Informatii mobile despre amenintari, 24 mai 2018

Avast Threat Labs a analizat malware-ul care a afectat mii de utilizatori din intreaga lume

 Postare pe blog si analiza de Vojtech Bocek si Nikolaos Chrysaidos 

Cand primiti un telefon nou, va asteptati sa fie curat de orice malware si adware. Din pacate, acest lucru nu este intotdeauna cazul. Avast Threat Labs a gasit adware-ul preinstalat pe cateva sute de modele si versiuni diferite de dispozitive Android, inclusiv dispozitive de la producatori precum ZTE si Archos. Majoritatea acestor dispozitive nu sunt certificate de Google.

Adware-ul analizat a fost descris anterior de Dr. Web si poarta numele de „Cosiloon”. Dupa cum se poate observa in imaginile de mai jos, adware-ul creeaza o suprapunere pentru a afisa un anunt pe o pagina web din browserul utilizatorilor. Adware-ul este activ de cel putin trei ani si este dificil de eliminat, deoarece este instalat la nivelul firmware-ului si foloseste oftalmarea puternica. Mii de utilizatori sunt afectati si numai in ultima luna am vazut cea mai recenta versiune a adware-ului pe aproximativ 18.000 de dispozitive apartinand utilizatorilor Avast aflati in peste 100 de tari, inclusiv Rusia, Italia, Germania, Marea Britanie, precum si unii utilizatori in Statele Unite ale Americii

Suntem in legatura cu Google si sunt constienti de aceasta problema. Google a facut masuri pentru atenuarea capabilitatilor daunatoare ale multor variante de aplicatii pe mai multe modele de dispozitive, folosind tehnici dezvoltate intern. Google Play Protect a fost actualizat pentru a se asigura ca exista acoperire pentru aceste aplicatii in viitor. Cu toate acestea, deoarece aplicatiile sunt preinstalate cu firmware-ul, problema este dificil de rezolvat. Google a adresat dezvoltatorilor de firmware pentru a constientiza aceste preocupari si i-a incurajat sa ia masuri pentru a rezolva problema.

Am observat probe ciudate pe Android care intra in baza noastra de date de cativa ani in urma. Probele au parut a fi ca orice alt esantion adware, cu exceptia faptului ca adware-ul pare sa nu aiba punct de infectie si mai multe nume de pachete similare, cel mai frecvent fiind:

  • com.google.eMediaService
  • com.google.eMusic1Service
  • com.google.ePlay3Service
  • com.google.eVideo2Service

Recent, unul dintre esantioanele a depasit statisticile noastre de detectie dupa ce platforma noastra de informatii despre amenintari apk.io a marcat-o ca fiind malware, asa ca am inceput sa sapam. Se dovedeste ca aceste pachete adware sunt doar sarcini utile eliminate dintr-o aplicatie de sistem preinstalata de producator pe o cantitate surprinzatoare de diferite dispozitive. Si mai surprinzator este faptul ca cea mai timpurie mostra a picatorului, care este o aplicatie care descarca alte aplicatii rau intentionate, avem din ianuarie 2015 si a fost preinstalata pe o tableta bugetara vanduta in Polonia. Mai mult, datele din fisierele din cel mai vechi APK pe care le avem sunt vechi, unele dateaza inca de la 1 ianuarie 2016 si 7 martie 2013. Aceasta familie de adware are, de asemenea, numeroase variante de incarcare si de descarcare, ceea ce indica o dezvoltare continua.

Serverul C&C folosit pentru a controla programele malware este inca activ si este actualizat cu noi sarcini utile. Am contactat CNCERT, precum si companiile care gazduiesc serverul C&C, iar serverul a fost eliminat la 10 aprilie 2018. Domeniile raman insa vii.

Familia de malware este veche, nu in special furt, si cel putin o parte din ea este detectata de obicei de aplicatii antivirus comune, dar, in ciuda acestui fapt, nu suntem constienti de nicio analiza detaliata care ar lega toate piesele. Deci, hai sa intram in ea.

