Malware en Jiayu S3. App Ease

[alfanovember]

Mi ayer por la noche me descargo la aplicación de la Play Store y como vi que era muy cuadrada decidí investigar la y era otra vez el recent, me está comenzando todos los c****** ya el teléfono, al final lo vendo y me lo cambió por otro.

Enviado desde mi JY-S3 mediante Tapatalk

[SPIRNA]

Yo he borrado el data_gospel y de momento sin problemas, no hace nada raro. El antimalware que tengo instalado por primera vez no detecta malware, después de mes y pico respiro ufff
Jiayu S3S

[juanmikun]

Ayer me volvió a salir la p*** aplicación de recents.
No le dio tiempo a mostrar publicidad, pues la desinstalé antes de que hiciera algo, pero quiero saber por qué co*o se instala esta app automáticamente.

Si tienen poder para hacer eso, a saber qué datos me estarán robando también.
No me fío un pelo...

[juanmikun]

 Cita: Originalmente Escrito por SIgNIFER15

Es interesante tu hipótesis. En los hilos sobre malware en el Jiayu S3, no preguntamos quién tenia instalada la app jiayu.es. A mi me apreció recent hace unas semanas y llevaba la rom stock de origen y la app jiayu.es. Congelé la app recent que me apareció y borré la apk fallen que tenía. No no me reapareció recent mientras la tu congelada.

Ahora llevo la custom rom Geiser y no instalé la app Jiayu.es. Si me vuelve a aparecer recent ya lo veremos. que yo recuerde me parece que solo un compañero con una custom tuvo el problema y diría que no llevaba la app jiayu.es.

Normalmente la gente la instala cuando tienes la rom stock de origen para cambiar el recovery y la mayoría no la desinstala porque es útil para entrar en recovery desde ella y para entrar en el modo ingeniero. Pero cuando ya instalas una custom, sueles usar otras app para seo mismo y no la instalas. Solo la vuelven a poner los que están el LL y quieren volver a KK. Como instalas la stock KK por flashtools, vuelves a instalarla para cambiar el recovery. ES posible que dentro de poco tengamos una custom rom en versión flashtools que incluya custom recovery, por lo que se podrá volver de LL a KK en un solo paso y sin necesidad de instalar nada para cambiar el recovery.

Veremos si alguien le aparece recent sin llevat la app Jiayu.es y asi ya descartamos la relación.

Saludos

Yo no la tengo instalada y me aparece.

Tengo el launcher nova instalado, pero utilizo Hola Launcher (por descartar más cosas)

[SPIRNA]

Malas noticias, hoy ha vuelto a hacer de las suyas, aparecen iconos sugiriendo apps. He inhabilitado la app de Google Store e instale una apk antigua de Play Store que tenia por hay guardada. He leído que el origen de todos los males es precisamente la aplicación de Google Store que viene en la rom original, al parecer no es original de google, los hacker han logrado colarse en la linea de producción de los móviles chinos, en fin un coñazo, a ver que hace ahora...

[danisayar]

 Cita: Originalmente Escrito por SPIRNA

Malas noticias, hoy ha vuelto a hacer de las suyas, aparecen iconos sugiriendo apps. He inhabilitado la app de Google Store e instale una apk antigua de Play Store que tenia por hay guardada. He leído que el origen de todos los males es precisamente la aplicación de Google Store que viene en la rom original, al parecer no es original de google, los hacker han logrado colarse en la linea de producción de los móviles chinos, en fin un coñazo, a ver que hace ahora...

Yo no tengo ninguna apk instalada y aveces tambien me sale mierda de publi en las notificaciones, me estoy empezando a cansar ya.

[asanz83]

hola, despues de restaurar a valores de fabrica y eliminar recents en menos de 24h otra vez los acceso directos de publicidad, he probado otra vez a restaurar y lo primero que hecho es cambiar al nova launcher y congelar el de stock (trebuchet), y de momento llevo dos dias bien, haber si damos con la clave porque es bastante molesto
saludos!

