NOXPLAYER (Emulateur Android)

Dans cette partie vous trouverez des papiers, articles sur l'informatique/sécurité.
Avatar de l’utilisateur
Parisien_entraide
Messages : 18443
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

NOXPLAYER (Emulateur Android)

par Parisien_entraide »

2021-11-24_010938.png




Un petit mot au sujet de l'émulateur Android NOXPLAYER


Lien : https://fr.bignox.com/


Déjà par rapport à la concurrence, NOX est ce qu'il y a de mieux et surtout de plus stable

Il faut savoir qu'à l'installation Nox proposait (propose ?) d'installer des Adwares (Via FusionCore qui est un programme d'affiliation pour faire installer des PUP et Adware.)

Son principal concurrent BlueStack est bourré lui de bloatwares


Par contre :

En février 2021, un groupe de hackers a eu accès à l'infrastructure de serveurs de BigNox, la société qui fabrique NoxPlayer.
Le groupe de piratage a eu accès à l'une des API officielles de l'entreprise (api.bignox.com) et des serveurs d'hébergement de fichiers (res06.bignox.com) à l'aide desquels les pirates ont falsifié et fourni des mises à jour malveillantes aux victimes sélectionnées.

En fait les hackers en question avaient accès aux serveurs de BigNox depuis le mois de septembre 2020, et visaient initialement des gens à Taïwan, Hong Kong, ...
En plus ils ont utilisé PoisonIvy, qui avait servi aux Chinois pour le piratage d'oéprateurs mobiles (dont en Europe)
https://www.phonandroid.com/dix-operate ... inois.html

Cela sent une opération des services de renseignement et du gouvernement Chinois (Si on en juge le passif du groupe de hackers qui font l'erreur d'utiliser les mêmes outils et qu' ESET appelle le groupe "Stellera")

Au passage, Nox a son siège à ...Hong Kong

Il est donc conseillé d'utiliser NOX avec un autre compte google crée pour l'occasion et le tout dans une VM ou un PC dédié..



NOX et les PPI (programmes potentiellement indésirables)


Par le passé étaient installés (si l'utilisateur cliquait comme un bourrin sur "suivant" ) :

Segurazo https://www.malekal.com/santivirus-supp ... nstaller/ dont le nom a changé en "Restoro" avec une finalité différente
https://www.malekal.com/restoro-logici ... le-eviter/ et où sur les faux sites d'anti virus il est conseillé d'utiliser .. REIMAGE pour s'en débarrasser (la boucle est bouclée :-) ou SPYHUNTER (pas mieux)

REIMAGE qui bénéficie de bienveillants commentaires comme par ex :

"Je suis tellement contente d'avoir découvert ce produit. Il a effacé les logiciels malveillants de mon ordinateur - comme promis, et j'ai remarqué une augmentation significative de la vitesse de l'ordinateur juste après l'analyse de Reimage Repair. J'ai déjà essayé de nombreux programmes, mais celui-ci a vraiment cette fonctionnalité tout-en-un."

Derrière on retrouve toujours la meme sté : KAPE
viewtopic.php?p=515689&hilit=MacKeeper#p515689


Ensuite est venu AVAST (logiciel cependant légal)



Puis Nox devant la levée de boucliers, a décidé de supprimer les logiciels groupés et voulait se diriger vers de l'ADS

Sur le site officiel https://www.bignox.com/ car il existe de nombreux faux sites de téléchargement de NOX du fait de sa popularité et nombre d'utilisateurs (150 millions à travers le monde), ce jour, l'archive d'installation en .exe de plus de 510 Mo est considérée comme "clean" par virus total,

https://www.virustotal.com/gui/file/268 ... d3b63c09a1

ainsi que par Kaspersky Internet security avec tous les curseurs à fond, sur l'archive, et après installation : RIEN

A l'installation et au lancement de l'appli , RIEN n'a été détecté non plus


Ce qui n 'est qu'indicatif, car les Pup's ne sont pas toujours considérés comme malveillants, ce qui est normal car d'une part c'est bien indiqué dans les conditions générales d'utilisation, et de plus l'utilisateur "consent" à l"'utilisation du programme (en fait il ne lit pas les conditions générales d'utilisation) Donc.. Du point de vue légal il n'y a RIEN à reprocher

Cependant un accès était bloqué à yeshen.htm, qui n'est rien d'autres que Yenshen.com, site origine de Nox en Chine

2021 yeshen.com
Sécurité du réseau public de Pékin n° 11010802020549
Certificat ICP de Pékin n° 160250
Pékin Net Wen (2018) n° 11074-1003
Pékin ICP n° 15013615


Un site Chinois qu a les autorisations de Pekin, ne peut que collaborer avec les autorités (Il n'a pas le choix, que ce soit volontaire ou pas)
De plus j'ai noté un scan du PC lors de l'installation et un ad's bloqué avec la liste "Block convert" de Ublock Origin pour le site
https://weibo.com

Une tentative d'envoi de ma mac adress à pubstatus.sinaapp.com via http://noxagile.duapp.com


Juste un extrait de la policy :

Nox ne vend, n'échange ni ne transfère les informations de l'utilisateur à des tiers. Cependant, nous pouvons partager les informations utilisateur avec nos partenaires commerciaux à des fins de marketing, de publicité ou d'offre de produits/services.