Analiza aplicatiilor

Intregul ansamblu consta din doua APK-uri separate; picatoarea si sarcina utila. Versiunile mai vechi ale programului malware aveau o aplicatie publicitara separata preinstalata in partitia / sistem, dar aceasta abordare pare sa fi fost schimbata in favoarea noii sarcini utile.

Varianta A Dropper

Dropper-ul este o aplicatie mica fara obstructie, localizata pe partitia / sistem a dispozitivelor afectate. Aplicatia este complet pasiva, vizibila doar pentru utilizator in lista de aplicatii de sistem sub „Setari”. Am vazut cautatorul cu doua nume diferite, „CrashService” si „ImeMess”. Exista mai multe versiuni in salbaticie, toate impartasind acelasi comportament de baza:

1. Descarca un manifest de pe http://www.cosiloon.com/version.xml atunci cand dispozitivul este conectat la Wi-Fi. Diferite subdomenii (abc, abd) si diferite nume de fisiere (version_2.xml, version_3.xml, information.xml) sunt de asemenea utilizate, probabil pentru depanare. In momentul de fata, toate indica acelasi fisier sau sunt rupte.

Manifestul XML contine informatii despre ce trebuie descarcat, ce servicii sa porneasca si contine o lista alba programata pentru a exclude potentialele tari si dispozitive din infectie. Cu toate acestea, nu am vazut niciodata lista alba de tara folosita si doar cateva dispozitive au fost listate in alb in versiunile anterioare. In prezent, nici o tara sau dispozitive nu sunt listate in mod alb. Intreaga adresa URL Cosiloon este codata in APK. Manifestul s-a schimbat de-a lungul timpului si avem inregistrate mai multe versiuni. Mentinem aici un istoric al continutului manifestului, iar acesta este continutul acestuia din 2018-03-19:

<Actualizare>

<Versiune> 27 </ versiune>

<Name> Temp </ name>

<package> com.google.eVideo2Service </package> <url> http://app.storage.yunvm.com/ba.apk </url>

<ipurl> http://pull-3045.kxcdn.com/getip.php </ipurl> <startup1> com.google.eVideo2Service </startup1>

<Startup2> null </ startup2>

<Startup3> null </ startup3>

<Startup4> null </ startup4>

<Startup5> null </ startup5>

<Startup6> null </ startup6>

<Startup7> null </ startup7>

<Startup8> null </ startup8>

<Startup9> null </ startup9>

<Tara> allable </ tara>

<Respinge> null </ respingere>

</ Update>

2. Apoi, picatorul instaleaza o sarcina utila de pe o adresa URL. Dropper descarca un APK dintr-un <url> gasit in manifest (se schimba de la versiune la versiune) in / sdcard / Download / <name> si apoi instaleaza APK-ul prin comanda pm install , comanda standard pentru instalarea aplicatiilor pe Android dispozitive.

cmd = Runtime.getRuntime (). exec (“pm install -r” + this.mPath + “\ n”). getInputStream ();

3. In sfarsit, picatorul incepe serviciul de incarcare utila. Intrarile <startupX> din manifest sunt utilizate pentru a porni serviciile sarcinii utile. Acest pas se repeta de fiecare data cand telefonul porneste.

Am gasit cel putin opt variante de cod diferite ale picuratorului cu numeroase semnaturi diferite (deoarece este o aplicatie de sistem, este intotdeauna semnata de aceeasi cheie pe care vanzatorul a folosit-o pentru a semna imaginea sistemului). Functiile de baza ale tuturor variatiilor sunt aceleasi, cu unele diferente subtile in adresele URL hardcodate si suport pentru pachetele malware preinstalate suplimentare. In total, acesta este un picurator simplu si flexibil, care functioneaza bine, atat timp cat autorii au control asupra domeniului hardcodat si pot mentine adresa URL functionala.

