Nueva carpeta sospechosa llamada .um en el almacenamiento interno, la búsqueda de Google dice que el archivo es spyware

Question

Nueva carpeta sospechosa llamada .um en el almacenamiento interno, la búsqueda de Google dice que el archivo es spyware

#1 de sherl.lol (1 votos)
#2 de Resonce (0 votos)

0

Estoy ejecutando Android 7.0 en un teléfono Samsung Galaxy J7 prime. Hoy, mientras utilizaba el teléfono, de repente encontré una carpeta llamada obj en Almacenamiento interno / Android, que nunca había estado allí antes. Tenía la marca de tiempo de sólo unos minutos atrás. La carpeta tenía más archivos dentro, la ruta es esta: almacenamiento interno / Android / obj / .um / sysid.dat

Hubo un duplicado similar con la misma marca de tiempo en el siguiente directorio: almacenamiento interno / Android / data / .um / sysid.dat

Hice una búsqueda en Google, y apareció una página web del Dr., así como una página de análisis híbrido, ambas marcando un directorio similar como una aplicación espía de SMS. Los archivos eran los mismos, pero el directorio era un poco diferente, ya que estaban ubicados en la tarjeta sd en las páginas, mientras que en mi teléfono se encontraban en el almacenamiento interno y no hay tales archivos en la tarjeta sd. Aqui esta el link - enlace

No sé cómo entraron estos archivos, ya que no he instalado ninguna aplicación nueva desde hace tiempo, y también soy muy cauteloso al navegar, y cuando se crearon estos archivos, estaba navegando en sitios web perfectamente seguros. . De todos modos, ya que la página web del Dr. tenía la muestra de software espía y dijo que podía marcar el archivo, pensé que el antivirus podría al menos detectar el malware, si no quitarlo (en caso de que estuviera enraizado en el sistema), y por lo tanto descargué la aplicación Dr. Web Light de playstore y ejecuté exploraciones completas y rápidas con ella dos veces. No detectó nada, a pesar de tener estos directorios de archivos enumerados explícitamente en el análisis de su sitio web del software espía. Comprendería si no lo eliminara, pero como ya ha analizado esta muestra de malware, esperaría que al menos marcara el archivo.

También se realizaron análisis completos con Norton, Kaspersky, Sophos, Zelmana y F-secure (todas las versiones gratuitas excepto Norton y Zelamana que dieron versiones de prueba Premium), ninguna de ellas detectó nada.

Aparte de las páginas de Dr. Web y Hybrid Analysis, no hay más información sobre esto en Internet, excepto un hilo solitario de reddit que apunta a las mismas páginas mencionadas anteriormente.

¿Puede alguien guiarme en la dirección correcta aquí? ¿Alguien sabe sobre este incidente en particular? ¿Qué tengo que hacer? ¿Reajuste de fábrica? Firmware de flasheo? Es probable que me lleve un par de días hacerlo porque tengo que hacer una copia de seguridad de mis documentos personales, hasta entonces, ¿debo abstenerme de usar el teléfono? ¿Desea desactivar la conexión de datos? ¿O apagar el teléfono por completo? ¿No hace ninguna llamada ni envía ningún sms? Solo tengo este teléfono, inicié sesión en cada una de ellas, y recibo y hago llamadas y mensajes a diario.

Esto me sorprendió, por lo que primero tengo que hacer una copia de seguridad de mis archivos personales y de mis conversaciones en un USB, lo que, una vez más, me preocupa, podría infectarse al estar conectado al teléfono y más tarde mientras restauro las copias de seguridad El teléfono limpio, causa reinfección.

¿Alguna sugerencia sobre cómo puedo realizar una copia de seguridad y qué debo hacer en este momento para limitar cualquier daño adicional hasta que borre el teléfono?

Por favor, ayúdame, realmente preocupado y aún uso el teléfono porque no tengo acceso a nada más. Alguna información detallada será muy apreciada.

malware android backup spyware trojan

pregunta Sabi 17.12.2018 - 13:36

fuente

2 respuestas

Lea otras preguntas en las etiquetas malware android backup spyware trojan

¿Se requiere PCI - DSS para almacenar solo el número de tarjeta? bloquea el cambio de direcciones IP en el puerto 25 SMTP

score 1 · Answer 1

Si solo instala aplicaciones de Google Play, las posibilidades de que detecte un virus en el teléfono son muy pocas. Google analiza todas las aplicaciones agregadas a Google Play en busca de comportamientos maliciosos y elimina a los delincuentes. Si bien algunos se escapan a través de las grietas, es muy poco probable que instales una aplicación de virus desde Play Store.

La instalación desde otras fuentes es completamente diferente. La descarga de aplicaciones de sitios web aleatorios, especialmente aplicaciones "crackeadas" (ofertas pagadas que se proporcionan de forma ilegal de forma gratuita), es una excelente manera de detectar malware. Si elige cargar aplicaciones, asegúrese de que confía en la ubicación de donde las descarga. Play Store es el hogar de docenas de aplicaciones de eliminación de virus de Android. Sin embargo, la mayoría de ellos están inflados y quieren que pagues por las funciones que no necesitas. Sin embargo, hay algunos que vale la pena usar.

Malwarebytes, uno de los nombres más confiables en seguridad de escritorio, también proporciona una aplicación para Android.

La versión gratuita escanea su teléfono en busca de malware y elimina cualquier amenaza que encuentre. También tiene una función de auditoría para los permisos de la aplicación, por lo que puede realizar un seguimiento de lo que cada uno tiene acceso. Y tampoco tiene anuncios.

