Alguien sabe por qué recibo esta extraña alerta de VIRUS de Android

Iniciado por FJDA, 13 Febrero 2020, 01:28 AM

0 Miembros y 2 Visitantes están viendo este tema.

FJDA

Hace varios días instalé  el plugin OSI Antibotnet a Chrome en el PC

https://chrome.google.com/webstore/detail/osi-servicio-antibotnet/hhljghnmjahiaofikeljkjnhbeoiclbh?hl=es

He usado un  LG K8  como modem, versión de Android 6.0 y versión de software V10j-EUR-XX . Y al iniciar chrome, recibo la siguiente alerta.



Hay veces que en lugar de PrizeRat aparece Uupay.

PASOS QUE HE REALIZADO
- He reseteado el móvil y formateado tarjeta SD
- He instalado antivirus Kaspersky y Norton en el LG K8
- He instalado antivirus Kaspersky y Norton en el PC.
- Analizado el dispositivo y el PC varias veces y resultado 0 virus

Tras buscar en internet al respecto me encuentro varias noticias sobre PrizeRat y Uupay haciendo referencia a que vienen pre-instalados en algunos dispositivos Android de fábrica y que se envían datos a China.

He buscado un buen rato alguna referencia a este modelo LG K8, para ver si está comprometido pero no he encontrado nada en absoluto.

EDITO:

DETALLES DE INTERÉS
Un dato importante es que la advertencia solo aparece con fecha y hora justo cuando inicio Chrome. (Hay que tener en cuenta que AntiBotNet me informa de incidentes de botnets en su base de datos.)

Las fechas NUNCA son fuera de la conexión con el PC, es decir nunca hace referencia a un supuesto incidente botnet mientras el LG K8 no estaba siendo usado como módem. (esto es porque la IP pública del LG K8 es distinta a la del PC aunque el celular esté siendo usado como módem)

La IP es dinámica por lo que cada vez que inicio una conexión nueva con otra IP aparece la advertencia.

La advertencia puede salir varias veces cada nuevo minuto cada vez que inicio Chrome pero tras varios minutos la advertencia cesa. De modo que puedo cerrar Chrome, volver a abrir y no aparecer nuevas advertencias.

Puede ocurrir que inicie Chrome con una nueva  IP y no recibir ninguna advertencia. (Esto me desconcierta bastante)

Puedo chequear mi conexión del móvil desde AntiBotNet y el resultado es siempre negativo. Nunca presenta incidencias sea cual sea su IP pública.

h1r0sh1

trat otro navegador y si no te ocurre pues to chrome esta infectado

FJDA

Cita de: h1r0sh1 en 13 Febrero 2020, 02:11 AM
trat otro navegador y si no te ocurre pues to chrome esta infectado

Justo ahora lo estaba haciendo  XD

ahora digo algo ...

gracias




Pues acabo de probar y ahora ni desde Firefox, ni desde Chrome recibo advertencia, he reiniciado varias veces el celular pese a ello ninguna advertencia. Puede que tengas razón y fuera Chrome antes de hacer esto he limpiado el historial que era he 200 MB.  Alguna Cookie quizás, no se.

Si era por Chrome vaya faena. Interesante descubrimiento de todos modos



Edito:
He seguido probando y ahora nada de nada.  :¬¬

Tras pensarlo no tiene sentido que sea desde el celular puesto que la IP a la que hace referencia  AntiBotNet es la IP pública en le PC y jamás recibo alerta cuando analizo desde  el celular. Por otro lado, cuando busco información sobre PrizeRaT y Uupay siempre se relaciona con el sistema Android, nunca con Chrome o PC. Pero no tiene sentido que sea por el celular.

@XSStringManolo

Puede que sea por el CGNAT. En redes móvies se usa mucho. Es decir, no eres el único que usa una IP pública. La misma ip pública se comparte simultaneamente entre varios móviles. Basta que uno solo esté infectado para que todos salgais como que estais infectados.

Checkea si tu cacharro tiene el mtklogger o el tcpdump en el enginer mode.