A rezuma:

  • Dropper-ul poate instala pachete de aplicatii definite prin manifestul descarcat printr-o conexiune HTTP necriptata, fara acordul sau cunostinta utilizatorului.
  • Dropper-ul este preinstalat undeva in lantul de aprovizionare, de catre producator, OEM sau operator.
  • Utilizatorul nu poate inlatura picatorul, deoarece este o aplicatie de sistem, care face parte din firmware-ul dispozitivului.

Detectarea picuratorului este complicata si de faptul ca este o aplicatie de sistem, parte a firmware-ului de citire a dispozitivelor, care este integrata in dispozitivul livrat din fabrica. De asemenea, este probabil odexed in majoritatea firmware-urilor, ceea ce inseamna ca codul aplicatiei a fost eliminat din fisierul APK original, optimizat si stocat separat in timpul procesului de construire a firmware-ului. Ca urmare, probabil ca firmele de securitate cibernetica lipsesc multe dintre esantioanele care se descarca si trebuie sa se bazeze pe sarcina utila pentru detectare si statistici.

Varianta de picatura B

O a doua varianta a picatorului este putin mai interesanta. Codul este cam acelasi cu prima varianta, dar nu este o aplicatie separata de sistem. Codul este incorporat in SystemUI.apk, parte integranta a sistemului de operare Android. Acest lucru face ca picatorul sa fie destul de imposibil de eliminat de catre utilizator.

SystemUI.apk contine de obicei implementarea interfetei cu utilizatorul, cum ar fi starea si bara de notificari, ecranul de blocare si multe altele. Probele examinate au avut ascuns codul dropper in pachetul com.android.keyguard:

  • com.android.keyguard.KeyStateBroad
  • com.android.keyguard.KeyManager
  • com.android.keyguard.KeyguardService
  • com.android.keyguard.KeyguardReceiver

Aceasta varianta foloseste manifestele de pe http://www.cosiloon.com/version_4.xml si http://www.cosiloon.com/version_5.xml care servesc o versiune usor diferita a sarcinii utile (cu diferite intentii si nume ale receptorului), deci putem spune ca aceasta varianta este semnificativ mai putin populara decat cealalta, varianta A avand mii de utilizatori afectati, iar varianta B doar aproximativ 200.

Probele SystemUI.apk examinate au fost, de asemenea, infectate cu alte doua pachete malware, toate capabile sa afiseze aplicatii, sa instaleze APK-uri suplimentare de pe internet si sa trimita date private, cum ar fi IMEI, adresa Mac si numarul de telefon pe serverele de la distanta, dar codul lor pare fara legatura. la familia Cosiloon, asa ca nu vom mai intra in ele.

O alta implicatie a caruia caruia i-o face parte din SystemUI.apk in locul unui APK separat este faptul ca codul sursa al firmware-ului a fost oarecum deturnat si modificat, lucru dificil de facut.

Incarcatura utila

Am gasit peste o suta de versiuni diferite de sarcina utila. Ne vom concentra in principal pe cea mai recenta [1], dar cea mai mare parte a analizei se aplica si altor probe.

Sarcina utila, spre deosebire de picatoarea, este puternic obfuscata si foarte complexa. In plus fata de utilizarea obisnuita a redenumirilor si a reflectiei clasei, include si apeluri la metode inserate aleatoriu, care nu afecteaza starea aplicatiei si chiar includ metode care sunt complet inutile. Acestea sunt probabil adaugate intr-un efort de a face analiza manuala mai grea, dar pot declansa de fapt unele euristici de analiza statica datorita continutului lor (intentiile CALL sau SEND pot parea un comportament rau intentionat). Mecanismul de obstructie a necesitat cu siguranta mult efort.

Exemplu de metoda care nu face nimic.

Exemplu de declaratii adaugate aleatoriu fara efect.

