DanielSmith
Simdualero Junior
- Mensajes
- 2
- Puntos
- 233
¡Hola a todos!
Soy nuevo aquí y aunque no haya participado nunca en esta comunidad me he registrado para poder publicar este post y ayudar a la gente que se ha encontrado con el mismo problema que yo en el Cubot One (o quizá también en otros dispositivos chinos).
Yo también vi que empezaron a instalarse aplicaciones no solicitadas en mi Cubot One. Estas aplicaciones eran: Baidu Browser, 337 Game Master, Mobo Market, DU Battery saver entre otros. Además el periodo de instalación era bastante aleatorio y nunca sabías cuándo iba a ocurrir.
Estaba preocupado porque tenía pensado ponerle una app de Bitcoin en el móvil, pero con ese software malicioso corriendo en mi móvil ni loco iba a ponerle dinero que, potencialmente, podría haber sido robado.
El Malware
Bueno el caso es que me puse a investigar y en un foro alemán encontré a unos usuarios que tenían exactamente el mismo problema con la ROM G800 que es también la que corre mi Cubot One.
Os dejo el enlace al hilo del foro alemán: http://www.android-hilfe.de/xiaocai..._en_c1_v0-4_20130910-rom-malware-removal.html
Bueno, pues ahí descubrieron que el culpable era una aplicación del sistema llamada "wland". Mirad en "Administrar aplicaciones > Todas" o en la carpeta /system/app para ver si teneis el Wland.
Según el autor del hilo en el foro alemán esta aplicación es muy putas, puesto que cada hora envía una pequeña señal con nuestro IMSI y los datos de la torre telefónica a la que estamos conectados a los servidores de sus creadores (la empresa Reallytek). Estos datos, por cierto, permiten geolocalizar a alguien.
Bueno, el caso es que entonces el servidor contesta con una respuesta vacía o con un script. Cuando responde con un script, el teléfono lo ejecuta y, en este caso, descarga una aplicación SPAM siempre y cuando estemos conectados al Wifi. Es importante notar que técnicamente esta empresa podría ejecutar cualquier código arbitrario en nuestro teléfono si le dará la gana.
Cómo Eliminarlo
No me hago responsable de lo que le pueda pasar al móvil si seguís estos pasos. Hacedlo bajo vuestra propia responsabilidad.
Si no podéis seguir estos pasos, quizá baste con poner las aplicaciones en cuarentena. Haced scroll para llegar a la última sección y ver cómo hacerlo.
1. Ser Root
2a. [opcional] Descargar el Mobileuncle Tools del App store y usarlo para instalar el CWM Recovery que encontraréis aquí. Yo tengo la versión 6.0.4.4
2b. [opcional] Con el recovery instalado, reiniciais en modo recovery y hacéis una copia de seguridad.
3. Instalar la aplicación Titanium Backup del Play Store y usarla para eliminar el Wland.
4. ¡Aún no hemos terminado! Wland también se encuentra en las siguientes carpetas:
/system/bin/wland
/system/app/wland.apk (esta es la que elimina el Titanium)
/system/wlan/
/data/.wlan/
/data/data/com.wlan.wland/
(Nótese que son carpetas del sistema, no de la tarjeta SD. Necesitaréis una aplicación tipo ES Explorer para poder verlas).
Una vez desinstalada la app con el Titanium no tengo ni idea si esta puede seguir viva sólo con el Binario que hay en /system/bin. Mi instinto me dice que sí, así que terminé eliminando todo.
Para eliminarlo todo necesitaremos dos APPS:
1. Una terminal que podéis encontrar aquí.
2. Una app para montar y desmontar el directorio /system de manera fiable. Lo podéis encontrar aquí.
A continuación primero ejecutáis el "Mount /system" y le damos permisos de lectura y escritura (R/W) al directorio /system. Esto nos permitirá modificar su contenido.
Después, abrimos la aplicación de terminal y escribimos exactamente lo siguiente:
su
(esto pide permisos de root / administrador para poder modificar el sistema).
