Virus indétectable ?

[Leonidas33]

Bonjour à tous et à toutes,

voici mon problème : je possède une tablette Nexus 7 non rootée, avec AVAST en antivirus, et je ne dl pas des applications suspectes ou pas, j'utilise même l'appli CheckMyApps quand je dl une app sur le Google Play, qui dévoile ce que fait l'application. De même, je mets tout à jour dès que c'est disponible.

Mon problème est le suivant : je regardais sur Dailymotion une vidéo assez longue, quand je fus coupé. Une nouvelle page s'ouvre s'intitulant strlogger... je ferme, je reregarde une vidéo et pareil, ça se coupe et une autre pub s'ouvre, Adtrack king ou quelque chose du genre, voire Glamour Tube.

Enfin, on me propose de dl ou non un appli non validé (j'ai refusé).

Craignant un virus, je lance un scan Avast, sans résultat.

Sous les conseils d'un ami, je dl la version d'essai de Kaspersky, soit disant le meilleur antivirus pour Android actuel. L'antivirus ne découvre rien (http://www.kaspersky.com/fr/).

Rassuré, je reprend ma routine, mais je me rends compte que d'une part mes préférences sur l'appli Facebook ont été modifié (sachant que c'est impossible qu'on se connecte sans que je le sache, que je suis un vrai parano des mots de passe), et que d'autre part ma batterie se vide à vitesse grand V...

Résultat, je ne sais plus quoi faire... si vous avez des conseils :/ existe-t-il un MBAM sur Android ?

Merci d'avance

Edit : j'ai fait le tour de mes applis bien sûr, yen a aucune de suspecte ou quoi. J'ai aussi scanné avec LookOut... Enfin, je précise que ma tablette a à peine 2 mois et que je ne l'utilise pas énormèment, et que bien sûr j'ai rôdé la batterie lors de l'achat

Modifié 3 mai 2013 par Leonidas33

[Lannig]

Ca ne t'avancera pas beaucoup comme réponse, mais cela confirme que les antivirus ne servent vraiment à rien sous Android... pas à rien parce qu'il n'y a pas de malware, mais à rien parce qu'ils ne détectent pas grand'chose.

Moi je ferais un reset usine, déjà. Si la tablette n'est pas rootée il y a 99,99% (pour ne pas dire 100%) de chances que cela t'en débarasse à coup sûr.

Modifié 3 mai 2013 par Lannig

[taz067]

pire encore si tu en mets deux "avast" et "kaspersky" qui vont se tirer dans les pattes l'un de l'autre et donc continuer a te vider la batterie, un reset me semble le plus judicieux....et ne pas remettre d'antivirus...

[Leonidas33]

pourquoi ne pas remettre d'antivirus ? les applis payantes que j'ai dl (dont Rayman Jungle Run), je pourrai les re dl gratos ?

[Invité]

Salut,

Ca peut venir d'un mail ou d'une page web, pas forcément d'une application.

2 solutions:

- lister tout les processus via le shell si tu t'en sent capable et retrouver celui qui met le bazard

- reset total de ton appareil

Les anti-virus détectent après un certain délai (selon le distributeur) les virus et ce délai peut aller de quelques semaines à quelques mois.

A moins d'apprendre à connaître ton système sur le bout de doigts, il n'existe aucune protection sure à 100% sur aucun système d'exploitation.

[taz067]

pourquoi ne pas remettre d'antivirus ? les applis payantes que j'ai dl (dont Rayman Jungle Run), je pourrai les re dl gratos ?

parce que il n'y a pas de virus..a la limite des malwares mais les pubs contenues dans les applis gratuite sont considérés aussi comme des malwares, trois ans sous android sans antivirus et aucun soucis...et les applis payantes sont lié a ton compte gmail, donc oui tu les récupères gratuitement...

[Lannig]

pourquoi ne pas remettre d'antivirus ?

Parce que tu as eu la démonstration qu'ils sont totalement inefficaces sous Android, alors pourquoi s'encombrer de quelque chose qui ne sert à rien et consomme des ressources ?

Comme l'a dit Taz067, tu pourras retélécharger gratuitement toutes les applis achetées sur Google Play après le reset usine, à condition de garder la même adresse Gmail enregistrée dans le téléphone, bien sûr.

[suli60]

Par contre tu perdra toutes tes progressions dans les jeux etc.

Comment vous faites pour avoir ce genre de virus :/. 2 ans sous Android, j'ai installer des centaines d'applis depuis le Google Play (pour n'en garder que 90 ...), des dizaines de roms (surtout sur mon ancien Ray), je vais sur plein de site internet (même des sites pour adultes ...), je n'ai pas d'antivirus et ... Rien !