APK-ul cu sarcina utila include un fisier JAR codificat cu XOR [2] care contine in prezent cadre de anunturi Google, Facebook si Baidu. De asemenea, include detectarea emulatorului bazata pe fisiere in / dev, ceea ce inseamna ca este capabil sa detecteze daca fisierul este rulat intr-un emulator antivirus si, daca da, va retine orice actiuni suspecte, astfel incat sa treaca neobservat. Un mecanism de actualizare este, de asemenea, incorporat si este capabil sa descarce fisiere dex suplimentare de pe internet.

Sarcina utila pare a fi activa doar daca este prezent picatorul de sistem, dar am reusit sa declansam comportamentul acestuia de mai multe ori. Pentru noi, a oferit descarcari de jocuri discutabile din reteaua Baidu:

Pop-up-urile intruzive au o limitare a ratei (deci nu apar prea des). Varianta de anunturi pe ecran complet pare, de asemenea, sa includa o verificare care sa-l impiedice sa apara peste toate, in afara de browserul web implicit actual.

Cele mai multe versiuni ale incarcarii utile nu au niciun punct de intrare orientat catre utilizator, cu exceptia versiunii de scurta durata H5GameCenter si a noii versiuni # 29 [3], care arata intrarea in lansatorul de aplicatii, mascand ca „contacte marcaje”. Atingerea pictogramei porneste serviciul publicitar si deschide browserul web implicit. Versiunile de sarcina utila care nu sunt vizibile pe ecranul tabletei sau telefonului sunt din nou vizibile doar ca aplicatii de sistem sub „setari” si vin cu aproximativ 15 nume diferite, inclusiv „MediaService”, „eVideo2Service” si „VPlayer”.

Pictograma sarcinii utile in sertarul aplicatiei.

Codul corespunzator din sarcina utila.

La 8 aprilie 2018, sarcina utila a fost actualizata din nou. Numele din lansatorul de aplicatii s-a schimbat in „Descarcare Google” si unele nume de clasa din cod au fost schimbate (in special „.backservice” in „.startService”), probabil in incercarea de a evita detectarea.

Urmatoarea actualizare a avut loc pe 17 aprilie 2018. Codul sarcinii utile a fost semnificativ simplificat si a fost redenumit „Google ++”. Nu mai contine un pachet de coduri criptate in interior, dar afiseaza in continuare reclame precum versiunile anterioare. Aceasta pare a fi o versiune temporara pe care au fost nevoiti sa o dezvolte pe masura ce am preluat vechiul server C&C, deoarece actualizarea de a doua zi a readus aproape tot codul, iar sarcina utila pare foarte similara cu starea inainte de a fi eliminata.

Metode de listare alba

Dropperul de sistem contine metode de listare alba care dezactiveaza intregul pachet in anumite conditii. Ele sunt destul de interesante si permit creatorului sa modifice comportamentul adware pe baza cerintelor actuale.

Numarul minim de aplicatii instalate de utilizator

Dropperul verifica cate aplicatii a instalat utilizatorul si se opreste daca este mai mic de trei. Acest lucru impiedica afisarea anunturilor, de exemplu, pe dispozitivele demo din magazine si poate in timpul procesului de certificare CTS Google.

Limbajul dispozitivului

In plus, nimic nu este scazut daca limba dispozitivului este setata pe chineza.

Manifestul XML specifica, de asemenea, o eticheta <country> care ar putea fi utilizata pentru dispozitivele de lista alba in anumite tari, dar, dupa cum am mentionat anterior, aceasta lista alba nu a fost utilizata din cate stim.

Modelul dispozitivului

Eticheta <reject> din manifestul version.xml este utilizata pentru aceasta lista alba.