[SIgNIFER15]

Por si os interesa vuelvo a señalar que con las custom rom nadie reporta problema.

Los que continuáis con los problemas con recents o similares si decis que rom lleváis, casi seguro que es una rom stock. Poner una custom rom reciente, que se limpian de chinadas, y ya veréis.

Saludos

[BH2015]

Bueno, no todos sabemos cambiar las ROMs, aunque haya manuales por ahí. Es algo que da miedo hacer por primera vez por el riesgo inherente.

Harto de que me descargase sin permiso hasta 100 MB diarios en el directorio Downloads, hasta 3 veces en un día descargó Badoo que ocupa 22 MB (quizás porque yo la borraba) acabé instalando el cortafuegos DroidWall, cambiando el modo a lista negra y bloqueando Trebuchet tanto por WiFi como por 3G, me ha solucionado el tema de la descarga, aunque no el que intente abrir Play Store (en blanco por no poder realizar la descarga).

Instalé también el Eset Mobile Security & Antivirus y me detectaba amenaza en el fichero KpshPlatform.jar almacenado en la carpeta /storage/emulated/0/.kpsh de la memoria interna. Eset lo identifica como "Android/TrojanDropper.Agent.CQ" detectado por primera vez el 17 de Agosto, pero que ha alcanzado su pico de actividad el 20 de Septiembre, sobre todo en Nigeria, Bangladesh y Filipinas.

Analizando con FX Explorer el contenido de la APK de Trebuchet, se ve que incluye en su interior dicho troyano, creando la carpeta anterior en cada arranque, así como otra llamada cooee que en otros foros aparece también como sospechosa (no sé si con base, pues Wikipedia lo identifica como un Framework de Java, que tal vez lleve asociado el proceso).

He instalado el launcher Nova (a no ser que me recomendéis otro, porque el móvil me va menos fluido) a ver si puedo eliminar el Trebuchet.

[kayn81]

Yo sufrí en problema de la app recents. La desinstalé y no me ha vuelto a dar guerra, de momento. Después comenzó el problema de los accesos directos en el escritorio que te llevaban a Google Play y desaparecían pero, como indicaba un compañero más atras , al comprobar la info del icono indicaba que era trebuchet el causante. AVG (ya desinstalado y sustituído por 360antivirus, tras la últimas noticias) me lo detectaba como software malicioso, creo que era. Me decidí a instalar el nova, bloquear trebuchet y llevar mas de una semana sin problemas de publicidad intrusiva.

Todo a gracias a las aportaciones y experiencias de cada uno así que si la mía sirve de algo, perfecto!!!


Salu2!!!

[SIgNIFER15]

 Cita: Originalmente Escrito por BH2015

Bueno, no todos sabemos cambiar las ROMs, aunque haya manuales por ahí. Es algo que da miedo hacer por primera vez por el riesgo inherente.

Harto de que me descargase sin permiso hasta 100 MB diarios en el directorio Downloads, hasta 3 veces en un día descargó Badoo que ocupa 22 MB (quizás porque yo la borraba) acabé instalando el cortafuegos DroidWall, cambiando el modo a lista negra y bloqueando Trebuchet tanto por WiFi como por 3G, me ha solucionado el tema de la descarga, aunque no el que intente abrir Play Store (en blanco por no poder realizar la descarga).

Instalé también el Eset Mobile Security & Antivirus y me detectaba amenaza en el fichero KpshPlatform.jar almacenado en la carpeta /storage/emulated/0/.kpsh de la memoria interna. Eset lo identifica como "Android/TrojanDropper.Agent.CQ" detectado por primera vez el 17 de Agosto, pero que ha alcanzado su pico de actividad el 20 de Septiembre, sobre todo en Nigeria, Bangladesh y Filipinas.