Luego, linea por linea escribís lo siguiente. Siempre haciendo Enter después de cada línea, puesto que cada línea es un nuevo comando.
rm -f /system/bin/wland
rm -r -f /system/wlan/
rm -r -f /data/.wlan/
rm -r -f /data/data/com.wlan.wland/
Cada uno de estos comandos es un comando de eliminación. "rm" significa "remove" y lo otro son opciones necesarias para forzar el borrado de los archivos o directorios.
Con esto eliminaréis el Wland.
Finalmente escribid dos veces seguidas "exit" y saldréis de la terminal. No os olvidéis de regresar al programa Mount /system y poner el directorio de vuelta en "Solo lectura" o "RO".
Otro software sospechoso.
¿Pero por qué quedarnos aquí? Si queréis, y os lo recomiendo encarecidamente, aprovechad los pasos anteriores para eliminar otro software sospechoso y potencialmente malicioso de nuestro Cubot One.
Antes de cerrar la terminar ejecutad estos comandos:
rm -f /system/app/AmountTool.apk
rm -r -f /data/data/com.skymobi.activation/
rm -f /system/app/Midtest.apk
rm -f /system/app/Midtest.odex
rm -r -f /data/data/com.reallytek.wg/
Esto eliminará el Amounttool o "activation service" misterioso de una empresa china y un software de testeo que curiosamente es de la misma empresa que hizo el Wland.
¡Y más borrado de software innecesario!
A continuación os paso también una lista de aplicaciones del sistema que he eliminado sin que mi Cubot One deje de funcionar.
Podéis eliminar todas estas aplicaciones con el Titanium Backup. Por si las moscas siempre podéis hacer una copia de seguridad con la misma aplicación antes de borrar nada.
SmsReg (fue detectado en otros móviles como virus, aunque en este no parece ser malicioso. Aún así, se puede eliminar).
MTKlogger (No me fio de que MTK, sinceramente).
ATCI_Service (Supuestamente innecesario, pero puede causar que deje de funcionar la radio FM)
Notpad (software de MTK, lo siento no me fio y hay apps mejores)
Tarea Pendiente (igual que el anterior).
Todo lo que empiece por "Fondos de pantalla".
Launcher 3.33 (sólo si tenéis un launcher nuevo. Os recomiendo el Nova Launcher que es infinitamente mejor).
Burbujas 1.0 (fondo de pantalla)
Agujero negro 1.0 (fondo de pantalla)
3D Mushroom Wallapaper (fondo de pantalla)
Y si queréis también podéis quitar el navegador y la galería. Recomiendo el Firefox y el Quickpic para sustituírlos.
Finalmente: poner aplicaciones en cuarentena
Hay algunas aplicaciones de las que no me fío pero que no se pueden eliminar porque son esenciales para el sistema. Si queréis, las podéis poner el cuarentena.
Este paso también os sirve si por cualquier razón no podéis seguir los pasos anteriores. Necesitaréis ser Root, pero no hará falta hacer todo eso de la terminal.
1. Instaláis la aplicación llamada XPrivacy siguiendo detalladamente las instrucciones de su creador.
https://github.com/M66B/XPrivacy#installation
Esta aplicación sirve para restringir permisos individuales de aplicaciones particulares. Con esto podremos quitarle el permiso de Internet y geolocalización a todo lo que nos parezca sospechoso.
Yo he restringido permisos a:
MTK Android Suite Daemon 1.1 (lo siento de nuevo, no fio de MTK después de encontrarme con cosas como el Wland).
MTK Thermal Manager (controla la temperatura del dispositivo pero por alguna razón leí en otro foro que lo habían encontrando enviando datos ¿para qué?).
Vcalendar (Es otra aplicación de Mediatek. Así evito que se conecte cuando no quiero).
Seguiré experimentando y viendo si me he dejado algo puesto que tampoco soy experto en el campo.
Hacedme un favor y rezad conmigo para que pronto salga una versión de CyanogenMod o de Replicant compatible con nuestro dispositivo.