Locatie

Lista alba de locatie este implementata intr-un mod destul de interesant. In primul rand, adresa URL specificata in eticheta <ipurl> din interiorul version.xml este interogata, care este in prezent http://pull-3045.kxcdn.com/getip.php. Acesta returneaza adresa IP a serverului, dar, deoarece utilizeaza o retea de livrare de continut (CDN), <ipurl> este rezolvat la diferite servere pe baza locatiei utilizatorului.

IP-ul returnat este apoi verificat cu o baza de date SQLite de intervale de IP ambalate in aplicatia picatoare, in active / date . Contine peste 320k diferite intervale de IP, aproape toate in China.

Utilizatori afectati

tari

Conform statisticilor noastre, utilizatorii din peste 90 de tari sunt afectati. Primele zece in ultima luna sunt Rusia, Italia, Germania, Regatul Unit, Ucraina, Portugalia, Venezuela, Grecia, Franta si Romania.

Dispozitive

Cateva sute de dispozitive diferite sunt afectate. Dispozitivele afectate de obicei au un chipset Mediatek si sunt in mare parte tablete cu costuri reduse. Lista, inclusiv cele mai afectate dispozitive, poate fi gasita aici si include dispozitive de la marci precum Archos, ZTE si Prestigio. Lista este probabil atat de extinsa, deoarece malware-ul a facut parte dintr-un pachet de platforme chipset care este reutilizat pentru multe dispozitive similare cu nume de marca diferite. Am verificat mai multe dispozitive, dar nu toate, si am observat ca chipset-ul de pe dispozitivele pe care le-am inspectat este de la MediaTek. Dispozitivele ruleaza diferite versiuni Android cuprinse intre 4.2 si 6.0.

Nu toate modelele de dispozitive enumerate sunt afectate, deoarece fiecare model are nenumarate variante de firmware (de exemplu, pentru diferite tari si transportatori) si doar cateva sau o singura varianta a dispozitivului ar putea fi afectate, sau poate o versiune ROM personalizata avea picatorul. Aceasta lista contine pur si simplu modele de dispozitive pe care am detectat sarcina utila scazuta cel putin o data in calea <descarcari> / Temp , care este calea la care descarcatorul de sistem descarca sarcina utila inainte de a o instala, iar sarcina utila a fost instalata si pe acelasi dispozitiv. .

Este imposibil sa verificati toate aceste dispozitive, dar am descarcat unele dintre imaginile lor de firmware si am confirmat ca picatorul este intr-adevar preinstalat pe unele dintre ele, pe cai /system/priv-app/CSTR.apk (ZTE E10Q, 4.4 .

