Tema Uistore viene con troyano

[fortizvi]

Hola compañeros... pues no sé, es muy raro lo que me pasa...
El tema es que estoy usando el Uistore de Launcher y... curiosamente me ha aparecido unas notificaciones de instalación de Lazada y otros en la carpeta de Download de la SD externa... dicho esto, me voy al chrome y me sale un buscador de inicio del navegador llamado www.lmuch.com/?channel=12007
Lo mismo me pasa con el navegador propio de Android, es decir, siempre me mete esa página de inicio.

En cambio, si me voy al launcher de Android, voy a chrome y al navegador y nada, no hay rastro de ese enlace... he formateado ya tres veces... y me aparece al cabo de las horas... es decir, no es al momento de formatearlo.

Al resto de gente, os pasa lo mismo? es decir, es algo propiamente del launcher que él mismo te mete como "publicidad" ese enlace?

Gracias y a vuestra espera.

[guesp]

Lo que debes hacer nada más formatear el teléfono es borrar las dos apps de Ulefone la de tema benko y fondos de pantalla de uistore.
A mi novia y mi hermano le pasaba lo de las notificaciones y le desinstale esas apps del tirón, yo pregunte aquí hace unos días y las borre. Se podía desactivar las notificaciones de esas app pero no recuerdo donde.

Enviado desde mi Paris mediante Tapatalk

[fortizvi]

 Cita: Originalmente Escrito por guesp

Lo que debes hacer nada más formatear el teléfono es borrar las dos apps de Ulefone la de tema benko y fondos de pantalla de uistore.
A mi novia y mi hermano le pasaba lo de las notificaciones y le desinstale esas apps del tirón, yo pregunte aquí hace unos días y las borre. Se podía desactivar las notificaciones de esas app pero no recuerdo donde.

Enviado desde mi Paris mediante Tapatalk

Ostras!! entonces es el propio Launcher!!! madre mía... llevo dos días con esto... me dedico además a la seguridad... y no hay manera de sacarlo...
Pero... qué es lo que provoca que salga ese enlace? es decir, dices que hay dos apps, cuales son?
Gracias de verdad

[guesp]

Las he puesto

Enviado desde mi Paris mediante Tapatalk

[fortizvi]

Chicos... me temo que todos y digo TODOS, tenemos metido este troyano en nuestro móvil:
https://www.virustotal.com/es/file/d...is/1455962531

Mirar de hacerle un escaneo con Malwarebytes para android, y probarme, por favor, si os sale el siguiente malware:

• Android/PUP.Adware.Ewind.mb

Ya decís chicos/as.

[Tsuna40]

 Cita: Originalmente Escrito por fortizvi

Hola compañeros... pues no sé, es muy raro lo que me pasa...
El tema es que estoy usando el Uistore de Launcher y... curiosamente me ha aparecido unas notificaciones de instalación de Lazada y otros en la carpeta de Download de la SD externa... dicho esto, me voy al chrome y me sale un buscador de inicio del navegador llamado www.lmuch.com/?channel=12007
Lo mismo me pasa con el navegador propio de Android, es decir, siempre me mete esa página de inicio.

En cambio, si me voy al launcher de Android, voy a chrome y al navegador y nada, no hay rastro de ese enlace... he formateado ya tres veces... y me aparece al cabo de las horas... es decir, no es al momento de formatearlo.

Al resto de gente, os pasa lo mismo? es decir, es algo propiamente del launcher que él mismo te mete como "publicidad" ese enlace?

Gracias y a vuestra espera.

Hola:
Me registre para ver si os podia echar una mano con este adware.

Mi esposa tiene el Ulefone Paris y empezo a llevarla a esa dichosa pagina de www.lmuch.com/?channel=12007
Mejor nadie pinche el link para que esa web no mejore sus estadisticas.