Sin embargo, esto no significa que todas las aplicaciones de Google Play sean beneficiosas. Las aplicaciones fraudulentas pueden quitarle su dinero a cambio y muchas aplicaciones gratuitas abusan de los permisos telefónicos para robar sus datos. Pero esas son preocupaciones separadas de los virus de Android.

Al igual que en otras plataformas, el sentido común te ayudará a evitar un virus. No descargue desde sitios web turbios, intente evitar tocar los anuncios y vigile los permisos de las aplicaciones.

Cualquier sugerencia sobre cómo puedo realizar copias de seguridad de forma segura y qué debo hacer en realidad hacer en este punto para limitar cualquier daño adicional hasta que limpie el teléfono?

Vea este enlace a continuación:

Cómo hacer una copia de seguridad de tu teléfono Android

La copia de seguridad de la mayoría de sus datos es bastante fácil con Google y se ha vuelto mucho más fácil en los últimos años. Lamentablemente, todavía no existe un método de copia de seguridad de ventanilla única para teléfonos Android a través de Google, pero hay formas de hacer copias de seguridad de diferentes tipos de datos. Aquí es cómo hacer una copia de seguridad de sus datos con Google. Si aún no estás utilizando Google Photos, deberías hacerlo. El servicio realiza automáticamente copias de seguridad de todas las fotos y videos que lleva a la nube, por lo que nunca más tendrá que hacer una copia de seguridad manual de sus medios. Si la aplicación Fotos no está ya en tu teléfono, puedes descárgalo aquí . Una vez que esté instalado, deberás asegurarte de que Fotos esté configurado para hacer una copia de seguridad automática de tus archivos. Aquí está cómo hacerlo:

Open the Google Photos app
In the menu, head to Settings
Tap ‘Backup & sync’
Make sure the switch is turned on

Si desea mantener la calidad original de sus fotos, puede hacerlo, pero contará en su almacenamiento de Google Drive. A continuación le indicamos cómo verificar la calidad de carga de sus fotos de Google:

Open the Google Photos app
In the menu, head to Settings
Tap ‘Backup & sync’
Tap ‘Upload size’
Choose the option you’d like

Google Drive le permite almacenar sus otros archivos en la nube, lo que significa que serán accesibles desde cualquier dispositivo conectado. Para cargar carpetas y archivos manualmente, siga estas instrucciones:

Download the Google Drive app, if you don’t have it already
In the app, press on the ‘+’ button
Press ‘Upload’
Select the file(s) you’d like to backup
That’s it!

Configuración y aplicaciones

Para hacer una copia de seguridad de la configuración y las aplicaciones de su teléfono, querrá usar el Servicio de copia de seguridad de Android. Básicamente, este servicio realiza copias de seguridad de las aplicaciones que usa y de la configuración que ha seleccionado en la mayoría de las aplicaciones de Google, lo que facilita la restauración de esa configuración en un nuevo teléfono. Para obtener una lista completa de lo que se respalda con el servicio de respaldo de Android, diríjase aquí . De lo contrario, siga las instrucciones a continuación para activarlo:

Open your smartphone’s Settings app
Tap on ‘Backup & reset’
Press ‘Backup account,’ and add your account, if it’s not there already

Y eso es todo! Tu dispositivo debería estar prácticamente todo respaldado ahora. Por supuesto, a menos que desee utilizar un servicio de terceros en lugar del de Google.

score 0 · Answer 2

Con esas aplicaciones que no detectan una sola cosa, ya huelo a un actor de APT (Advanced Persistent Threat) detrás de esto. Una buena razón por la que no lo detectan es posiblemente porque están usando una conocida técnica de evasión de detección llamada ofuscación, pero eso es solo una suposición.

Recomiendo altamente lo siguiente:

Consigue un nuevo dispositivo limpio aparte de esto.
Antes de usarlo, también te recomiendo que cambies tu número de teléfono antes de usar el dispositivo limpio como dijiste que usas datos celulares. Busque "Vulnerabilidades del SS7" para obtener información sobre la vulnerabilidad de los mensajes de texto, las llamadas y cualquier cosa relacionada con su número de teléfono.
Instalar 1.1.1.1: Más rápido & Internet más seguro desde Google Play Store y continúe la vida diaria mientras trabaja para resolver este problema.
Si puedes conseguirte una VPN, entonces obtén una y te recomiendo que no utilices la VPN gratuita, ya que la mayoría de las aplicaciones VPN gratuitas suelen estar ocultas también con malware, ya sea por parte del autor o secuestradas, lo que permitió a los actores de amenazas ocultarse. malware dentro de la aplicación.

Tengo un montón de comentarios y puntos publicados en tu otra pregunta de InfoSec para que los consultes y los sigas para llegar a una buena solución para este problema.

Esto parece ser real-paranoico pero es la única manera de estar seguro. Consulte este enlace para comprender el meme de seguridad "Destruir desde la órbita".

Por último, sabiendo el nivel de peligro que está acechando en su teléfono antiguo en este momento, le recomiendo que no conecte un USB como USB es un estándar quebrado y vulnerable incluso hasta esta fecha que nunca envejece como un de Manera de propagación del malware de facto. La razón de esto es porque el USB es "Universal" y estos altos niveles de libertad son muy utilizados por piratas informáticos y similares, lo que es más o menos la razón por la que nunca uso el USB para compartir archivos con otras personas ahora.