[decrescendo]

Tu réponds toi-même à ta question : tout simplement parce que ce n'est pas en téléchargeant des applis depuis le Play Store, en installant des ROM custom de développeurs reconnus ou en allant sur des sites porno non douteux qu'on installe des malwares. Plutôt lorsqu'on installe des applications piratées, qu'on flashe des mods foireux à tout va sans trop savoir ce qu'ils font, et qu'on accepte n'importe quel téléchargement lancé automatiquement par un site quelconque.

[Leonidas33]

Tu réponds toi-même à ta question : tout simplement parce que ce n'est pas en téléchargeant des applis depuis le Play Store, en installant des ROM custom de développeurs reconnus ou en allant sur des sites porno non douteux qu'on installe des malwares. Plutôt lorsqu'on installe des applications piratées, qu'on flashe des mods foireux à tout va sans trop savoir ce qu'ils font, et qu'on accepte n'importe quel téléchargement lancé automatiquement par un site quelconque.

je n'ai rien installé de piraté, je n'ai rien flashé ou quoi, et je n'accepte pas n'importe quel téléchargement, tout au plus des pdf ou quoi... justement je touche pas à tout ça

Salut,

Ca peut venir d'un mail ou d'une page web, pas forcément d'une application.

2 solutions:

- lister tout les processus via le shell si tu t'en sent capable et retrouver celui qui met le bazard

- reset total de ton appareil

Les anti-virus détectent après un certain délai (selon le distributeur) les virus et ce délai peut aller de quelques semaines à quelques mois.

A moins d'apprendre à connaître ton système sur le bout de doigts, il n'existe aucune protection sure à 100% sur aucun système d'exploitation.

comment lister tous les processus via le shell ?

néanmoins :

-sur mon mobile aussi il y a eu un changement d'un paramètre Facebook (je desactive les notifs, et ça s'était remis en actif, comme sur ma tablette)

-ma batterie ne se vide pas vitesse grand V finalement, j'ai pu comparer sa vitesse en mode veille avec WiFi activé avec celle de mon frère, c'est kifkif bourrico

et j'ai rematté une loooongue vidéo sur Daily sans avoir de soucis, donc pour le moment je vais rester vigilant mais pas de resert usine

[Lannig]

comment lister tous les processus via le shell ?

En utilisant la commande "ps"

[Invité]

et ce qui peut être bien, c'est de faire un md5 de tous les fichiers (principalement des applis) et de les contrôler de temps en temps histoire de voir si il y a eu des modifications

[Leonidas33]

En utilisant la commande "ps"

c'est à dire ? désolé je ne m'y connais pas

et ce qui peut être bien, c'est de faire un md5 de tous les fichiers (principalement des applis) et de les contrôler de temps en temps histoire de voir si il y a eu des modifications

md5?

[Invité]

"ps" est une commande pour lister tout les processus actif sur un système (on peut les cacher mais c'est assez rare, les virus commun sont majoritairement assez grossier)

c'est à dire ? désolé je ne m'y connais pas

md5?

En gros, ça fait une empreinte numérique, basé sur un système de hachage cryptographique, d'un fichier et si il est modifié l'empreinte n'est plus la même.

Pour du cryptage pure il vaut mieux taper dans un autre truc mais pour vérifier des fichiers d'un système ça reste fiable.

exemple:

# md5 root.zip

# MD5 (root.zip) = 530e4ab9ff610bd642fd7652ac594ebb

unzip root.zip, zip root.zip

# md5 root.zip

# MD5 (root.zip) = fd2b93552d05fc8121912b82ecbe3382

Le moindre bit changé dans un fichier modifiera son empreinte, le simple fait de le décompresser et de recompresser une archive la modifiera aussi.

http://fr.wikipedia.org/wiki/MD5

Modifié 10 mai 2013 par Old geek

[Lannig]

Ca ne serait pas md5sum plutot, la commande ?

[Invité]

Tous les chemins mènent à Rome.

[champignac]

C'est pas un peu inutile de faire un MD5 sur un APK alors qu'il est signé numériquement à la base ??

Enfin je veux dire que tout les fichiers que contiennent les APK sont obligatoirement signé numériquement justement pour éviter toutes modifications. Si un seul de ces fichiers ou bien si l'APK lui même est modifié, il ne démarrera pas.

[taz067]

... Si un seul de ces fichiers ou bien si l'APK lui même est modifié, il ne démarrera pas.

ah bon est les apk piraté ils n'ont aucun fichier modifier peut etre....

[Lannig]

Ils sont modifiés et resignés (avec une autre clef que celle d'origine, bien sûr) avant installation. Est-ce que cela fait une différence ou pas ? je ne sais pas.

En même temps un programme bien connu à l'icône en forme de smiley se vante de modifier les applis installées et de regénérer un APK. Alors...

[champignac]

oui, pour l'avoir fait moi-même, les apk modifiés sont resignés ensuite.

