Malware Recents Oukitel U8 (ojo: viene preinstalado). En principio, solucionado.

Pulseman

Simdualero de Bronce
Mensajes
32
Puntos
539
EDICIÓN 19-12-15: añado otro paso más para solucionar el problema y esta vez, aparentemente, está arreglado de forma definitiva.

Hola a todos.

Al día siguiente de poner en marcha mi flamante Oukitel U8 empezaron a salirme ventanas de publicidad indiscrimandamente y el móvil se conectaba solo a internet enlazándome a páginas para que descargara programas. Vamos, adware y malware en toda regla. Otra cosa que hacía era marcarme de forma automática la opción de instalar aplicaciones de orígenes desconocidos (para abrirle la puerta a más malware y a programas de orígenes dudosos que se autoinstalaran, evidentemente).

Lo sorprendente es que después de investigar he visto afectados en HTC Mania y en XDA Developers. En HTC Mania además hay afectados con el Oukitel U10 también, y es que en éste por lo visto también viene el mismo virus de serie. El puñetero virus te instala de primeras una app de usuario llamada Recents, que es la que provoca el adware, y que además te duplica el icono de la Play Store, por tanto es una Play Store modificada. Recents es una variante de una app similar más antigua llamada Ease, que afectó desde junio a todo aquel que tuviese un Jiayu S3 (venía en la rom stock y se activó por esas fechas). Pero el método que encontré para Jiayu no servía para el Oukitel U8 ya que en nuestro teléfono se instala en otro sitio diferente.

Lo indignante es que claramente viene en la rom stock desde la propia Oukitel, desde la primera rom stock. Está en una aplicación de sistema (por eso digo que viene integrada) llamada Beauty Makeup, que se encuentra tanto en nuestro U8 como en los U10 (no sé si en algún otro modelo de Oukitel). Esta aplicación sirve para hacerle efectos a los selfies, y en Play Store se puede encontrar su versión legítima, que viene firmada por un tal Gangyun. Es la versión 2.1, de julio... y en nuestros terminales tenemos como app de sistema la versión 8.1 o algo así (no recuerdo con exactitud ya que la eliminé). Está claro que es una versión modificada con el malware dentro... y lo confirmo porque buscando por internet encontré un reporte de AVG diciendo que existen versiones modificadas de esta app con troyano de regalo. Blanco y en botella. Antes de nada, inhabilitad la aplicación en el menú de aplicaciones del móvil. Ahora hay que eliminarla.

EDITO: hay otra App sospechosa más que también está en el origen del problema. Se llama sales.apk, asociada al proceso deadp (cn.dealt.decision). Está en la ruta /system/App, al final de la carpeta. Tiene permisos para todo, asusta de verdad.

De primeras pensé que el vendedor chino me había instalado algo antes de mandarme el móvil, pero descargué de Needrom la rom stock, y con la instalación en limpio, formateando y reinstalando el firmware el problema persistía, por lo que ya investigué y llegué a las conclusiones que he dicho antes.

La solución pasa por rootear el móvil para empezar. Yo por precaución le instalé desde Needrom la rom stock de octubre formateando todo y antes de arrancarlo con SIM, y configurando la cuenta de Google, lo arranqué sin SIM, y sin WIFI y machaqué el virus, ya que he leído que se puede instalar simplemente al concectarse a WIFI. Así me aseguré de que el móvil estaba limpio de inicio (luego cambié contraseñas de todo por si había algún Spyware incorporado en el lote).

EDITO: como digo en el hilo de root, al final uso la última ROM de 30-11, que viene ya sin el Beauty Makeup.

El método de rooteo lo he puesto aquí:

Root al Oukitel U8, Universe

Una vez hecho root, instalé Root Browser (como no había configurado Google, ni tenía WIFI o SIM puesta, por lo que he dicho antes, me puse el archivo .apk del Root Browser en la SD y lo instalé manualmente).

Ahora hay que ir a la carpeta /system/priv-app. Buscad la carpeta Noentry_makeup_offline (creo que es el nombre exacto), y borradla sin piedad con permisos de superusuario. Como no nos hemos conectado a red o configurado la cuenta de Google no le ha dado tiempo al virus a instalarse o a expandirse por el sistema. Reiniciais y listo.

EDITO: hay que eliminar también la App SALES.APK en /system/App, es maliciosa con seguridad. Si no el problema persistirá y os deseperará como a mí durante varias semanas (yo por precaución la tengo guardada aparte, pero está claro que es malware, a mi entender). Está asociada al proceso deadp (cn.dealt.decision) que podéis encontrar en el menú de aplicaciones (en TODAS). Desde que la he eliminado, mano de santo. Si tenéis la última versión de la ROM (30-11) Beauty Makeup ya ni está (yo no la tenía actualizada a esa versión porque me dio problemas el sensor de huellas, pero instalándola desde cero me funciona bien).