Yo probe de todo y fracasaba totalmente no habia manera de borrar Android/PUP.Adware.Ewind.mb ningun antivirus ni antimalware era capaz de borrarlo y me contaminaba el Chrome y el navegador nativo. Ademas no se puede eliminar porque forma parte del sistema operativo nativo del movil Ulefone Paris.

La primera solucion es usar un navegador que no le afecte.
Probe el CM Browser disponible en la Play Store muy ligero solo por los dos megas proteccion navegar de incognito va muy bien y interpreta muy bien el html de todas las website. Este navegador es de los mismos gestionan la app Clear Master.

La segunda opcion os la explico:
Yo tengo ubicado el Android/PUP.Adware.Ewind.mb (Malware) en la aplicacion nativa (no se puede desistalar ni los antivirus la pueden borrar si no te haces root) Search Service. Hay que acceder a Administrar aplicaciones, buscarla darle click a Search Service, se abrira. Forzais detencion. >Deshabilitar (te dira si quieres dejar la aplicacion como venia de fabrica desistalando las actualizaciones, le dices que SI, desistala y te da la opcion de INHABILITAR la inhabilitas. (No pasa nada) ademas la puedes volver a habilitar cuando quieras.

Reinicias el movil, (asi lo hice yo) pero la dichosa pagina web que jode sigue saliendo. NO ya en el Chrome pero en el navegador por defecto si lo hacia, y no podia colocarle una pagina en blanco.

La unica solucion que tuve (no se si la tendereis vosotros este movil tiene una funda que sale un reloj al cerrarla en la ventana y te cierra los programas) fue ir al navegador escribir mi pagina favorita en busqueda en mi caso le puse www.marca.com y caergarla. Pero se puede poner cualquiera. Y ojo ahora si le das atras atras te vuelve a salir la del malware.
CERRAR LA FUNDA QUE CIERRA AL MISMO TIEMPO EL NAVEGADOR y se queda la pagina que pusistes.
Y ya para mi se acabo el problema.
He iniciado muchas vece y no vuelve a salir la dichosa pagina.....

Espero os funciones ya comentareis.

Saludos a todos.
Tsuna40

[gmm_65]

No me funciona, el Search Servicea aun aparece en aplicaciones dentro de una pestaña de inhabilitadas, pero no lo puedo desinstalar....

Y sigue saliendo la dichosa pagina...

[fortizvi]

Chicos lo de la página tiene solución! OS vais a la aplicación de fondos escritorio ulefone esa y en datos eliminarlos!!! Veréis como ya no aparece. Ahora después de eso desinstalar benka temas y launcher ulefone

Enviado desde mi Paris mediante Tapatalk

[fortizvi]

Hola nuevamente. Tsuna40, he realizado lo que comentas y ok la he inhabilitado. Lo que mi curiosidad me ha hecho restaurar el móvil y dejar puesto el launcher (que mola mucho) y realizar tus acciones de deshabilitar. Ahora a las 21:20 él sólo como siempre hace descarga en la raíz de la Sd la carpeta downloads y dentro mete los archivos siguientes:

_download_png_360SecurityLite_01_name_360SecurityL ite_01&.dat
_download_png_addContact
_cleanMaster
_DreamCamera

Y en la misma raíz lo siguiente:
AddContacts1455999085487.apk.tmp

Podéis comprobar si los tenéis estos archivos en la Sd de escritura?

Enviado desde mi Paris mediante Tapatalk

[Nilhar]

 Cita: Originalmente Escrito por fortizvi

Chicos lo de la página tiene solución! OS vais a la aplicación de fondos escritorio ulefone esa y en datos eliminarlos!!! Veréis como ya no aparece. Ahora después de eso desinstalar benka temas y launcher ulefone

Enviado desde mi Paris mediante Tapatalk

Fortizvi, he buscado en aplicaciones y no encuentro exactamente lo dices...

Como launcher supongo que ¿te refieres a la aplicación Launcher3?


