l virus si chiama Ghost Push o Monkey test e installa App indesiderate consumando batteria e dati, qui trovate la soluzione per rimuoverlo.
Gli utenti Android, e chi amministra le rete aziendali, forse se ne sono già accorti. Molti non riescono a disinstallare una App chiamata Monkey Test, il problema è Ghost Push, è un nuovo malware per Android che ha infettato in un solo giorno oltre 600.000 dispositivi e il numero è destinato a salire rapidamente.
Il virus si chiama Ghost Push anche se molti lo identificano con le app Monkey test e Time Service (impossibili da rimuovere). Ghost Push viene diffuso da alcuni SDK, quindi infetta soprattutto programmatori e sviluppatori, ma è stato rintracciato anche in alcune pubblicità che, una volta visualizzate nel browser, scaricano il malware.
Una volta che Ghost Push si è annidato nel telefonino comincia a scaricare da solo una serie di app, alcune davvero fastidiose come Monkey Test e Time Service. È molto difficile da rimuovere anche se il telefonino è protetto da software antivirus e addirittura ripristinando completamente il telefono allo “stato di fabbrica”. Monkey Test infatti è in grado di riguadagnare il root access.
I primi sintomi dell’infezione sono: rallentamento del dispositivo, consumo eccessivo della batteria e consumo incontrollato della connessione dati.
Bisogna controllare che sul telefono o tablet non sia presenti App che non sono state scaricate dall’utente.
Negli store Android la società Cheetah Mobile ha rintracciato 39 App che, se scaricate, installano il pericoloso malware. È possibile che queste App sia state infiltrate dagli hacker oppure che siano state appositamente create per diffondere “l’infezione”. Quando si scarica una app, in questi giorni, meglio controllare il nome del file se somiglia a “com.abc.yinhe” non istallatelo. Per limitare il rischio è bene fare il download delle app solo dal sito ufficiale dello sviluppatore, per non ritrovarsi ad installare una app “fake” che magari contiene Ghost Push e quindi Monkey Test.
È bene controllare, in particolare, l’esatta provenienza di app come WiFi Enhancer, TimeService, Assistive Touch, All-star Fruit Slash, MonkeyTest, Super Mario, Simple Flashlight e Amazon, di cui sono state ritrovate, in store che non sono quello ufficiale di Google Play, versioni contraffatte e infette.
Qui di seguito trovate la soluzione per rimuovere Monkey Test. che viene isntallata dal virus Ghost Push.
How to remove monkey test (Ghost Push) malware?
By Cheetah Mobile
Cheetah Mobile will soon have a simple tool on the Google Play store (https://play.google.com/store/apps/details?id=com.cleanmaster.security.stubborntrjkiller) for removing the infection and the unwanted apps it downloaded, but until then here’s how you can remove it manually.
First, your phone should be rooted.
Download the adb tool: http://developer.android.com/tools/help/adb.html
Then, download and install Busybox: http://www.busybox.net
Connect your phone to a PC via adb shell and get root permission using command su.
Next, execute these commands in adb shell
ps | grep .base #get the pid of file .base
kill pid
remove malware bin file
mount -o remount rw /system #different system may use different command
chattr –ia /system/xbin/.ext.base
chattr –ia /system/xbin/.bat.base
chattr –ia /system/xbin/.zip.base
chattr –ia /system/xbin/.word.base
chattr –ia /system/xbin/.look.base
chattr –ia /system/xbin/.like.base
chattr –ia /system/xbin/.view.base
chattr –ia /system/xbin/.must.base
chattr –ia /system/xbin/.team.base
chattr –ia /system/xbin/.type.base
chattr –ia /system/xbin/.b
chattr –ia /system/xbin/.sys.apk
chattr –ia /system/xbin/.df
chattr –ia /system/bin/daemonuis
chattr –ia /system/bin/uis
chattr –ia /system/bin/debuggerd
chattr –ia /system/bin/nis
chattr –ia /system/bin/daemonnis
chattr –ia /system/bin/.daemon/nis
chattr –ia /system/bin/uis
chattr –ia /system/bin/.sr/nis
chattr –ia /system/bin/mis
chattr –ia /system/bin/daemonmis
chattr –ia /system/bin/.daemon/mis
chattr –ia /system/bin/.sc/mis
rm /system/xbin/.ext.base
rm /system/xbin/.bat.base
rm /system/xbin/.zip.base
rm /system/xbin/.word.base
rm /system/xbin/.look.base
rm /system/xbin/.like.base
rm /system/xbin/.view.base
rm /system/xbin/.must.base
rm /system/xbin/.team.base
rm /system/xbin/.type.base
rm /system/xbin/.b
rm /system/xbin/.sys.apk
rm /system/xbin/.df
rm /system/bin/daemonuis
rm /system/bin/uis
rm /system/bin/debuggerd
rm /system/bin/nis
rm /system/bin/daemonnis
rm /system/bin/.daemon/nis
rm /system/bin/uis
rm /system/bin/.sr/nis
rm /system/bin/mis
rm /system/bin/daemonmis
rm /system/bin/.daemon/mis
rm /system/bin/.sc/mis
cp /system/bin/debuggerd_test /system/bin/debuggerd
if you can’t remove the malware, you can remove it use these command.
chattr –ia /system/priv-app/cameraupdate.apk
chattr –ia /system/priv-app/com.android.wp.net.log.apk
rm -rf /data/data/com.android.camera.update
rm -rf /data/data/com.android.wp.net.log
rm /systam/priv-app/cameraupdate.apk
rm /systam/priv-app/com.android.wp.net.log.apk
adb shell
cp /system/etc/install-revcovery.sh /sdcard/
adb pull /sdcard/install-revcovery.sh
adb push install-revcovery.sh /sdcard/
cp /sdcard/install-revcovery.sh /system/etc/
open /system/etc/install-recovery.sh,remove code below.
/system/bin/daemonuis –auto-daemon &
#!/system/bin/sh
/system/xbin/.ext.base &
#!/system/bin/sh
/system/xbin/.ext.base &
Francesco Marino
Giornalista esperto di tecnologia, da oltre 20 anni si occupa di innovazione, mondo digitale, hardware, software e social. È stato direttore editoriale della rivista scientifica Newton e ha lavorato per 11 anni al Gruppo Sole 24 Ore. È il fondatore e direttore responsabile di Digitalic