Analizando con FX Explorer el contenido de la APK de Trebuchet, se ve que incluye en su interior dicho troyano, creando la carpeta anterior en cada arranque, así como otra llamada cooee que en otros foros aparece también como sospechosa (no sé si con base, pues Wikipedia lo identifica como un Framework de Java, que tal vez lleve asociado el proceso).

He instalado el launcher Nova (a no ser que me recomendéis otro, porque el móvil me va menos fluido) a ver si puedo eliminar el Trebuchet.

Siento que no te decidas a poner un custom recovery y poner una custom rom formato recovery. No es difícil e insisto en que es la mejor medida de seguridad.

El problema no es realmente el launcher stock sino otras chinadas que lleva la propia rom stock.

Saludos

[CorocoTING]

 Cita: Originalmente Escrito por BH2015

Bueno, no todos sabemos cambiar las ROMs, aunque haya manuales por ahí. Es algo que da miedo hacer por primera vez por el riesgo inherente.

Harto de que me descargase sin permiso hasta 100 MB diarios en el directorio Downloads, hasta 3 veces en un día descargó Badoo que ocupa 22 MB (quizás porque yo la borraba) acabé instalando el cortafuegos DroidWall, cambiando el modo a lista negra y bloqueando Trebuchet tanto por WiFi como por 3G, me ha solucionado el tema de la descarga, aunque no el que intente abrir Play Store (en blanco por no poder realizar la descarga).

Instalé también el Eset Mobile Security & Antivirus y me detectaba amenaza en el fichero KpshPlatform.jar almacenado en la carpeta /storage/emulated/0/.kpsh de la memoria interna. Eset lo identifica como "Android/TrojanDropper.Agent.CQ" detectado por primera vez el 17 de Agosto, pero que ha alcanzado su pico de actividad el 20 de Septiembre, sobre todo en Nigeria, Bangladesh y Filipinas.

Analizando con FX Explorer el contenido de la APK de Trebuchet, se ve que incluye en su interior dicho troyano, creando la carpeta anterior en cada arranque, así como otra llamada cooee que en otros foros aparece también como sospechosa (no sé si con base, pues Wikipedia lo identifica como un Framework de Java, que tal vez lleve asociado el proceso).

He instalado el launcher Nova (a no ser que me recomendéis otro, porque el móvil me va menos fluido) a ver si puedo eliminar el Trebuchet.

En tu caso, yo bajaría la aplicación Titanium Backup + root. Previamente en seguridad activa los permisos root.
Desde dentro de titanium y una vez ya tengas instalado otro launcher como el "Nova" que comentas busca el launcher Trebuchet y desinstala.
Busca tambien recents y desinstala desde ahí.

Suerte

[Invitado4]

Hola CorocoTING,

Hago lo que propones con el Titanium Backup i cuando se apaga el móbil para reiniciarse, me aparece el Recovery TWRP con un menú (Install, Wipe, Backup, Restore, Mount, Settings, Advance y Reboot) y no sé como debo proceder, porque le doy a Reboot System y no desinstala el Trebuchet de los cxxxxx.
Gracias!

[guerrerojj]

SOLUCIONADO!
Lo primero de todo como dice SIgNIFER instalar una custom rom y se acaba el problema, pero como yo soy un poco cabezota, me empeñe en intentar matar el "bicho" ...
Por otro lado dar las gracias a todos los que participáis en estos foros, ya seáis expertos o novatos, ayudando a los demás con vuestra información y experiencias...

Bueno os cuento mi historia... Como a todos, se me activaba orígenes desconocidos automáticamente, por mucho que lo desactivara. Hice la búsqueda de archivos de las aplicaciones maliciosas que se indican al principio del hilo y tenia instalado el Malposed... Por otro lado, se me instalo varias veces la aplicación Recents, y la borre otras tantas... al final decidí congelarla...