Y como temas, puede ser ¿Live Wallpaper Picker o Theme (son las únicas aplicaciones que tengo instaladas que se le parecen)?

No tengo nada con el nombre de benka...

La que si tengo instalada es la aplicación Search Service (la que está infectada) pero esta ¿verdad que no se puede des-instalar?
Otra cosa, yo no encuentro el Uistore de Launcher.. ¿puede ser que esto se instalara con la última actualización?
Estoy hecho un poco lio o no todos tenemos lo mismo...

[fortizvi]

Hola compañeros, los del servicio técnico de Ulefone me han contestado:
Hello, this problem is caused by a mistake from the developer of U-launcher. We have contact with them and they have fixed it. Please now reset your phone to factory data and it will be gone.
Have a nice day!

Resumiendo: Después del "tocho de análisis" que les envié, asumen que tienen el malware en el U-launcher y que han contactado con los developers que lo hacen y... "supuestamente" dicen que ya lo han fixeado y reseteando el teléfono se arregla (eso no se lo creen ni ellos ejejeej), es por ello, que les he pedido el launcher de Ulefone "fixeado" (a ver si me lo ofrecen) y una vez lo tenga en mis manos ejeje procederé a realizar otro análisis para ver si es correcto el fix, aunque, insisto... el Search Service sigue estando en la versión actual. Podéis confirmarlo los que ayer actualizasteis que viene el Search Service aún?
Gracias y un saludo.

[guesp]

Sigue estando... Que tiene que ver el Search Service con el u-launcher

Enviado desde mi Paris mediante Tapatalk

[fortizvi]

Es el que descarga los archivos en la Sd de escritura...

Enviado desde mi Paris mediante Tapatalk

[antoniose30]

Yo no he visto nunca esos archivos. Hace unos días hice un reset de fábrica, borré el ulauncher y el otro que dicen y no encuentro esos archivos. Desde entonces el móvil va estupendo

Enviado desde mi Paris mediante Tapatalk

[guesp]

Ni yo tpc... A mi nunca me ha descargado nada ...
Dices dnd se meten exactamente??? En la SD dnd...

Enviado desde mi Paris mediante Tapatalk

[fortizvi]

Genial, mirar igualmente si tenéis ese servicio activo... ya que son un total de tres factores:
1- el Ulauncher y tema benka (tiene agujero de seguridad)
2- el search service (tiene otro agujero de seguridad) este es el peor, ya que él mismo hay código dañino que permite la descarga de publicidad y archivos .apk infectados en tu memoria de escritura, no tiene porque aparecer el mismo día... de ahí a que sea silencioso... puede ocurrir en 1 semana, dos días o un mes...
Saludos!

[antoniose30]

Yo los he desinstalado/inhabilitado los 3

Enviado desde mi Paris mediante Tapatalk

[Nilhar]

Después de realizar varias pruebas, yo he llegado a la siguiente conclusión:

1º Efectivamente también tenía en la carpeta downloads los ficheros mencionados en este post.

2º Parece que solo inhabilitando la aplicación search service es suficiente.
Llevo varios días con la aplicación inhabilitada y ni han vuelto a aparecer los dichosos ficheros, ni anuncios molestos en el área de notificación.

Seguiremos probando cambiando otros walkpaper a ver que pasa...

[guesp]

Pues yo tengo el Search Service activado desde siempre nunca he tenido ficheros en la carpeta Downloads.
Desde el primer día de que tengo el teléfono sólo borre las dos apps tema benko y fondos de uistore. Y las borre xq siempre borro las apps del teléfono q vienen de serie del fabricante

Enviado desde mi Paris mediante Tapatalk

[Nilhar]

Ese es el tema, que parece que el troyano solo se activa si están las 3 aplicaciones mencionadas funcionando a la vez y aleatoria-mente.
De todas formas, si escaneas tu móvil con el malwareantibytes te informará que el search service que tienes puesto está infectado.