Page internet novelcamp.net intempestive sur mon smartphone

[77Véro]

Bonjour à tous,

Depuis peu, j'ai une publicité intempestive qui se lance aux lancements d'applications / lancement de mon navigateur sur mon téléphone portable.

Il s'agit d'une page internet qui se lance et qui est : "

S'il vous plaît, Connexion ou S'inscrire pour voir le contenu ou les urls !

"

J'ai commencé à télécharger un antivirus, puis 2, puis 3, puis 4, etc... des anti virus, des anti trojan, des anti malware, bref tout un tas d'applications censées éradiquer ce machin (en fait, j'ai du essayer quasi toutes les applis du Playstore), lesquelles n'ont rien trouvé. Pourtant cette page continue de s'afficher.

J'ai remplacé Chrome (installé) par Brave.
Toujours le même résultat.

J'ai bien sur systématiquement et avec chacune des ces applications supprimer le cache, les fichiers résiduels, ...

Avant la remise à zéro, et parce que c'est embêtant, et parce que je risque à nouveau de retélecharger la même application qui me lance cette page internet à tout bout de champs, j'aimerai comprendre d'où ca peut venir.

J'ai donc installé virustotal pour android.
Il m'a trouvé une application avec la mention "infected" (BeautySnap) installed by system. Comme je ne peux la désinstaller, j'ai forcé l'arrêt et puis désactivée puis j'ai procédé à la suppression du cache.
Il m'a trouvé d'autres applications avec la mention "Clean" mais avec tout de meme => detected : 1
Il s'agit des applications pré-intallées ( Atci service, Mise à jour, Shell, SimProcessor, Stockage tel et sms/mms, com.android.cts.stsshim, com.android.cts.priv.stsshim).
Il s'agit soit de PUP.HighConfidence, soit Android.Malware.Géneral ou Android.DownLoader.3737
Bon, celles-ci, bien évidemment : indésinstallables ...

Concernant les applis issues du PlayStore, il m'en a trouvé 5 avec la mention "clean" mais avec un PUP.HighConfidence.
Il s'git de APK Extractor (Faitaujapon ), Méteo XL(Exovoid), Piktures (Diune), Solitaire (Microsoft), Trilus icone pack (Memscape)
J'ai donc pour chacune de ces applications effectuer : forcer l'arrêt - désinstallation - suppression du cache des applications (via le gestionnaire Android).

Ce qui n'a servi à rien puisque cette page internet a continué de se lancer (soit aux lancements d'app, soit au lancement de Brave-navigateur).

J'ai cherché sur internet un peu plus longuement et je suis tombée sur :

S'il vous plaît, Connexion ou S'inscrire pour voir le contenu ou les urls !

qui indique que l'url est hébergée sur Amazon WS - service de cloud computing

et

S'il vous plaît, Connexion ou S'inscrire pour voir le contenu ou les urls !

qui indique un fichier "Potentially Suspicious files : 1"
Il s'agit de cdnjs.cloudflare.com/ajax/libs/Swiper/4.4.1/js/swiper.min.js

Enfin !! Il y a un site, au moins 1 qui constate que ce fichier est suspicieux. Potentiellement suspicieux du moins.

Arrivée à ce niveau, je crains de ne plus comprendre grand chose. Qu'est ce que vient faire cdnjs.cloudfare.com dans une application android qui lancerait une page internet non voulue et intempestivement ?

D'autres idées pour éradiquer la chose avant un hard reset ?
Comment savoir si telle ou telle application pourrait contenir ce fichier (préinstallée ou non) ?

Merci d'avance et bonne après midi

Edit : je viens de m'apercevoir que j'ai posté au mauvais endroit ...
Un modérateur gentil pour le déplacer dans le bon forum ? Merci, merci

 

[Texas2607]

Salut,
Cela vient certainement d'une appli que tu as installé.

Depuis peu, j'ai une publicité intempestive qui se lance

Quelle appli as-tu installé quand la pub est apparue?

 

[77Véro]

Bonsoir texas2607

A ce moment-là, j'avais téléchargé facebook lite (que j'ai desinstallé depuis, après tout un navigateur c'est tout aussi bien, moins lourd, et ca tourne pas en arrière plan), Amazon (j'avais passé une commande puis lorsque je l'ai reçue j'ai désinstallé) et enfin AliExpress qui tourne toujours (c'est sur ce site que j'avais acheté il y a 1 an et demi une batterie qui a duré 1 an et demi et j'ai repassé 3 commandes donc je garde l'appli jusqu'à la livraison).

