グロウ・フィールドのちょっと寄り道が、ここに帰ってきました。

url_kinsi_onegai03.jpg
Chuwi Vi8 が、マルウエアに浸食されている。
2016-10-11 Tue 20:00
Chuwi Vi8 が、マルウエアに浸食されている。

1506_chuwi_vi8_02_logo01.jpg

半年以上前から頻繁に出現。
中華タブレットのChuwi Vi8には中華アプリが最初からインストールされています。
これらのアプリは全てアンインストール可能だったので全て削除し見た目は良かったです。

振り返ってみると、当方が所有していた中華タブレットはカスタムファームが主だったので
中華アプリをファームウェアの段階から削除して使用していました。
Chuwi Vi8は、Dual OSということもあり、ファームウェアの改造は行なっていませんでした。

いつ頃か異変に気がついたかは覚えていませんが、今年に入って暫くしてからだと思います。
最初の症状は、アプリを開こうとすると本来のアプリの前に広告のホップアップが出た。
アプリの広告かな?と思っていたのですが中国語の広告なので???と感じてきました。

アプリの項目をチョックすると「2048」という見知らぬアプリが存在していました。
1610_vi8_virus_21m.jpg
気持ちが悪いのでアンインストールしたところ、広告のホップアップは消えました。
1610_vi8_virus_22m.jpg

次の事象は、ブラウザを開くと最初のページに「Navigation Home Page」というサイトが
表示される。
どのブラウザを使用しても同様でした。
1610_vi8_virus_31m.jpg
これもブラウザと連動して動作するアプリであると考えられダウンリードアプリ一覧を見ると
「Settings」というICS時代の設定アイコンと同じ怪しいアプリが存在。
(この段階では、ドロイド君のアイコンですが、発見当初は四角い設定のアイコンと同じだった)
1610_vi8_virus_32m.jpg
これも気持ちが悪いのでアンインストールしたところ、ブラウザは正常になりました。
1610_vi8_virus_33m.jpg

さらに、通知バーに広告が表示される事象も出ています。
その広告を長押ししアプリ情報を確認すると、「OnlineUpdete」 という名称でした。
このアプリはアンインストールできないアプリです。
1610_vi8_virus_41m.jpg

しかし、2週間程度経過するとまた同一の症状が現れアンインストールしたアプリが
再びこの世に現れて存在していました。
こんな対応のやりとりが暫く続いたので調査に入りウイルスソフトのAVGを試しました。

1610_vi8_virus_51m.jpg

AVG AnriVirus を使用しタブレット内のファイルをスキャン。
「2048」,「Settings」のアプリが存在する状態でスキャンを実施。
1610_vi8_virus_52m.jpg   1610_vi8_virus_53m.jpg
3つの怪しいマルウエアを検出。
全て上記の物でした。

AVG Free版ので、駆除方法はアンインストールのみです。
「2048」,「Settings」をAVGでアンインストールしても暫くは何事もないのですが、
その後また異常症状が現れ、アプリ一覧に再び存在します。

マルウエアに強いと評判の「Anti-virus Dr.Web」の Light版を導入しチェック。

1610_vi8_virus_61m.jpg

Anti-virus Dr.Web を使用しタブレット内のファイルをスキャン。
「2048」,「Settings」のアプリが存在しない状態でスキャンを実施。
1610_vi8_virus_62m.jpg   1610_vi8_virus_63m.jpg
フルスキャンすると2つのファイルが引っかかりました。
Android.Spy.123.origin
/system/rreinstall/tengxunshiping.apk
Android.DownLoader.222.origin
/system/priv-app/XFota.noicon.9106.apk

ファイラーでチェックすると、
1610_vi8_virus_64m.jpg   1610_vi8_virus_65m.jpg
tengxunshiping.apk , XFota.noicon.9106.apk 共に日付が 2015/04/24 で
他のアプリと同じで最初から進入していたと推測されます。
tengxunshiping.apk は中華アプリの未インストールのフォルダ内に存在している。
ファームウェアに入っていたということか?

「OnlineUpdete」アプリの元ファイル名を調べるために、Root App Deleter を使用しチェック。

1610_vi8_virus_71m.jpg

Root App Deleter を起動。
1610_vi8_virus_72m.jpg  1610_vi8_virus_73m.jpg  1610_vi8_virus_74m.jpg
Syatem Apps を選択。
ジュニアモードを選択。
1610_vi8_virus_75m.jpg  1610_vi8_virus_76m.jpg  1610_vi8_virus_77m.jpg
Online Update を探します。
Online Update をタップするとファイルの所在がわかります。

アプリ名からリンクを確認すると、XFota.noicon.9106.apk でした。
どうやら、全ての悪の原因は、
アプリ名:「OnlineUpdete」
ファイル名 : XFota.noicon.9106.apk のようです。

