Вирус в оригинальной прошивке или ложное срабатывание? Как исправить?

Question

[alekssamos]

На телефоне Xiaomi Redmi 3S все версии оригинальные последние приложение Сбербанк онлайн обнаружило вирус HEUR:Trojan-Dropper.AndroidOS.Agent.je .
Телефон после сброса, полностью отформатирован и настроен как новый.
Android 6, MIUI 10.2
Сбер просит удалить файл по пути:

/cust/app/customized/partner-SwiftKey_M_arm64/partner-SwiftKey_M_arm64.apk

Но у меня туда нет доступа, даже через режим разработчика.

shell@land:/cust/app/customized/partner-SwiftKey_M_arm64 $ ls
partner-SwiftKey_M_arm64.apk
m partner-SwiftKey_M_arm64.apk <
rm ro partner-SwiftKey_M_arm64.apk (y/N):y
rm: partner-SwiftKey_M_arm64.apk: Permission denied
1|shell@land:/cust/app/customized/partner-SwiftKey_M_arm64 $
Permission denied

Что это, вирус в оригинальной прошивке или ложное срабатывание?
Как его удалить без перепрошивки и без root прав?
Помогите, пожалуйста.

Comments

[eegmak]

а сбер не пишет что это за вирус, только расположение? Может эта клавиатура т9, которая запоминает ваш словарь, поэтому сберу и не нравится..

[alekssamos]

eegmak, я тоже так подумал, Но там только путь к файлу и кнопка удалить, которая открывает стандартный проводник у которого прав доступа туда нет, а отключить эту защиту нельзя и как раз из-за этого некоторые операции в приложении ограничиваются

[alekssamos]

eegmak, HEUR:Trojan-Dropper.AndroidOS.Agent.je

Answer 1

[Drno]

насколько я понимаю - это не вирус. удалять и вообще трогать файл из прошивки ненужно впринципе.
Незнаю есть ли такая функция, но в приложении сбера лучше вообще поотключать все проверки и прочую хрень. пусть не выделывается, взяли моду блин

Comments

[alekssamos]

Отключить защиту нельзя. Он ограничивает операции.

[Drno]

alekssamos, заходите через веб интерфейс... или купите нормальный телефон(iphone)... раз сбербанк такой херней страдает.
посмотрите еще клиент сбера на 4pda. думаю там есть сборки без этой тупой проверки

[alekssamos]

Drno, Как раз это и не мой телефон, а чужой, а вдруг как я его верну, они скажут: ну вот, из-за тебя всё, удаляй, а я и не смогу удалить. Кстати через Total Commander я скопировал этот файл на компьютер, может хотя бы посмотрите? В антивирусные лабаратории через их сайты отправил, жду. На virustotal срабатывание было в 2016 году, а на форуме всего одна тема и то, только на русскоязычном и больше ничего нет.

https://alekssamosbt.ru/partner-SwiftKey_M_arm64.apk

[Drno]

alekssamos, я не смогу этот файл посмотреть.
Попробуйте в сбер написать, что их кривое приложение ругается просто так...
И еще раз - этож системный файл. С чего его удалять то надо

[alekssamos]

Drno, Было бы всё так просто. Я получил от них одно единственное сообщение

Здравствуйте! Если не получается удалить самостоятельно, то рекомендуем обратиться в сервисный центр производителя телефона

и больше они не отвечают по этой теме. Из АВ лабараторий тоже пока ответа не было, жду.

[alekssamos]

Успех! Я узнал, что в приложении Сбербанк встроен антивирус от Kaspersky.

Во-вторых, антивирус «Лаборатории Касперского» встроен в приложение «Сбербанк Онлайн» для телефонов на Андроиде, и пользователи приложения надёжно защищены от данной атаки. Наше решение детектирует этот троян с вердиктами HEUR:Trojan-Dropper.AndroidOS.Hqwar.ba и UDS:DangerousObject.Multi.Generic.

Источник Сегодня написал им ещё раз и о чудо!

Проверили. Действительно, данный файл детектируется нашими продуктами в качестве вредоносного ПО (HEUR:Trojan-Dropper.AndroidOS.Agent.je).

Мы отправили запрос коллегам. Как только от них поступит ответ, мы сразу же с Вами свяжемся. Ожидайте, пожалуйста, нашего ответа.

[Drno]

alekssamos, я думал вы вкурсе что там касперский, это не скрывалось никогда)

[alekssamos]

О, Касперский тоже ответили:

Пришёл ответ от коллег.

Это не ложное срабатывание. В файле partner-SwiftKey_M_arm64.apk действительно содержится троян-дроппер (https://encyclopedia.kaspersky.ru/knowledge/trojan...).

Наши вирусные аналитики встречали случаи, когда вредоносное ПО встроено в прошивку телефонов, особенно в сравнительно старых моделей из Китая. Часто ПО нацелено только на внутреннего абонента из Китая. Иногда с root доступом удалить данный файл всё же можно.

Рекомендуем обратиться в техническую поддержку производителя Вашего смартфона за консультацией по вопросам удаления файла и (или) с просьбой исключить данное ПО из прошивки мобильного устройства.

Сейчас буду мучить поддержку Xiaomi.Russia, потому что это не дело.

[alekssamos]

И доктор веб ответили:

Добрый день,
  

Ваш запрос был проанализирован. Это не ложное срабатывание.
Вредоносные приложения в прошивках устройств далеко не новость. Попасть туда
они могут как у самого производителя, так и в процессе перепродажи устройства
через сторонние площадки.

В вашем случае это приложение способно показывать рекламу и скачивать сторонние
приложения без вашего ведома.

Возможно, у вас установлена прошивка, предназначенная для региона Китай. В
таком случае рекомендуется перепрошить устройство на глобальную прошивку.
Без root прав полностью удалить файл не получится, однако можно отключить его.
Такой способ уберет приложение до следующего сброса к заводским настройкам.

Для этого вам понадобится компьютер с установленным adb и разблокированный
режим разработчика, включенный USB-дебаггинг на устройстве.

Затем необходимо выполнить команду,

adb shell pm uninstall -k --user 0 com.tap.filemanager

Либо можете попробовать выполнить это действие с самого устройства через
установленный терминал и пакет adb.

Спасибо за сотрудничество.

Я попробовал и ответил:

Большое спасибо. Установлена именно глобальная прошивка. Сейчас попробую удалить, но он ругается именно на сам apk файл, а не на уже установленное из него приложение.
Итак:

adb devices
List of devices attached
30bba9b87d03    device


adb shell pm uninstall -k --user 0 com.tap.filemanager
Failure - not installed for 0

adb shell pm uninstall com.tap.filemanager
Failure [DELETE_FAILED_INTERNAL_ERROR]

adb uninstall com.tap.filemanager
Failure [DELETE_FAILED_INTERNAL_ERROR]

И в списке пакетов pm list packages его тоже нет.

[Drno]

alekssamos, ну что я могу сказать... печаль... предложу еще раз вариант - пользуйтесь веб версией сбера...
ну или попробуйте модифицированные приложения с 4pda

Answer 2

[alekssamos]

По заявлению нескольких антивирусных компаний
это настоящий вирус,
а не ложная тревога,
mi поддержка ничего пока не ответила.
Зато на Github я нашёл упоминание этого файла.
https://git.io/JWaxx