Malware impossible à supprimer polaroïd mid 3710

[sistasanaa]

Bonjour,
J'ai beau chercher une solutions sur internet je ne trouve pas j'espère que vous pourrez m'aider.
J'ai devant moi une polaroïd mid 3710 qui est infecté par 2 malware, qui ne sont détectés que par malwarebytes.. L'antivirus cm sécurity ne les détecte qu'en mettant la tablette en mode sécurisé mais impossible à supprimer. Il semblerait que ce virus à modifié le BIOS puisqu'ils sont toujours la, même après le hard reset. Des applications s'installent toutes seules, comme "netsetting" ou "musicfx".

Voici ce que malwarebytes a trouvé :

Android/trojan.hiddenApp.o
(/system/priv-app/XBKP.apk)

Android/PUP.Riskware.SMSReg.gc
(/system/app/googleprovider.apk)

Que faut-il faire?
Avec ce que j'ai pu lire sur les forum, il semblerait qu'il faut reflasher un BIOS " propre".. Est-ce que les virus seront supprimé définitivement? Si oui, comment dois-je faire? Je ne connais pas la marche à suivre si quelqu'un pourrait m'éclairer svp!

Merci d'avance

 

[Valentin]

Salut,

essaye d'aller dans Paramètres > Confidentialité puis fait une réinitialisation.

 

[sistasanaa]

J'ai déjà essayé, ça ne change rien... Même en faisant "wipe data/factory reset" dans le mode recovery...

 

[Valentin]

Sinon comme tu vois les fichiers affectées avec leur localisation, il te suffit de rooté ta tablette afin de modifier la partie système et de supprimer les deux fichiers situé dans system > app et priv-app.

 

[Anonymous]

Bonjour,

Il est normal qu'un reset usine ne les supprime pas, puisqu'ils sont dans la partition system. Le reset usine ne reformate que la partition data et ne touche pas à la partition system.
Maintenant, des malwares ? ça reste à démontrer. La détection de malware par signature, qui fonctionne très bien sur les .exe de Windows, est beaucoup plus imprécise sur les .apk pour tout un tas de raisons que je ne peux pas expliquer ici, ça nous mènerait trop loin.
En résumé, le taux de fiabilité des anti-virus sous Android est très bas et le taux de faux positifs très élevé.
En première approche je dirais : faux positif
En deuxième je dirais : faut voir
- as-tu rooté la tablette ? ça serait le seul moyen pour un malware de s'installer dans /system/priv-app. Si elle n'est pas rootée, un argument de plus pour le faux positif
- certaines tablettes chinoises (les Polaroid ne sont que des tablettes chinoises génériques rebadgées), en particulier celles basées sur des processeurs A23, sont connues pour avoir été livrées avec du spyware dans le firmware d'origine !!! je n'en ai jamais vu de mes yeux, mais cela a été archi-démontré.
J'ai un modèle très voisin de celle-là, je jetterai un oeil pour savoir si ces deux APK existent et je les extrairai pour les examiner de plus près.

Pas de raison de paniquer ou de s'exciter, l'explication la plus probable est un faux positif ou un petit spyware chinois pas bien méchant comme il y en a bien plus qu'on ne le croit sur nos appareils (il y a un certain temps presque tous les firmwares Mediatek incluaient un petit espion qui envoyait le numéro de tél de la SIM installée à un office gouvernemental chinois...)

Note annexe : ça m'amuse de voir qu'on peut s'inquiéter pour cela alors qu'on utilise sans sourciller des programmes de root chinois (Kingo Root etc.) dont il est plus que probable qu'ils soient bourrés de spyware

EDIT : suite à la réponse de Valentin : ne surtout pas supprimer ces fichiers sans réfléchir avant ! risque de bootloop (surtout avec le GoogleProvider.apk). De toutes façons à moins que la tablette soit rootée ça n'est pas possible.

 

[Valentin]

Merci pour cette belle explication :wink:

 

[sistasanaa]

Merci pour l'explication! Le truc c'est que des applications s'installent toutes seules, je trouve ça abusé, si c'est du faux positif


EDIT :
J'oubliais de préciser que je ne peux pas non plus mettre la tablette à jour..


EDIT :
Voilà ce que j'ai pu trouver sur Google en tappant
android/trojan.hiddenapp.o



Ou encore

S'il vous plaît, Connexion ou S'inscrire pour voir le contenu ou les urls !

 

[Valentin]

Pense à utiliser la fonction éditer afin de modifier ton message et ainsi éviter les multiples posts.

Tu a du installer quelque chose qui installe ces applications.

 

[Anonymous]

...et tu n'as pas répondu à ma question : as-tu rooté la tablette ?
- si oui, ils auraient pu éventuellement s'installer en cours d'utilisation
- si non, faux positif ou spyware "pré-installé" par nos amis chinois.

Je vais creuser, je te reviendrai. D'ici là surtout aucune action irréfléchie, d'autant que les firmwares d'origine ne sont pas dispo pour ces tablettes. On travaille sans filet.

 

[sistasanaa]

Non elle n'est pas rootée, du moins je ne pense pas!
Désolé pour les multiples post je suis nouvelle !
Merci beaucoup pour votre aide !

 

[Anonymous]

Bonsoir,
Me revoilà, je n'avais pas laissé tomber
Dis-moi, ton modèle de MID3710, c'est celle où on peut mettre une carte SIM pour avoir une connexion 3G ou pas ? tu aurais le lien vers le site où tu l'as achetée ?

 

[sistasanaa]

Re: Re : Malware impossible à supprimer polaroïd mid 3710

Oui on peut même mettre 2 cartes sim. Par contre ce n'est pas moi qui l'ai achetée, elle n'est pas à moi. Je l'ai prise pour voir si je pouvais la dépannée. Au départ c'était surtout parce que le talkback était activé et la personne pensait que c'était un bug
Du coup, j'en ai profité pour faire un bon nettoyage avec cm security et malwarebytes car il y en avait besoin... Et c'est là que je suis tombée sur ces 2 saletés qui ne peuvent pas être supprimées.
Je pense que tu as raison, soit c'est du faux positif, soit c'est des spywares dans le firmware d'origine..
J'ai prévenu la personne à qui appartient la tablette. Un root est risqué donc elle préfère récupérer sa tablette tel quel, j'ai simplement ignoré les 2 malwares et elle me dira s'il y a un problème par la suite...
Je te remercie pour ton aide en tout cas... Si tu as confirmation de ce que c'est exactement, n'hésite pas à me le faire savoir quand même ! Ça peut aider le prochain
Je te remercie beaucoup pour ton aide !

 

[Anonymous]

Je pense que c'est une sage décision.
A ce propos je viens de regarder sur ma MID3807 qui est sa petit soeur 7" (même processeur, modèles proches) et je n'ai aucun de ces deux APKs.

 

[sistasanaa]

Je te remercie pour l'info... Je pense que la personne avait dû télécharger une application douteuse qui lui a ramener ce virus dont ils parlent dans les liens que j'ai posté plus haut...

 

[Anonymous]

J'en doute, franchement. Si la tablette n'est pas rootée un malware ne peut pas s'installer dans /system.
Ca sentirait plus le petit spyware chinois d'origine.
Mais peut-être est-elle rootée et tu n'en sais rien ?