Pero hace unas semanas, se me empezaron a instalar iconos de aplicaciones como: Blablacar, Segunda Mano, Game of Wards, etc... Estos iconos no son aplicaciones, son enlaces directos de descargas... Como ya se ha dicho antes en el foro, al darle a información sobre estos iconos, hace referencia al Trebuchet.
Es el launcher stock de nuestros teléfonos, con lo que no lo podemos eliminar sin haber instalado otro launcher antes. Si intentas eliminar el Trebuchet sin haber otro launcher activo, este se resetea y te desaparecen la configuración de tu escritorio.

Yo eliminaba estos iconos del escritorio, pero todos los días se me instalaban dos y tres veces... estaba desesperado... Pase varios antivirus: Avast, Eset, Maleware bytes... y NINGUNO me detecto nada!
Hasta que por fin instale el antivirus KASPERSKY y me detecto un troyano, se trataba de la aplicación MYSTERIUS.



Borraba la aplicación, pero al día siguiente al pasar el antivirus me la volvía a detectar, osea que otra aplicación abría la puerta para que se instalara y funcionara de nuevo.
Pero unos mensajes mas atrás un compañero del foro hablo de mirar en la carpeta system / priv-app
En la carpeta tenia una aplicación con un nombre muy raro: uq6Z2LH95a.apk
Al darle a información me dice que esta aplicación ya esta instalada con el paquete Mysterius!!! Bingo!!! Por fin la encontré!



Eliminada esta aplicación y después de una semana de uso, sin que se me instale ninguna aplicación ni me aparezca ningún tipo de publicidad, creo que puedo decir que por fin acabe con el troyano.

Apunte importante: He analizado con el Kaspersky el Jiayu F2 de un familiar que tenia los mismos síntomas, y no aparecía la aplicación Mysterius, pero detecto otro troyano llamado "Unlock" no se que... no me acuerdo del nombre completo. Tenia un icono de color rosa, tampoco hice una captura de pantalla .
También tenia la aplicación maliciosa Recents y los archivos Malposed. En la carpeta system/priv-app no aparecia el mismo archivo que me salio a mi, pero si había bastantes archivos con nombres raros y terminados en cifras como 1000 o 1200 y tenían todos iconos muy coloridos. Los elimine todos.
Con esto quiero decir que en cada teléfono el troyano se puede llamar de forma diferente, supongo que depende de la porquería que se nos haya instalado.


Ahora os pongo paso a paso lo que he ido haciendo:

- Primero de todo es intalar el antivirus KASPERSKY https://play.google.com/store/apps/d...kms.free&hl=es, es el que recomiendo, ya que de los que probé, ademas de ser el único que me detecto el virus, es el único que analiza la memoria del teléfono y la tarjeta SD. Cuando le deis a análisis completo os detectara el troyano y os da la opción mediante el menú de las aplicaciones de inhabilitar o detener la aplicación. En otro paso que pongo mas abajo lo eliminaremos del todo. El troyano que me detecto a mi, se llamaba Mysterius, pero puede detectaros otros con otros nombres.

- En segundo lugar tenemos que evitar que se active de forma automática la opción de orígenes desconocidos, esto lo conseguí con la aplicación APP OPS https://play.google.com/store/apps/d...rmission&hl=es . Con esta aplicación administras los permisos que tienen otras aplicaciones.
Yo en concreto quite los permisos de Modificar Configuración, "Modify Settings" a las siguientes aplicaciones: Reloj, Servicio NFC, Correo, Calendario, Torch, Teléfono, Información de Contactos y por supuesto a la aplicación Mysterius, a la que quite todos los permisos...



Probablemente con quitar permisos a la aplicación Mysterius hubiese bastado, pero bueno, tampoco me gusta que aplicaciones como la linterna, el reloj, o el calendario tengan permisos para modificar la configuración del teléfono.
Con estos cambios NO se volverá a activar la opción de Orígenes Desconocidos.