porno pictures http://drelevance.com/__media__/js/netsoltrademark.php?d=adult69.ro/
beg porno http://freelockandvault.com/__media__/js/netsoltrademark.php?d=adult69.ro/
porno cu betivi http://acquent.net/__media__/js/netsoltrademark.php?d=adult69.ro/
porno buzau http://azfamilyhealthpartnership.com/__media__/js/netsoltrademark.php?d=adult69.ro/filme-porno/amatori
filme porno onlin http://dayworkers.com/__media__/js/netsoltrademark.php?d=adult69.ro/filme-porno/anal
porno sex xxx http://worldoffers.com/__media__/js/netsoltrademark.php?d=adult69.ro/filme-porno/asiatice
porno cu vedete http://keytutor.org/__media__/js/netsoltrademark.php?d=adult69.ro/filme-porno/beeg
porno cu lesbience http://nonexpertnetwork.com/__media__/js/netsoltrademark.php?d=adult69.ro/filme-porno/blonde
porno cu femei cu curu mare http://realtyrx.org/__media__/js/netsoltrademark.php?d=adult69.ro/filme-porno/brazzers
filme porno gratuit http://marinesciencecareers.com/__media__/js/netsoltrademark.php?d=adult69.ro/filme-porno/brunete
porno hub com http://centraloregonautomall.com/__media__/js/netsoltrademark.php?d=adult69.ro/filme-porno/chaturbate
youtube filme porno cu mature http://nopainspray.com/__media__/js/netsoltrademark.php?d=adult69.ro/bunicul-ii-freaca-pizda-nepoatei-in-padure
porno cu femei slabe http://pelletspress.com/__media__/js/netsoltrademark.php?d=adult69.ro/fetita-de-saisprezece-ani-inghite-sperma-la-greu
porno romamesc http://criticalscope.com/__media__/js/netsoltrademark.php?d=adult69.ro/unchiul-ii-penetreaza-gaura-curului-in-fata-camerei-web
crazy porno http://ippiracy.com/__media__/js/netsoltrademark.php?d=adult69.ro/fiica-linge-pula-paroasa-a-tatalui-pe-canapea
filme porno 2020 http://radiomarplusfm.com/__media__/js/netsoltrademark.php?d=adult69.ro/fratele-ii-sopteste-ca-vrea-sa-o-futa-in-cur
filme porno prostituate http://swearenginlaw.com/__media__/js/netsoltrademark.php?d=adult69.ro/secretara-cu-tatele-mari-suge-pula-sub-birou
porno cu femei gravide http://zagtags.com/__media__/js/netsoltrademark.php?d=adult69.ro/curva-suge-pula-politistului-pe-un-drum-public
russian porno http://scratchoffprinting.com/__media__/js/netsoltrademark.php?d=adult69.ro/scolarita-asiatica-este-fututa-si-geme-foarte-tare
free porno site http://virtualeternal.com/__media__/js/netsoltrademark.php?d=adult69.ro/se-filmeaza-cad-fac-sex-salbatic-in-familie

2) sau /system/priv-app/ANLRadio/ANLRadio.apk (Alcor Access Q784M, 5.1).

Deoarece APK-ul pentru picurator vine cu firmware-ul, este greu de detectat aplicatiile antivirus si nu poate fi eliminat. Aplicatiile antivirus vor detecta incarcarea utila, insa, odata ce antivirusul o va elimina, picatorul isi va face din nou treaba si va descarca sarcina utila.

Reclamatii ale utilizatorilor

Atitudinea acestei tulpini malware pare a fi foarte larga. Cautand numele aplicatiilor, puteti gasi recenzii ale utilizatorilor pentru diferite dispozitive din multe tari, care se plang de anunturile afisate. Iata cateva exemple:

  • https://forums.androidcentral.com/ask-question/816166-how-can-i-get-rid-green-popup-malware.html
  • https://productforums.google.com/forum/#!topic/play/IxOQ-2QeKTw
  • https://www.czc.cz/markeeta-lte-10-xl/213858/produkt/curqq08di2gdcavq3atmpmgptc/diskuse?category=0qro5fkf8gikaad7aujrgla351 (ceha)

Probele aferente

com.mediatek.mtkmusicprovider

Acest esantion pare a fi o versiune timpurie a picuratorului. Nu descarca nimic, ci in schimb stocheaza sarcinile utile in folderul de active din APK si le instaleaza periodic. Primul esantion pe care il avem este din noiembrie 2014. Aceleasi nume de clasa ( .BackService ) si structura de cod similara le leaga de restul acestei familii.

com.android.keysetting

Com.android.keysetting pare a fi cea mai veche versiune a incarcarii adware. Este menit sa fie instalat si ca o aplicatie de sistem. Aplicatia nu mai face nimic din moment ce serverele (* .7176.com) sunt moarte, dar a fost pregatita sa afiseze suprapuneri de anunturi. Contine aceleasi clase si „daca locale setat pe chineza, atunci nu face nimic”, verificati ca sarcinile utile mai noi si contine un fisier .jar criptat, cu cadrul publicitar partajat intre mai multe alte aplicatii intruzive. Borcanul contine siruri cu date din iulie 2014.

com.get.googleApps

com.get.googleApps este o alta versiune timpurie a aplicatiei adware. Acesta a fost instalat ca o aplicatie de sistem si a folosit mai ales Google AdSense, dar aceasta abordare a fost intrerupta si cea mai mare parte a codului din aceasta aplicatie a trecut la sarcina utila.

