logicom refuse de communiquer, donc il est coupable, cette entreprise doit mieux tester et vérifier ses appareils.
      • Logicom est donc irresponsable, et n'est pas un constructeur sérieux.
    • La palme d'or revient à Google, qui se permet encore une fois de mentir, soit disant qu'une mise à jour serait proposé. Or rien n'a été fait, et le téléphone est certifié Google Play, c'est cela le pire dans l'histoire.

      Et pour terminer, comme on ne peut pas installer des roms autres que ceux des constructeurs, et que les pilotes ne peuvent pas téléchargés séparement, donc les téléphones android sont des gadgets.

Petite note à Google, qui se comporte en ce moment comme un petit dictateur: Reste humble, tout simplement que tu te permets des choses qui ne sont pas normales, comme dévoiler des failles de sécurité de Microsoft, hors toi-même tu n’arrives pas à mettre les téléphones android à jour.
Surtout tu t'attaques à un mastodon qui s'appelle Microsoft. Hors tu te crois le plus malin, mais Microsoft avait mentionné que des entreprises étaient sur-évaluées, et qu'il attendait que cela se passe pour racheter d'autres entreprises, et Microsoft a des ressources solides comme du roc en ce moment.
Ce que j'ai compris, c'est une bulle internet est en train de gonfler et va exploser. Comme tu bases tes revenus sur le modèle publicitaire, ton entreprise ne vaut rien. J'ai compris que Microsoft allait te ramasser à la petite cuillère.
Tu ressens peut-être le danger, en monétisant youtube, en faisant payer Google Maps, en essayant d'écraser Firefox et en mettant un pseudo-adblocker sur Google Chrome, mais ta fin est peut-être dans les deux ou trois années à venir.
Je dis cela, mais je n'ai rien dit, si la banque centrale américaine ferme le robinet concernant les liquidités, tu seras une victime rachetée par Microsoft.



prem_banner.jpg
 

Pièces jointes

  • 222.9 KB Affichages: 8
Dernière édition par un modérateur:
Alex (Alexandre01)

Commentaires

Sujets similaires






  Nos clients parlent de nous


Asussiens en ligne

Aucun membre en ligne maintenant.

Campagnes de don

Soutenir les forums Asus

Pour continuer à recevoir un support gratuit dans les forums, aidez nous a supporter le coût de notre infrastructure.
Objectif
€85.00
Cagnotte
€10.00
Fin de la campagne dans
 
0%