- En tercer lugar, con un gestor de archivos buscar y en las carpetas System/App y Data/App las siguientes aplicaciones y eliminarlas:

com.android.fallen.apk
com.android.malposed.apk
com.therefore.miner.apk
father.rickety.ordinaire.sus

Yo tenia la Malposed. La aplicaron para gestionar y eliminar archivos que use, fue Total Commander https://play.google.com/store/apps/d...ommander&hl=es Pero podeis usar cualquier gestor de archivos recomendados en el foro. Tenéis que ser root y tener activado en la configuración de seguridad la opción de Supeuser. Para buscar los archivos, seleccionar la carpeta Raíz del sistema de archivos y una vez allí le dais a la lupa para buscar. Ponéis el nombre del archivo que queréis buscar, por ejemplo, con poner "Malposed" es suficiente para que os haga la búsqueda en todas las carpetas del sistema. Después los elimináis.

- En cuarto lugar buscar en vuestras aplicaciones instaladas las aplicaciones Ease, Recents o cualquiera que no reconozcáis y congelarla. Yo use Titanium Backup https://play.google.com/store/apps/d...umBackup&hl=es Teneis que tener la versión pro del Titanium para que os deje congelar aplicaciones, hay varios tutoriales en youtube. Si no, siempre podéis usar otra aplicacion que os permita congelar como LINK2SD.
Yo prefiero congelarlas a eliminarlas, ya que cuando las eliminaba, volvían a instalarse.

- En quinto lugar, buscar con el gestor de archivos Total Commander en System/Priv-app la aplicación "uq6Z2LH95a.apk" o cualquier otra aplicación rara que os parezca sospechosa y eliminarla, antes de eliminar comprobar si esa aplicación esta asociada al troyano que habéis detectado antes, si no estáis seguros del todo, cortar y pegar la aplicación en otra carpeta de la SD y cambiarla de nombre, así, si es algo que no deberíamos haber quitado, siempre podemos volver a ponerlo en su lugar con su nombre original.
Después con el Titanium Backup eliminar la aplicación Mysterius o cualquiera otra que os haya detectado el Kaspersky.
Antes de eliminarla me fui a mi gestor de aplicaciones y borre los datos, borre la cache y force la detencion de la aplicación por si acaso.



- Y en sexto lugar, descargarse la aplicación Nova Launcher https://play.google.com/store/apps/d...launcher&hl=es también tenéis el Solo Launcher muy recomendado en el foro.
Una vez instalado el nuevo launcher, con el Titanium Backup congelaremos el Trebuchet.

Es recomendable una vez os hayáis descargado las aplicaciones necesarias y antes de empezar con la desinfección, quitar la conexión de datos y wifi, para evitar que se pueda volver a instalar algún programa malicioso durante el proceso.

Espero que esto os sirva como a mi, aunque recomiendo como dicen los gurus del foro cambiar a una custom rom actualizada y quitarse de problemas.

Un saludo a todos

[Warrio_10]

Hola a todos.
Os voy a comentar mi solución y mi experiencia con la maldita aplicación recents y la continua publicidad que me salía;
Tras borrar numerosas veces la aplicación Recents, esta volvía a parecer cada dos por tres. Después de leer en este foro lo de borrar el archivo malposed.apk , la aplicación no volvió a aparecer, pero si la publicidad y los orígenes desconocidos se activaban solos.

(Antes de nada, aclarar que tengo la Rom stock que me trajo el móvil, el cual compré por Aliexpress, un jiayu S3 ADVANCED)

Cansado de esta situación me dispuse a hacer lo siguiente;

Desde hace unos meses tengo instalado la aplicación Greenify (https://play.google.com/store/apps/d...sfeng.greenify) , la cual me fuerza la detención de todas las aplicaciones que yo elija, y ayuda a ahorrar mucha batería. El caso es que con esta aplicación comprobé que el navegador que la rom me trae por defecto se iniciaba cada dos por tres sin que yo la usase, ya que yo uso Google Chrome, lo cual me mosqueó bastante.