¡Saludos!
Soy nuevo aquí y aunque no haya participado nunca en esta comunidad me he registrado para poder publicar este post y ayudar a la gente que se ha encontrado con el mismo problema que yo en el Cubot One (o quizá también en otros dispositivos chinos).
Yo también vi que empezaron a instalarse aplicaciones no solicitadas en mi Cubot One. Estas aplicaciones eran: Baidu Browser, 337 Game Master, Mobo Market, DU Battery saver entre otros. Además el periodo de instalación era bastante aleatorio y nunca sabías cuándo iba a ocurrir.
Estaba preocupado porque tenía pensado ponerle una app de Bitcoin en el móvil, pero con ese software malicioso corriendo en mi móvil ni loco iba a ponerle dinero que, potencialmente, podría haber sido robado.
El Malware
Bueno el caso es que me puse a investigar y en un foro alemán encontré a unos usuarios que tenían exactamente el mismo problema con la ROM G800 que es también la que corre mi Cubot One.
Os dejo el enlace al hilo del foro alemán: http://www.android-hilfe.de/xiaocai..._en_c1_v0-4_20130910-rom-malware-removal.html
Bueno, pues ahí descubrieron que el culpable era una aplicación del sistema llamada "wland". Mirad en "Administrar aplicaciones > Todas" o en la carpeta /system/app para ver si teneis el Wland.
Según el autor del hilo en el foro alemán esta aplicación es muy putas, puesto que cada hora envía una pequeña señal con nuestro IMSI y los datos de la torre telefónica a la que estamos conectados a los servidores de sus creadores (la empresa Reallytek). Estos datos, por cierto, permiten geolocalizar a alguien.
Bueno, el caso es que entonces el servidor contesta con una respuesta vacía o con un script. Cuando responde con un script, el teléfono lo ejecuta y, en este caso, descarga una aplicación SPAM siempre y cuando estemos conectados al Wifi. Es importante notar que técnicamente esta empresa podría ejecutar cualquier código arbitrario en nuestro teléfono si le dará la gana.
Cómo Eliminarlo
No me hago responsable de lo que le pueda pasar al móvil si seguís estos pasos. Hacedlo bajo vuestra propia responsabilidad.
Si no podéis seguir estos pasos, quizá baste con poner las aplicaciones en cuarentena. Haced scroll para llegar a la última sección y ver cómo hacerlo.
1. Ser Root
2a. [opcional] Descargar el Mobileuncle Tools del App store y usarlo para instalar el CWM Recovery que encontraréis aquí. Yo tengo la versión 6.0.4.4
2b. [opcional] Con el recovery instalado, reiniciais en modo recovery y hacéis una copia de seguridad.
3. Instalar la aplicación Titanium Backup del Play Store y usarla para eliminar el Wland.
4. ¡Aún no hemos terminado! Wland también se encuentra en las siguientes carpetas:
/system/bin/wland
/system/app/wland.apk (esta es la que elimina el Titanium)
/system/wlan/
/data/.wlan/
/data/data/com.wlan.wland/
(Nótese que son carpetas del sistema, no de la tarjeta SD. Necesitaréis una aplicación tipo ES Explorer para poder verlas).
Una vez desinstalada la app con el Titanium no tengo ni idea si esta puede seguir viva sólo con el Binario que hay en /system/bin. Mi instinto me dice que sí, así que terminé eliminando todo.
Para eliminarlo todo necesitaremos dos APPS:
1. Una terminal que podéis encontrar aquí.
2. Una app para montar y desmontar el directorio /system de manera fiable. Lo podéis encontrar aquí.
A continuación primero ejecutáis el "Mount /system" y le damos permisos de lectura y escritura (R/W) al directorio /system. Esto nos permitirá modificar su contenido.
Después, abrimos la aplicación de terminal y escribimos exactamente lo siguiente:
su
(esto pide permisos de root / administrador para poder modificar el sistema).