J'ai changé depuis de smartphone et toutes les applications sur celui-ci sont exactement les mêmes que j'avais sur l'ancien (et je viens de faire le compte, avec AliExpress, cela n'en fait qu'une de plus).

D'après Virustotal, AliExpress est "clean" (0/59).

Je n'ai jamais eu de problèmes de ce type avec l'ancien téléphone et les mêmes applications (il fonctionne encore mais j'avais envie de changer).
L'ancien était un téléphone chinois, de marque Homtom, le tout récent également.

Merci pour ton aide, si tu as d'autres questions, elles sont les bienvenues, j'aimerais bien trouvé une solution

 

[Tchitchi]

Même problème chez moi. Je n'ai rien installé de neuf depuis fort longtemps. Donc, je suppose que c'est une mise à jour d'une appli du PlayStore qui a provoqué le problème, mais laquelle ??
Si quelqu'un a une piste....

 

[77Véro]

Bonjour

Je serai tentée de dire "chouette, je ne suis pas seule", mais ce ne serait pas sympa.

J'ai cherché d'autres pistes, je voudrais vraiment arriver à cerner le problème. Pas envie de devoir remettre le téléphone à zero et que cette page intempestive revienne ...

J'ai téléchargé une apk sur Fdroid qui s'intitule DNS Filter.

S'il vous plaît, Connexion ou S'inscrire pour voir le contenu ou les urls !

Bon, elle est sympatoche. Les quelques applications installées gratuites avec publicités ne lancent plus les publicités.
On va dire qu'au moins c'est déjà ça.
Mais cela n'a pas "viré" cette page qui se lance, même en rentrant l'adresse internet.
Je dis "déjà ça" parce qu'à défaut de bloquer cette publicité largement intrusive, je n'ai pas les autres publicités des autres applis.
Et franchement je trouve cela dommage pour les développeurs, certains sont des petits indépendants et avec ce genre d'application, je ne pense pas qu'ils perçoivent une rétribution au titre de la publicité. Mais trop c'est trop ... Et c'est dommage de la part de Google de ne pas filtrer les applications avec des publicités aussi intrusives, parce que quelque part, cela force la main à devoir chercher des solutions alternatives qui plombent les petits développeurs.

Enfin bref, Je vais voir si en rentrant l'adresse du serveur ip de cette page, le blocage s'effectue.

++

 

[Tchitchi]

Merci de me tenir au courant afin de savoir si le blocage de l'adresse ip bloque la page où pas.
Sinon, peut être qu'en renseignant l'ip concernée dans le fichier hosts...

 

[Tchitchi]

Bon, je viens de rajouter la redirection dans le fichier hosts. Je vais voir si ça change quelque chose.

 

[77Véro]

Bonjour

Je n'ai toujours pas trouvé d'autres solutions à part avoir installé l'application dont je parlais plus haut. La pop up se lance toujours mais elle est bloquée et n'affiche pas de contenu.

Beaucoup d'autres utilisateurs sont touchés.
Un dev de chez Malwerbytes tente de trouver une solution, un correctif va bientôt voir le jour :
"Un rapide coup d'œil dans les pages révèle une utilisation fréquente des API Batmobi. "

S'il vous plaît, Connexion ou S'inscrire pour voir le contenu ou les urls !

Et d'autres utilisateurs également, avec chacun leur méthode :

https://www.reddit.com/r/GalaxyS9/comments/ai98c0

Affaire donc à suivre ...

 

[Tchitchi]

Bon, merci pour votre partage de lien qui m'ont permis, à priori (à confirmer dans le temps), de trouver le coupable.
Il s'agissait d'un logiciel purement Samsung, ce qui explique que le problème soit survenu alors que je n'avais rien installé de nouveau. En effet, ce logiciel se met à jour tout seul, sans passer par le Google Play.
Il a été mis à jour chez moi le 11/02/2019, ce qui correspond à la période où j'ai commencé à être embêté par le malware.

Le logiciel incriminé est "Maintenance de l'appareil".

J'ai désactivé le logiciel en question, et, pour la première fois, je n'ai pas eu de manifestation du virus après des mises à jour de logiciels depuis hier.

Voilà, si ça peut vous aider...