Lo primero que hice fue descargar el Nova launcher que todos recomendáis, y una vez que lo tenía instalado, descargué esta aplicación Root Unistaller,( https://play.google.com/store/apps/d...ler.free&hl=es ) para congelar la aplicación del Navegador, que tanto me mosqueaba, como alguna que otra aplicación que yo no uso para nada.
Hecho esto, lo siguiente que hice fui ir a las aplicaciones y borrar los datos y el caché, tanto del Trebuchet como del Google Play.

Para finalizar, volví a hacer como predeterminado el launcher de Trebuchet y borré el Nova launcher, y por el momento, después de una semana de prueba, 0 publicidad y 0 recents.

Disculpad si cometía algún error, es la primera vez que hago un comentario por aquí.

Un saludo a todos.

[symbios]

Hola, os comento mi problema. Ya he pasado por el tema de "erase" y "recent" cosa que conseguí solucionar con adfree. Ahora me pasa algo distinto, cada vez que salgo y entro de una aplicación o desbloqueo el terminal me salta una ventana de Google Chrome (me lleva a la web makarena.xyz/adnetworkperformance/appsflyers/groupalia,etc..). A su vez, me parecen ventanas de publicidad. En esta ocasión ni con los antivirus que nombráis por aquí ni con adfree he logrado solucionar nada. Saludos

[ronchamps]

Hola a todos.
Agradezco enormemente el hecho de exponer aquí vuestros problemas con el Jiayu S3 que yo también he tenido. He resuelto el problema de las invasiones de las apk y modificaciones del sistema mediante vuestra ayuda. Descargué Fx Explorer y Nova launcher. Quité el Trebuchet. Borré el Recent, el com.android.fallen.apk y el data_gospel. Hasta ahora sin problemas.

[CorocoTING]

 Cita: Originalmente Escrito por Invitado4

Hola CorocoTING,

Hago lo que propones con el Titanium Backup i cuando se apaga el móbil para reiniciarse, me aparece el Recovery TWRP con un menú (Install, Wipe, Backup, Restore, Mount, Settings, Advance y Reboot) y no sé como debo proceder, porque le doy a Reboot System y no desinstala el Trebuchet de los cxxxxx.
Gracias!

Hola, perdona pero no te vi. Veo que no sabes mucho de Titanium backup. Debes dar a la pestaña del medio "Copiar/Restaurar", ahí te aparecen todos los procesos y aplicaciones por orden alfabético. Busca lo que quiere quitar o congelar y seleccionas tocando encima.

Espero que te sirva.

Salu2

[juancar.rp]

Aquí os dejo mi experiencia y solución al problema con mi s3 avance:
1. Congelar con la app link2sd las apps, system/priv-app/ velvet, B0LbzogZTy. En system/app/ locationEM2. Y no estoy muy seguro con esta pero por si acaso la deje congelada system/priv-app/factorymode (el nombre que aparece de la apk es en letras asiáticas y no me fío mucho de todo lo que hace)
2. Con la apk de recents en data/app/ lo mismo, congelar y no borrar.
3. Borrar datos y caches de todo lo bloqueado.
4. Descargar e instalar otro launcher, en mi caso el novalauncher, activarlo por defecto.
5. Congelar el launcher nativo en system/priv-app/launcher3.apk
6. Borrar datos y cache del launcher congelado.
7. Si se desea borrar las carpetas "raras" creadas por los programas maliciosos (las que se comentan en este post)
8. Listo, después de estar con propagandas y programas que se instalaban solos durante 2 meses después de esto ya llevo 25 días sin problemas.
Espero que sea de ayuda.

[paco21]

Yo no tengo mucha idea de móviles, de roms y prácticamente de nada. El jodido recents me apareció. Todos los días en el móvil me aparecían iconos de la nada. Lo único que hice fue bajar otro launcher,en mi caso el nova, borrar el caché de trebuchet, seleccionarlo nova por defecto y de momento llevo una semana sin porquerías.