Luego, linea por linea escribís lo siguiente. Siempre haciendo Enter después de cada línea, puesto que cada línea es un nuevo comando.
rm -f /system/bin/wland
rm -r -f /system/wlan/
rm -r -f /data/.wlan/
rm -r -f /data/data/com.wlan.wland/
Cada uno de estos comandos es un comando de eliminación. "rm" significa "remove" y lo otro son opciones necesarias para forzar el borrado de los archivos o directorios.
Con esto eliminaréis el Wland.
Finalmente escribid dos veces seguidas "exit" y saldréis de la terminal. No os olvidéis de regresar al programa Mount /system y poner el directorio de vuelta en "Solo lectura" o "RO".
Otro software sospechoso.
¿Pero por qué quedarnos aquí? Si queréis, y os lo recomiendo encarecidamente, aprovechad los pasos anteriores para eliminar otro software sospechoso y potencialmente malicioso de nuestro Cubot One.
Antes de cerrar la terminar ejecutad estos comandos:
rm -f /system/app/AmountTool.apk
rm -r -f /data/data/com.skymobi.activation/
rm -f /system/app/Midtest.apk
rm -f /system/app/Midtest.odex
rm -r -f /data/data/com.reallytek.wg/
Esto eliminará el Amounttool o "activation service" misterioso de una empresa china y un software de testeo que curiosamente es de la misma empresa que hizo el Wland.
¡Y más borrado de software innecesario!
A continuación os paso también una lista de aplicaciones del sistema que he eliminado sin que mi Cubot One deje de funcionar.
Podéis eliminar todas estas aplicaciones con el Titanium Backup. Por si las moscas siempre podéis hacer una copia de seguridad con la misma aplicación antes de borrar nada.
SmsReg (fue detectado en otros móviles como virus, aunque en este no parece ser malicioso. Aún así, se puede eliminar).
MTKlogger (No me fio de que MTK, sinceramente).
ATCI_Service (Supuestamente innecesario, pero puede causar que deje de funcionar la radio FM)
Notpad (software de MTK, lo siento no me fio y hay apps mejores)
Tarea Pendiente (igual que el anterior).
Todo lo que empiece por "Fondos de pantalla".
Launcher 3.33 (sólo si tenéis un launcher nuevo. Os recomiendo el Nova Launcher que es infinitamente mejor).
Burbujas 1.0 (fondo de pantalla)
Agujero negro 1.0 (fondo de pantalla)
3D Mushroom Wallapaper (fondo de pantalla)
Y si queréis también podéis quitar el navegador y la galería. Recomiendo el Firefox y el Quickpic para sustituírlos.
Finalmente: poner aplicaciones en cuarentena
Hay algunas aplicaciones de las que no me fío pero que no se pueden eliminar porque son esenciales para el sistema. Si queréis, las podéis poner el cuarentena.
Este paso también os sirve si por cualquier razón no podéis seguir los pasos anteriores. Necesitaréis ser Root, pero no hará falta hacer todo eso de la terminal.
1. Instaláis la aplicación llamada XPrivacy siguiendo detalladamente las instrucciones de su creador.
https://github.com/M66B/XPrivacy#installation
Esta aplicación sirve para restringir permisos individuales de aplicaciones particulares. Con esto podremos quitarle el permiso de Internet y geolocalización a todo lo que nos parezca sospechoso.
Yo he restringido permisos a:
MTK Android Suite Daemon 1.1 (lo siento de nuevo, no fio de MTK después de encontrarme con cosas como el Wland).
MTK Thermal Manager (controla la temperatura del dispositivo pero por alguna razón leí en otro foro que lo habían encontrando enviando datos ¿para qué?).
Vcalendar (Es otra aplicación de Mediatek. Así evito que se conecte cuando no quiero).
Seguiré experimentando y viendo si me he dejado algo puesto que tampoco soy experto en el campo.
Hacedme un favor y rezad conmigo para que pronto salga una versión de CyanogenMod o de Replicant compatible con nuestro dispositivo.
¡Saludos!
Última edición: