Exploit.AndroidOS.Lotoor.A ?

[seblog]

Bonjour,

J'ai rooté mon LG 2X hier avec SuperOneClick et tout c'est très bien déroulé.

Par contre ce matin en me réveillant mon antivirus (Zone Antivirus Free) m'annonce qu'une menace a été détectée : Exploit.AndroidOS.Lotoor.A (voir la photo en pièce jointe).

Ma question est la suivante : Dois-je supprimer ce fichier ou s'agit-il d'un fichier du logiciel qui a permis le root ?

Merci.

[Xkz]

As-tu toujours le lien avec lequel tu as dl SuperOneClick ?

[seblog]

Voici l'adresse du lien: http://www.multiupload.com/9AJDSU1Q11

Edited January 15, 2012 by seblog

[lepisme]

Salut,

"When run, Exploit:Unix/Lotoor allow a remote attacker to gain administrator privilege to the device running Android operation system.

Connects to a remote website

Exploit:Unix/Lotoor decrypts the name of a remote server provided by TrojanSpy:AndroidOS/DroidDream.A such as "184.105.245.17". The server address is used to send user identifiable data from the affected mobile device."

Malheureusement, je crains que dès lors qu'on apporte une modification inconnue au système Android c'est à ses risques et périls.

Ca vaut selon moi pour toutes les manoeuvres de rootage du mobile, ou autres, qu'elles soient déja répertoriées par les bons anti-malware ou non.

Une règle d'or serait de ne jamais installer qqch provenant d'une source non-officielle, surtout quand on ne peut vérifier ou ne sait pas interpréter le code source du programme.

Edited January 15, 2012 by lepisme

[Xkz]

Tu peux le supprimer, les seuls exploits utilisés pour ton root sont psneuter et zR.

[seblog]

En cliquant sur désinstaller, je me retrouve sur la page "Super-utilisateur" avec

Désinstaller l'application ?

Cette application sera désinstallée.

Je clique sur OK et je me retrouve avec échec de la désinstallation.

Superuser apparaît dans mes applications et quand je l'ouvre, les 2 programmes autorisés sont BusyBox et SpbShell3DPatcher.

Pour information BitDefender ne détecte pas la menace.

Edited January 15, 2012 by seblog

[Xkz]

Heu... SPB Shell n'a pas besoin de patcher pour fonctionner, trouve toi un autre crack mon ami, Lootor vient peut-être de là.

Utilise Titanium Backup pour transformer Superuser en application utilisateur, puis desinstalle-le et refais un test avec ton anti-malware.

Si il ne reste plus aucune trace de celui-ci, telecharge super utilisateur depuis le market.

[seblog]

J'essaie dans la mesure du possible de tout tester avant l'achat de la version market.

La version utilisée (avec patch) a été validée par une bonne trentaine d'utilisateurs donc je ne pense pas que le problème vienne de là.

J'ai utilisé plusieurs antivirus (Dr Web, BitDefender, Avast, Lookout Antivirus) et le seul à trouver cette menace est Zone Antivirus. Est-ce vraiment une menace ?

Pour ce qui est de Titanium Backup, comment fait-on pour transformer Superuser en application utilisateur ?

[lepisme]

Est-ce vraiment une menace ?

euh j'avais déja répondu:

"When run, Exploit:Unix/Lotoor allow a remote attacker to gain administrator privilege to the device running Android operation system.

Connects to a remote website

Exploit:Unix/Lotoor decrypts the name of a remote server provided by TrojanSpy:AndroidOS/DroidDream.A such as "184.105.245.17". The server address is used to send user identifiable data from the affected mobile device."

mais je peux traduire si besoin ;) en résumé ça dit que cet exploit permet à l'attaquant d'obtenir les droits administrateur sur le système pour récupérer les données perso de l'utilisateur et les envoyer sur un serveur distant.

Edited January 15, 2012 by lepisme

[seblog]

J'avais traduit ;) mais je n'ai trouvé aucune information sur google concernant Exploit.AndroidOS.Lotoor.A

Il y a bien J ou G mais rien sur A, serais-je le seul avec ce fichier ?

Comment expliquer que seul Zone Antivirus le détecte ? BitDefender détecte les J et G mais pas le A, pourquoi ?

Maintenant si la lettre n'a aucune importance, effectivement j'ai un problème.

Autre précision, la version de superuser est celle du Market (version 3.0.7)

[Xkz]

Je viens de tester sur un O2X et j'ai l'impression que c'est Zoner Antivirus qui invente ce malware car celui-ci devrait envoyer des données, or 0 octets sont envoyés à partir du téléphone.

Fais tout de même ce que je t'ai dit, pour rendre l'application système en appli' utilisateur, appui long dessus puis tu trouvera, par contre il faut avoir la version pro de Titanium Backup (tu devrais le trouver comme tu as trouvé spb shell 3D).

[seblog]

J'ai récupéré Titanium Backup Pro mais petit problème (comme avec la version standard) dans la liste des applis, aucune trace de superuser :huh:

Par contre elle apparaît bien dans le gestionnaire d'applications du téléphone mais sans possibilité de suppression.

[Xkz]

Oui normal je viens d'y penser. TB a besoin de SU pour fonctionner. Pour le moment j'ai vu aucun problème lié à ce rootage.

Desactives la détection des PUP dans ton anti-malware, et. essaye à nouveau.

[vaskezsanchez]

bonjour

deja c est normal qu un antivirus detecte un programme de root comme malveillant car il exploite une faille de securité, d ou la detection root exploit, mais si c est toi qui root ton mobile pas de probleme, par contre si tu installe une application tierce et que la tu trouve ce resultat vire la de suite sinon elle peut executerdes taches sans ton accord...

le root c est bien mais apres faut faire gaffe a ce que tu installe sur ton smartphone pour ne pas accorder les droitd admin a une appli et se retrouver avec une facture tres salé...

d ou l utilité de programme comme lbe, app shield etc...

ps : ne telecharge pas de programme root n importe ou car sinon tu es sur d avoir un apk vérolé, vas sur la section du forum pour ton mobile!!

Message envoyé avec l'application Forum Frandroid

Edited January 17, 2012 by DragNexus

[Xkz]

Sauf que ce n'est pas un exploit qui vient du SuperOneClick de shortfuse.

[indian65]

edit post supprimé

Edited January 19, 2012 by indian65