Puntualizo que lo primero que hice antes de todo lo anterior es que hice root en la rom ya infectada y con el virus activo y después en vez de eliminar la carpeta del virus la renombré con lo que el efecto debería haber sido el mismo, de hecho me iba a aplicaciones y aparecía sin el icono, señal de que al reiniciar debía desaparecer... Pues nada, al reiniciar, Beauty Makeup aparecía reinstalado, con el maldito icono de la carita otra vez ahí (con menor cantidad de datos, antes pesaba 10,79 Mb y ahora 5 y pico, pero ahí estaba), con orígenes desconocidos activado y enlazándome a páginas de forma automática. Imagino que una vez que se activa el malware se expande por el sistema y ya no vale sólo con inutilizar o eliminar la carpeta del programita de marras. Así que por eso lo hice todo desde cero con una instalación en limpio y offline.

EDITO: el problema persistía porque también hay que quitar sales.apk como he dicho).

Llevo ya dos días sin que se me active "Orígenes desconocidos" (antes cada pocas horas se activaba solo), sin adware y sin arranques del navegador para enlazarte a páginas de descargas involuntarios e indeseados. Y por supuesto, sin que me instale la app Recents.

Desinstalar la app Recents no sirve, aviso, ya que vuelve a aparecer porque el origen del problema sigue ahí. De hecho llega un punto en que no se vuelve a instalar si la desinstalas varias veces, pero el adware y los enlaces automáticos a páginas siguen ahí.

El U8 y el U10 son muy buenos móviles y se pueden conseguir a buenos precios, pero es increíble que nos cuelen eso en una rom stock, más cuando Oukitel no libera los "sources" y así los cocineros no nos pueden cocinar roms customizadas y limpias. Me imagino que habrán ganado dinero metiendo esa porquería en la rom stock, así abaratan los costes de producción... eso es una cábala mía, pero que marcas como Jiayu u Oukitel hagan eso no debe tener otra explicación plausible. Tengo el móvil limpio, con rom stock de 29 de noviembre (el "OTA update" de diciembre, que es el último, como he dicho cuando explicaba el método para rootear empeora el móvil a mi entender), y con root. Ahora queda esperar una rom cocinada en condiciones, aunque el móvil va muy bien, incluido el lector de huellas.

Por favor, si alguien es usuario de otros foros como HTC Mania u otros, en los que he visto afectados con el U8 y el U10, no dudéis en darle la máxima difusión (yo no estoy dado de alta).

Un saludo.
 
Última edición:
EDITO: ya está solucionado.

Desgraciadamente, no es la solución definitiva, aunque tengo muy claro que Beauty Makeup es una versión no legítima, pero parece ser sólo parte del problema. Copio y pego lo que he estado comentando en otro hilo, el de root para este terminal, contestándole a otro forero que ha escrito a Oukitel para quejarse por incluir un malware de fábrica. Según dice, ha actualizado a la ROM de 30-11 y ha desaparecido Beauty Makeup, Recents ya no se le instala, pero sí se activan "orígenes desconocidos" y le salen ventanas de publicidad, con lo que estamos igual:

"Desgraciadamente tengo bastante claro que la versión que tenemos instalada como app de sistema de Beauty Makeup está modificada (no coincide con la última versión legítima de Play Store y además en otros foros usuarios del Oukitel U10, que también la tienen preinstalada, dicen que inhabilitándola se les acababa el problema de que se activen "orígenes desconocidos"y salten ventanas)... Debe ser parte del problema del malware, pero no parece ser la solución completa. Desgraciadamente el móvil me ha estado funcionando bien 3 días... Y hoy se ha vuelto a instalar Recents, me han vuelto las ventanas y las conexiones aleatorias a internet para que me descargue basura. La ROM está infectada de origen, desde la primera versión, y el virus tiene que estar en varios sitios, no hay otra explicación (estoy seguro de que uno de los puntos críticos es el puñetero Beauty Makeup, pero no es el único). Es desesperante porque no hay custom roms, y tenemos que tragar con la stock.
Estoy en punto muerto, no encuentro más información en internet sobre el virus, sólo veo gente afectada. Es como buscar una aguja en un pajar, estoy desesperado ya. No sé qué hace ese virus, aparte de lo obvio (adware y conexiones a internet para descargar programas), no sé si es capaz de espiar mi información, mis contraseñas... Para mí, el móvil así no es seguro de usar... Ya estoy harto. Y hay casos en el U8 y en U10... No sé si Oukitel es consciente o se les ha colado al compilar la ROM, pero es de traca, pero de traca, traca... ¿Qué te contestaron a tu email? ¿La actualización de 30-11? Qué extraño, yo tengo instalada la ROM de 29-11-15, y la actualización que me quedaría por instalar es una de diciembre. Lo que sí he visto es que hay dos versiones de la ROM, una con el almacenamiento unificado y otra con el espacio particionado para almacenamiento y sistema, y que las actualizaciones varían de una a otra. Yo he tenido las de ambos tipos, y ambas están infectadas".

Si encuentro algo más lo diré, pero para mí el móvil así no es usable con seguridad, lo voy a tener guardar en un cajón hasta una mejor solución, se llame custom rom u OTA limpia, igual me da. Es surrealista.

Aquí podéis ver la conversación completa:

Root al Oukitel U8, Universe

Saludos.
 
Última edición:
antes que se me rompiera la bateria, (la clavija interna que conecta con la placa), tenia ese problema que se conectaba solo y no tenia ni idea de como solucinarlo, si puedo conseguir la bateria que parece complicado de monento. haber si soy capaz de seguir todas las intrucciones que has dado ya que no soy muy experto en esto y algunas cosas me suenan chino jejejeej
bueno muchas gracias por el aporte y seguro que les sirve a mas de uno
 
antes que se me rompiera la bateria, (la clavija interna que conecta con la placa), tenia ese problema que se conectaba solo y no tenia ni idea de como solucinarlo, si puedo conseguir la bateria que parece complicado de monento. haber si soy capaz de seguir todas las intrucciones que has dado ya que no soy muy experto en esto y algunas cosas me suenan chino jejejeej
bueno muchas gracias por el aporte y seguro que les sirve a mas de uno

En realidad es sencillo, Toni. Sólo hay que hacer root siguiendo el tutorial, eliminar la aplicación SALES.APK (proceso deadp -cn.dealt.decision-), que está en system/app, y el Beauty Makeup (carpeta "noentry_makeup_offline" en /system/priv-app) si no tienes la ROM de 30-11 (ahí Beauty Makeup ya no está). Evidentemente si se ha llegado a instalar Recents habrá que quitarla, aunque eso se puede hacer borrando datos y caché y desinstalándola desde el menú normal, ya que se instala porque la otra app (sales.apk) y seguramente Beauty Makeup le abren la puerta (una vez que desinstales Recents y borres las otras dos para que no le abran más la puerta, adiós problema). Puede parecer complicado a priori, pero sólo consiste en seguir los pasos con cuidado. Cuando lo haces varias veces te lo aprendes, como he tenido yo que hacer en el último mes, je je.

Confirmo que no se me ha vuelto a activar orígenes desconocidos de forma automática ni se me ha instalado la app Recents, ni se me conecta a internet cuando le da la gana para enlazar a páginas de descarga... Vamos, que al menos de momento estoy limpio como una patena :grin::smile::cool::wink::aplause:.

Saludos.
 
Buenas solucionado el tema de la bateria, ya tengo el movil operativo. el problema que se conectaba a internet y salia un monton de publicidad, no se como ya no me aparece no se si sera por la nueva actualizacion. el problema que me sale ahora, es que me aparece solo una publicidad y directamente my recent app.
¿alguien le sucede lo mismo?
muchas gracias
 
Qué tal #toni26 ? Como he dicho por aquí a mi también me llego la batería y tengo el móvil funcionando. Gracias una vez más.
A que nueva actualización te refieres en tu mensaje del 19 de enero? A mi la app "actualizaciones del sistema" me ofrece una release de fecha 2015-10-10. Es la misma que has instalado tú?. No me atrevo a meterla.
Otra cosa, la aplicación "efecto de belleza" es a la que se refiere pulseman con lo de "beauty makeup"?
Ya me dirás. Un cordial saludo.

Enviado desde mi UniverseTap mediante Tapatalk
 
Buenas noches. Ya me ha salido el recents y la copia del play store, y la pregunta es... qué hago ahora?
La verdad es que no me atrevo a meterla (la pata se entiende)
Cualquier consejo se agradeceria.

Enviado desde mi UniverseTap mediante Tapatalk
 
Ah!, además se me ha activado lo de los orígenes desconocidos.

Enviado desde mi UniverseTap mediante Tapatalk
 
Hola a todos.
No sé si tiene algo que ver con el Beauty Makeup, desde ayer me sale una más que molesta manita en la esquina superior derecha de la pantalla, la cual, si se pulsa, abre una ventana transparente llamada FREQUENT con iconos comerciales. Esta manita, además cambia de tamaño, parpadea y hace sea una tortura leer cualquier cosa en la pantalla.
Acabo de rootear el móvil e instalar Root Browser, y con la sim sacada, he intentado borrar como root la carpeta makeup.noentry y la apk Sales; pero no se borran.
Mi ROM es la del 25-10-2015.
Me tiene desesperado este teléfono, nunca me había pasado antes en ningún móvil chino.
Qué puedo hacer?
[DOUBLEPOST=1455139185][/DOUBLEPOST]Respecto a ROM, he visto esta solución en este hilo, pero no sé si seran válidas para este modelo, por lo visto son del 27-12-2015:
http://forums.androidcentral.com/as...e-virus-can-something-installed-my-phone.html
 
Última edición:
Hola, la rom 27/12/2015 funciona muy bien y esta limpia de malware. Recomiendo que instaléis esta actualización.

Un saludo.
 

Del blog

Es tendencia

¿Ha terminado la locura de añadir tantas cámaras a los móviles?

  • Si

  • No

  • No lo se

  • Ya me gustaría...

  • Ya te gustaría...


Los resultados solo son visibles tras votar.
Atrás
Arriba