Aquí tienes todos los USSD de LG. Para la mayoría de Android es el *#*#3646633#*#* Lo marcas como si fuese para llamar.

Te saca logs del kernel, de radio, del sistema, de la red, de crasheos... Son logs de calidad. No hace falta root.

Si tienes termux puedes usar frida para hacer blackbox de los procesos a partir de su pid utilizando javascript. En los logs del mtklogger vienen los pid asique si algo te llama la atención, puedes mirarlo. Yo me lo bajé para radare2 con el r2pm. Lo tienes también para nodejs, etc.

Desde el PC puedes extraer la apk del smartphone y analizarlas.

Lo mínimo que deberías hacer es montar un proxy/vpn local y sniffear todo el tráfico de tu Android. Puedes meterle un vpn local de firewall al Android. Yo comparto internet de un a otro y le filtro el tráfico con el vpn del cortafuegos sin root a ambos.

Si tienes root, te descargas el titanium backup, haces una copia del sistema y te pones a quitar software preinstalado hasta que te aburras. Te lo deja sacar de la propia imagen de rescate. Asique aunque restaures de fábrica no se reinstala. Después añádele el afwall+.


FJDA

Cita de: @XSStringManolo en 13 Febrero 2020, 04:45 AM
Puede que sea por el CGNAT. En redes móvies se usa mucho. Es decir, no eres el único que usa una IP pública. La misma ip pública se comparte simultaneamente entre varios móviles. Basta que uno solo esté infectado para que todos salgais como que estais infectados.

Checkea si tu cacharro tiene el mtklogger o el tcpdump en el enginer mode.

Aquí tienes todos los USSD de LG. Para la mayoría de Android es el *#*#3646633#*#* Lo marcas como si fuese para llamar.

Te saca logs del kernel, de radio, del sistema, de la red, de crasheos... Son logs de calidad. No hace falta root.

Si tienes termux puedes usar frida para hacer blackbox de los procesos a partir de su pid utilizando javascript. En los logs del mtklogger vienen los pid asique si algo te llama la atención, puedes mirarlo. Yo me lo bajé para radare2 con el r2pm. Lo tienes también para nodejs, etc.

Desde el PC puedes extraer la apk del smartphone y analizarlas.

Lo mínimo que deberías hacer es montar un proxy/vpn local y sniffear todo el tráfico de tu Android. Puedes meterle un vpn local de firewall al Android. Yo comparto internet de un a otro y le filtro el tráfico con el vpn del cortafuegos sin root a ambos.

Si tienes root, te descargas el titanium backup, haces una copia del sistema y te pones a quitar software preinstalado hasta que te aburras. Te lo deja sacar de la propia imagen de rescate. Asique aunque restaures de fábrica no se reinstala. Después añádele el afwall+.


Igual es lo que dice de lo del CGNAT.

Hace un rato me sale ya con el Chrome iniciado un incidente con mi IP relacionado con Andromeda en Windows, ya no Android.

Pues ni rastro de dicho bicho  :xD. Por si las moscas le he pasado ya el tercer antivirus el intrusivo comercial Malwarebytes que lo único que ha sacado es  un directorio vacío como una amenaza (1), su subdirectorio (2), el subdirectorio de éste (3), una modificación del registro que yo mismo hice para el menú incio (4), una clave de registro(Toolbar.CT1460988) relacionada con Cunduit (que no instalé pero instalé un programa que ofrecía su instalación) (5) y otra clave vacía ({5b6ad30d-d130-412e-8433-f54150ffa794}) que no se que tiene de malo pero ahí va el (6).

total que se saca de la manga 6 amenazas inexistentes

Lo del móvil muy interesante, no se me ocurrió extraer las apks para analizarlas pero eso ya lo debería hacer los antivirus que le metí al móvil ¿no? a no ser que no analicen las apks del sistema.

Lo del VPN fijo que lo hago

Lo de sacar el software pre-instalado de la imagen no lo sabía que se podía.

Pero oye yo veo improbable que sea cosa del móvil, porque todas las IPs que me saca el AntiBotNet son las que tengo en PC, en el móvil tengo otra luego no cuadra.


gracias por la ayuda