Vi varios anuncios emergentes no deseados en un teléfono Android 5.x. Entonces instalé el programa gratuito Sophos Mobile Security en él (desde la Play Store) y lo ejecuté varias veces en los últimos días. Cada vez muestra algunos archivos que, según dice, son malware o PUA (aplicaciones potencialmente no deseadas). Me permite eliminar la mayoría de ellos.
Pero para dos, hay problemas. Uno se llama UC News y sigue regresando, incluso si se elimina. Otro es com.Android.syshandler. Para el último, no hay opción de eliminación. Sólo dice que es "PUA: Adware (PUA = Potentially Unwanted App)". Cuando hago clic en él, dice "Aplicación potencialmente no deseada": Android Ewind (Adware) identificada". Y pasa a enumerar muchos más puntos sobre ella, todos negativos o que indican un potencial daño al teléfono.
Por ejemplo, el primer punto dice:
Un tipo de aplicación que también puede incluir paquetes de terceros, cuyo objetivo principal es ofrecer contenido publicitario de una manera o contexto que puede ser inesperado y no deseado por los usuarios.
Tiene un enlace "Más detalles", pero cuando toco eso, se abre lo que parece ser el navegador de stock de Android (en lugar de Chrome) y que va a una URL que da un error 404 Página no encontrada. No puedo copiar el enlace para abrirlo en Chrome o pegarlo aquí.
Después de 2 días, han aparecido más anuncios no deseados y también aplicaciones -algunas incluso durante los análisis del teléfono con el software antimalware- tanto antes como después de instalar los otros dos software antimalware mencionados a continuación. También instalé MalwareBytes's Anti-Malware (MBAM) como sugirió uno de los comentaristas aquí. Funcionó para eliminar algunos archivos infectados pero no pudo eliminar dos:
- Rastreador de activación (archivo: /system/app/ActivationTracker/ActivationTracker.apk - que MBAM reporta como infectado por Android/Trojan.Spy.SmsThief.de) y
- Instalar el ayudante (archivo: /system/app/OLXHelper_v2.5_Lava/OLXHelper_v2.5_Lava.apk - que MBAM también reporta como infectado por Android/Trojan.Spy.SmsThief.de).
Los dos archivos infectados que no pudo eliminar parecen estar en una partición del sistema del teléfono. También instalé el antimalware Kaspersky y realicé un análisis con él. También pudo detectar y eliminar algunos, pero no otros.
Creo que el software del sistema del teléfono también se ha corrompido, porque, por ejemplo, los antimalware Kaspersky o Malwarebytes dan una advertencia de seguridad sobre la configuración para permitir la instalación de paquetes de sitios de terceros que se establece en Sí/No. Cuando lo vuelvo a cambiar manualmente a No/Apagado, después de algún tiempo vuelve a ser Sí/Activado por sí mismo - lo que parece indicar que las aplicaciones de malware lo están cambiando activamente.
Además, ahora, de vez en cuando, aparecen aplicaciones con nombres como CrazyRacer2 y Super File Manager (o nombre similar) sin que yo las instale. Salgo de ellas cada vez. Pero vuelven a aparecer.
0 votos
No es una respuesta, pero mi reputación es demasiado baja para comentar: ¿Dice en qué carpeta está instalado Android Ewind (Adware)? ¿Has probado con Malwarebytes Anti-Malware de play store?
1 votos
No sé lo segundo, pero para ese "UC News": ¿has comprobado si tienes instaladas otras aplicaciones del mismo desarrollador? AFAIR había un navegador con el nombre de "UC Browser" reportado como "sospechoso" en muchos lugares .
0 votos
@kirodge: Gracias por la respuesta. No, no dice en qué carpeta está Ewind. Tengo una aplicación de gestión de archivos, pero creo que no me permite ver cualquier carpeta arbitraria, sólo algunas estándar. Probaré con alguna otra aplicación de gestión. No he probado Malwarebytes Anti-Malware, pero lo comprobaré después de tu sugerencia, gracias.
0 votos
@Izzy: Gracias por tu respuesta. No, no tengo ninguna otra aplicación de ese desarrollador o compañía. Sé lo que es UC Browser pero no lo tengo. Creo que puede ser de la misma empresa. Comprobaré el enlace que has puesto, gracias.
0 votos
Hmmm. Android Ewind parece ser un virus para Windows, que se propaga a través de Android (Eso es realmente inteligente) Y com.Android.syshandler........ Oh, Dios. (aparentemente) infecta y reemplaza el identificador de llamadas y la aplicación del teléfono. Parece que una ROM limpia está en las cartas. ¿Cuál es tu dispositivo?
1 votos
@DanBrown: Parece que todavía no hay ningún efecto en la aplicación del teléfono - pero quién sabe. De hecho, voy a comprobar que para ver si funciona bien. El dispositivo es un teléfono Android Lava A79 con Android 5.1. Marca india. Funcionaba bien hasta que surgió este reciente problema. Pero había notado algunos síntomas un poco antes, como la ralentización del teléfono, tal vez relacionados con el malware.
0 votos
@Dan Brown: "(aparentemente) infecta y reemplaza tu identificador de llamadas y tu aplicación de teléfono. "¿Dónde has visto eso? Me gustaría comprobar esa información.
0 votos
Sabes qué, eso es sólo un susto que creo. Sólo deshacerse de todo y el restablecimiento de fábrica de su teléfono
0 votos
No se puede comentar debido a la baja reputación: ¿Indica malwarebytes en qué archivos reside el malware? (.apk) Y sobre UC News - son notificaciones de la aplicación UC Browser. Deberías poder deshacerte de ellas desinstalando UC Browser o bloqueo de notificaciones para el navegador UC.
0 votos
Sí, ver arriba en mi post original que he editado para añadir esa y otra información.
0 votos
Lo siento, pero no puedo decir si ActivationTracker y OLXHelper están realmente infectados o si se trata de falsos positivos. En cualquier caso, el resto de problemas indican que tu dispositivo sigue infectado por algo. La mejor opción, como sugirió Dan Brown, podría ser tratar de conseguir una ROM limpia.
0 votos
Gracias, lo entiendo. Escribiré al vendedor de teléfonos para conseguir una ROM limpia.
0 votos
Re. "Lo siento, pero no puedo decir si ActivationTracker y OLXHelper están realmente infectados o si se trata de falsos positivos" --- Uno de los antimalware que ejecuté, identificó los dos archivos mencionados (en la carpeta /system/...), como infectados por un malware llamado algo así como Spy.SmsThief.de . Así que parece que no es un falso positivo. Sólo para que lo sepas. ¿Algún consejo sobre dónde buscar una ROM limpia?
0 votos
Oops. Lo siento, no hay consejos. Puedo encontrar algunos sitios que tienen rom de valores para Lava A79 si Google. Pero como no sé si alguno de ellos es de confianza no puedo recomendarte ninguno. Tal vez usted puede hacer una nueva pregunta "¿Dónde encontrar rom stock para Lava A79, y cómo puedo instalarlo?"
0 votos
Sí, eso tiene sentido. Lo haré, gracias de nuevo.
0 votos
Huh, mi error- Ewind y syshandler parece ser el mismo. androidforums.com/attachments/
0 votos
@DanBrown: Parece que sí.