H5GameCenter – com.google.ePlay4Service

Aceasta versiune a sarcinii utile este din jurul lunii decembrie 2016. Este remarcabila, deoarece, spre deosebire de toate celelalte sarcini utile, aceasta are de fapt o activitate orientata catre utilizatori, in afara de ferestrele pop up. Se presupune a fi un „magazin de jocuri de aplicatii”. Aceasta a facut noutatile in jurul lunii decembrie 2016, cand Dr. Web a gasit-o.

Concluzie

De departe, cel mai jignitor fapt este ca Dr. Web a raportat acest lucru in 2016 … si totusi nu s-a intamplat nimic. Serverul de control a fost live pana in aprilie 2018, iar autorii au continuat sa-l actualizeze cu noi sarcini utile. De asemenea, producatorii au continuat sa livreze noi dispozitive cu picatorul preinstalat. Unele aplicatii antivirus raporteaza incarcarile utile, dar sigur, picuratorul le va instala din nou, iar dispozitivul de gatit in sine nu poate fi eliminat, astfel incat dispozitivul va avea o metoda care sa permita unei parti necunoscute sa instaleze orice aplicatie pe care o doreste. Am vazut ca picatorul instaleaza adware pe dispozitive, cu toate acestea, poate descarca cu usurinta si spyware, ransomware sau orice alt tip de amenintare.

Am incercat sa dezactivam serverul C&C al lui Cosiloon trimitand cereri de preluare catre registratorul de domeniu si furnizorii de server. Primul furnizor, ZenLayer, a raspuns rapid si a dezactivat serverul, dar a fost restaurat dupa un timp folosind un alt furnizor. Registratorul de domeniu nu a raspuns la solicitarea noastra, astfel incat serverul C&C functioneaza in continuare.

Avast Mobile Security poate detecta si dezinstala incarcarea utila, dar nu poate achizitiona permisiunile necesare pentru a dezactiva picatorul, de aceea Google Play Protect trebuie sa faca ridicarea grea. Daca dispozitivul dvs. este infectat, ar trebui sa dezactiveze automat atat picatorul, cat si sarcina utila. Stim ca acest lucru functioneaza deoarece am observat o scadere a numarului de dispozitive infectate de noile versiuni de sarcina utila dupa ce Play Protect a inceput sa detecteze Cosiloon.

Utilizatorii pot gasi picuratorul in setarile lor (numiti „CrashService”, „ImeMess” sau „Terminal” cu pictograma Android generica) si pot face clic pe butonul „dezactiva” din pagina aplicatiei, daca este disponibil (in functie de versiunea Android). Acest lucru va dezactiva picuratorul si dupa ce Avast va inlatura sarcina utila, nu va mai reveni.

Probele

https://docs.google.com/spreadsheets/d/10GREhHGREaQvx45kb7AI4FkXDFX1VDjNWyRpU9qGJ5k/edit?usp=sharing

Referinte

  • https://vms.drweb.com/virus/?i=9010704&lng=en
  • https://news.drweb.com/show/?i=10345&lng=en

[1] 838d70c21ab98bfbf9c69ce516ddebbd988cade05d25558b086e1c103dadcb06

[2] b81a7e72197fa8dff5970e6c326d18f678799f316985daf6aef7b3e562bfb2ad

[3] 12a6a5e9c58f8a04f54ef812f2159a0fa760ae9272141749f8ed6fc919622da1

Avast este un lider global in domeniul cibersecuritatii, protejand sute de milioane de utilizatori din intreaga lume. Protejati-va toate dispozitivele dvs. cu protectie impotriva virusului premiat. Protejati-va confidentialitatea si criptati conexiunea online cu SecureLine VPN. 

ARTICOLE SIMILAREDE LA ACELAȘI AUTOR