ファイル名 の XFota.noicon.9106.apk でググるといろいろと出てきますね。
無効にするだけで良いかなと考えましたが、削除することにしました。

ESエクスプローラを使用し、該当のファイルを削除します。
tengxunshiping.apk の削除。
1610_vi8_virus_81m.jpg  1610_vi8_virus_82m.jpg  1610_vi8_virus_83m.jpg

XFota.noicon.9106.apk の削除。
1610_vi8_virus_84m.jpg  1610_vi8_virus_85m.jpg  1610_vi8_virus_86m.jpg
怪しかった、2つのファイルを削除しました。

再び、「Anti-virus Dr.Web」でスキャンします。
1610_vi8_virus_91m.jpg   1610_vi8_virus_92m.jpg
「脅威は検出されませんでした」となり、一件落着。

ちょっと、いろいろと遠回りをしてしまった感はありますが、
中華タブレットにはいろいろな脅威が潜んでいますね。
Androidはセキュリティーに関してちょっと疎かにしていましたが、
今回の件を踏まえ、セキュリティー対策の重要性を痛感しました。
でも、最初からマルウェアが入っていると対策も何も関係ないか?

別窓 | Chuwi Vi8 | コメント:4 | トラックバック:0 |
<<Xperia Z1 及び、Z1f のバッテリー性能チェック。 | ちょっと寄り道 AGAIN (仮) | 3DS用 Homebrew launcher の導入。 (その3)>>
この記事のコメント
[]
お久しぶりです。
ひさびさにお邪魔してみたら同じような状況にw
私も昨年、XFota.noicon.9106.apkにヤラれてましたー
前からアンチウィルスソフト(私はMalwarebytes使ってます)で
OnlineUpdeteには気が付いていましたが”アップデートアプリなら
仕方ないよね?”とスルーしてたんですよ、迂闊でした…汗
ただマルウェアなのは間違いないですが実際どういう害があるのか
ググってもよくわからなかったので気持ち悪いです。
現在はカスROMのCW1506+Xposedを入れてサブ機としてたまに
使ってますw
2017-01-26 Thu 15:48 | URL | kz #-[内容変更]
[kzさん]
こんばんは、お久しぶりです。

>私も昨年、XFota.noicon.9106.apkにヤラれてましたー
購入当初は全く問題なかったのですが時限爆弾のように現れました。
すべての悪の根源でしたね。

>現在はカスROMのCW1506
TWRPを探したときから気になっていたのですが、ダウンロードサイトが何か怪しい??
と躊躇し入手にいたっていませんでした。
ストックROMの改変版のだったと思うのですが、ベースのROMのビルドはいくつですか?

>サブ機としてたまに使ってますw
私の場合はまだまだ現役です。
購入して1年半以上立ちますがWiFiがたまに応答しなくなる事がありますが順調です。
私が入手した中華タブとしては当たりの部類ですね。
2017-01-26 Thu 21:31 | URL | グロウ・フィールド #EBUSheBA[内容変更]
[]
こんばんはー。

>ダウンロードサイトが怪しい
私はneedromから頂きましたけどここ怪しかったです?汗
確かに作者も知らないし安全な保障はありませんがストックがアレだったのでどっちもどっちかなぁとw
仰る通りストックを手直ししただけのものですがスリープからの復帰が早かったり等々ちょこちょこ改善されてるところがあって気に入って使っています。Xposedも動きますし。(ストックでも動くのかもしれませんが)
ビルドは I86_I861B1L2C.1412016.20150123.181923 でした、最新では無さそうですね。

>当たりの部類
ですね、私も大きな不具合もなく使えています。電源スイッチが渋くなってきたぐらいかな。
これでLollipopあたりが使えたらまだまだ現役で使えるのですが…。
古いTabといえば私もNexus7(2012)持っていますw
グロウさん同様ロリポで激重になり使い物にならなくなりましたが現在は、
PureNexus6.0.1+ParrotMod+TRIM でそこそこ使えるようになったのでこちらもたまに使ってます。
もちろんCM11が最もサクサクだと思うのでそれには及びませんが許容範囲内でMarshmallowが使えるのでまあいいか、ってカンジですw
2017-01-26 Thu 23:56 | URL | kz #-[内容変更]
[kzさん]
こんばんは、

>私はneedromから頂きましたけど
再度探してみたら、needromでした。
登録しなければ入手出来なかったので当時躊躇したようです。
kzさんは大丈夫なようなのでウイルス感染はしないと判断し登録しようかな?

>これでLollipopあたりが使えたらまだまだ現役で使えるのですが…。
私もMOMO8WのAndroid5.1を導入を検討したのですが....なかなか進んでいません。

>Nexus7(2012)
Googleさんに見放されてしまったので、これからは玄人さんに期待です。

最近魅力的なタブが登場していないので、暫くはVi8で色々チャレンジしたいです。
2017-01-27 Fri 21:27 | URL | グロウ・フィールド #EBUSheBA[内容変更]
コメントの投稿
 

管理者だけに閲覧
 

この記事のトラックバック
トラックバックURL

FC2ブログユーザー専用トラックバックURLはこちら


| ちょっと寄り道 AGAIN (仮) |