Ho scoperto che alcuni apk client attivano più flag rossi durante la scansione di VirusTotal:
Exploit.Linux.agz, TROJ_GE.521F1419, TROJ_GEN.F04JC00IA17
Sembra abbastanza serio. Ma come interpreto questi risultati? Quanto sono seri e affidabili?
Koodous (uno scanner AV mobile-based basato su cloud) non esegue un'analisi di questo particolare APK - link
ma se si guardano gli attributi soggetto e issuer per il certificato Android, questa app dannosa è simile (contiene la stringa rtt
) ad altre che sono state analizzate - link - (VirusTotal per questo secondo uno qui - )
Questa analisi mostra chiaramente che 8 su 97 APK analizzati da Koodous con lo stesso certificato contengono anche adware / malware - link
Se guardi la sezione Stringhe interessanti per l'APK hai eseguito VirusTotal - link - - vedrai http://api.share2w.com/stat/adrequest
, che è un dominio dannoso e URL .
Poiché l'altra risposta sfugge a (e nella stessa sezione dei dettagli descritta nell'ultimo paragrafo), l'APK contiene uno o più eseguibili di Linux. Nella situazione del tuo APK, almeno uno dei binari che include è stato trovato sul filesystem come /r/m/su.png
che è il su
binario usato per l'escalation di privilegi Linux / Anroid. Non ho idea del motivo per cui è entrato nel Google Play Store, ma l'APK è disponibile anche nel app store AppChina / mercato delle app.
Oltre al su binario, l'APK contiene anche il seguente codice sospetto / malevolo:
private void a(File object, InputStream inputStream, String string2) throws IOException, InterruptedException { int n2; if (!object.getParentFile().exists()) { object.getParentFile().mkdirs(); } String string3 = object.getAbsolutePath(); object = new FileOutputStream((File)object); byte[] arrby = new byte[1024]; while ((n2 = inputStream.read(arrby)) > 0) { object.write(arrby, 0, n2); } object.close(); inputStream.close(); Runtime.getRuntime().exec("chmod " + string2 + " " + string3).waitFor(); }
Probabilmente contiene anche altre logiche dannose, ma queste sono sufficienti per concludere che l'APK è davvero una sorta di adware / malware.
3/62 è un buon punteggio anche con Kaspersky, Bitdefender, Sophos, Symantech & Dr.Web lì dentro. Ma sono abbastanza sicuro che non sono progettati per scansionare con le firme mobili, prova a utilizzare uno scanner AV basato su Android per cancellare le nuvole.
The app might get flagged as trojan as it contains one or more Linux executable.