Pour le "programme connu a son icône en forme de smiley" je ne connais pas leur astuce mais pour avoir analysé un de leur apk modifié, effectivement. Il modifie le contenu du fichier .dex qu'il contient mais ne change pas du tout la signature numérique. Sans certitudes, vu qu'il n'est utilisable qu'avec des terminaux rootés, j'imagine qu'il doit plutôt bypasser le controle d'intégrité que fait le système avant d'ouvrir un apk.

Sinon, pour en revenir au sujet du virus, j'ai fait une simple recherche sur google du mot "Strlogger" et je suis tombé sur pas mal d'articles.

http://androidforums...-downloads.html

http://www.ibtasm.co...ead.php?p=50162

http://www.track-day...'s going on

manifestement, c'est sur des sites piégés que l'ont chope ce truc. Au vu du nom, "logger" il serait préférable changer tout les pass qui seraient accessibles via la tablette.

Pour AdTrack king:

http://www.wildersse...ad.php?t=345626

https://productforum...W5dg[1-25-true]

Pour lui, il semble qu'il faille purger les cache et les cookies des explorateurs web.

Modifié 12 mai 2013 par champignac

[Invité]

Le système n'est pas composé exclusivement d'apk, juste comme ça au passage. Un autre soucis, c'est que pour sécuriser son phone au mieux, on est obligé de les rooter ce qui ajoute une faille de plus parce que les 3/4 des utilisateurs "rootent" leur phone sans même savoir ce que c'est précisément à part "ça me permet d'installer ce que je veux". (il n'y a qu'à voir les questions, certains pensent même que le fait de rooter peux provoquer des casses hardware)

Il y a beaucoup de gens, aussi, qui pensent que c'est sécure parce que linux, mais linux ce n'est qu'un noyau et rien de plus, le reste c'est du google. D'ailleurs, il existe tout un tas d'outils pour sécuriser au mieux linux et sur les android aucune de ces sécurités poussé ne sont exploités et il reste et restera toujours la plus grosse faille: l'utilisateur qui ne sait pas comment fonctionne un ordinateur ce qui le rend incapable d'imaginer tout les cas de figure possible et le pousse involontairement à rajouter des failles.

Il y a aussi toutes ces conneries de brevet alacon sur n'importe quoi... rien que le fait d'avoir un système fonctionnant avec des comptes est soumis à ces fameux brevets. Tant qu'on autorisera à coller des brevets sur des clicks ou d'autre truc de base au lieux de les limiter à des algorithmes vraiment poussé, c'est pas prêt de s'arranger non plus.

Bref, android est très très loin d'être un système fiable et il ne le sera pas avant un bon bout de temps.

Modifié 13 mai 2013 par Old geek

[decrescendo]

C'est bien beau de dire ça mais qu'est-ce qui est "fiable" alors ? Un système où l'utilisateur n'a aucun droit parce qu'on part du principe qu'il est trop stupide et ignorant pour se protéger correctement ?

Je trouve qu'au contraire Android est un bon compromis entre liberté et sécurité.

[Lannig]

D'habitude je trouve les posts d'Old Geek souvent pleins de bon sens, mais là je trouve qu'il débloque bien :)

Le design même d'Android est bien mieux pensé que celui de beaucoup d'autres O/S, avec chaque application qui tourne sous un utilisateur séparé, un cloisonnement de leurs données, un système de privilèges très (trop ?) fin définissant ce que chaque application a le droit de faire.

C'est largement au-dessus de Windows bien sûr, mais même des distributions Linux classiques.

Implémenter des choses comme SELinux sur un système embarqué ou aucun process applicatif ou utilisateur n'est sensé avoir accès aux droits root ne sert pas à grand'chose et alourdit le système de façon rédhibitoire.

Je ne vois pas du tout sur quelle base objective on peut dire qu'Android n'est pas fiable.

Un exemple concret : tout ce qui contient le système est contenu dans un filesystem monté en lecture seule. C'est au contraire une énorme garantie de stabilité et de sécurité ! je ne connais aucun autre système actuel qui fasse cela.

Quant à l'histoire des brevets, je ne comprends même pas de quoi on parle.

Évidemment, tout ce design s'effondre à partir du moment où on roote son terminal. Là on casse tout, il n'y a plus de protections, plus de cloisonnement, plus rien. Ca ne fait pas partie du design, ça en est même la négation. Donc à partir de ce moment, on ne peut plus compter sur rien. Il faut le savoir et l'admettre.

[decrescendo]

Rooter, ce n'est pas non plus forcément accorder les droits root par défaut à n'importe quelle appli, et encore moins laisser le système en lecture/écriture.

[Lannig]

Certes, mais toute l'intégrité du système repose alors sur un petit lien entre la commande "su" et l'appli Superuser ou SuperSU, puisque c'est par là que passent les demandes de droits root. C'est un sacré maillon faible. Je n'ai pas mis mon nez là-dedans mais je ne serais pas surpris que cette interface entre les deux soit très attaquable...