NOX ne vend rien etc, MAIS "peut" partager... avec d'autres qui eux pourront faire n'importe quoi
L'hypocrisie habituelle des contrats d' utilisation

_______

On peut le désinstaller proprement (avec Revo Uninstaller, Geek Uninstaller, ...)

Je conseille du reste pour ceux qui l'utilisent depuis longtemps de le désinstaller et de le réinstaller
La raison ? La version de base est mal patchée et contient encore des morceaux de code de l'époque ou le comportement n'était pas clair, sans compter les fausses maj des pirates

Pour un descriptif de NOXPLAYER (même si cela sent l'article clé en main ce n'est pas trop mal) : https://www.lesnumeriques.com/telecharg ... ayer-20080
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 18443
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: NOXPLAYER (Emulateur Android)

par Parisien_entraide »

Complément puisque ce jour (le 24/11/2021) j'ai retesté l'installation de NOXPLAYER

Téléchargement de 510 Mo (sur le site officiel)
Analyse par Kaserpsky internet security : RAS



Analyse Kaspersky
nox instal1_test avl.png

On peut cliquer sur "Installation personnalisée" mais celle ci ne met pas en avant les programmes tiers proposés en tant "'qu"offre"
Il faut cliquer sur "'Installer maintenant" pour les voir apparaitre

A noter que d'essayer de lire la "convention d'utilisation" est un véritable calvaire, car il s'agit d'un texte défilant qui n'est pas fluide



En cliquant sur l'installation personnalisée
nox install.png



Une fois que l'on a cliqué sur "installer maintenant" on se voit offrir "AVAST"
Il s'agit bien d'une PROPOSITION puisque le choix est fait à l'utilisateur de refuser.
Ce n'est donc pas un choix forcé, ce qui fait que les AV et/ou Antimalwares ne trouveront rien, d'une part parce que ce ne sont pas des malwares ou des programmes qui se comportent comme tels, mais également c'est inattaquable juridiquement

nox instal1l.png



Si on refuse l'offre AVAST, on se voit proposer une autre offre : AVG (mais derrière il s'agit toujours d' AVAST, puisque AVG a été racheté par AVAST)
nox instal1lBis_ AVG.png


Si on cliques une troisième fois sur REFUSER, le programme s'installe, SANS les offres proposées
Il n'y a donc RIEN à redire, et c'est à l'utilisateur de lire, de savoir lire, d'être attentif

Le seul soucis, pour ceux qui ne voient rien et qui cliquent sur "'ACCEPTER", c'est que l'installation de l'antivirus proposée ne tient absolument pas compte de ce qui est en place, ne désinstalle ou neutralise rien avant installation, et cela se finira obligatoirement par au mieux de gros ralentissements, dysfonctionnements, .. et au pire des BSOD
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 18443
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: NOXPLAYER (Emulateur Android)

par Parisien_entraide »

Je reviens sur le sujet non pas au regard d'un possible malware (qui n'existe pas) dans le programme originel mais du fait que NOXPLAYER est ciblé depuis quelques semaines pour infecter les PC via de faux liens de téléchargement

Du reste il n'est pas le seul puisque les applications "populaires" Viber, WeChat, et le dernier Battlefield sont visés également

Au lieu d'un logiciel légitime, les utilisateurs obtiennent une porte dérobée et une extension malveillante pour le navigateur Chrome.

Derrière on retrouve le groupe "MAGNAT" qui attaque les utilisateurs qui recherchent des logiciels populaires dans les moteurs de recherche.
En glissant leurs liens, les attaquants envoient des victimes potentielles pour télécharger de faux installateurs du malware RedLine Stealer et du module complémentaire MagnatExtension.

L'extension du navigateur essaie d'enregistrer les frappes et de prendre des captures d'écran, tandis que la porte dérobée, écrite en AutoIt, fournit un accès à distance à l'ordinateur.
Autrement dit les login et mot de passe sont compromis, idem les paiements par carte bancaire

MagnatExtension masque la navigation sécurisée sur Google , mais il possède une gamme de fonctions malveillantes : collecte des fichiers de cookies, vole diverses données, exécute du code JavaScript. L'adresse du serveur de commandes (C2) est codée en dur dans le code de la porte dérobée, mais il existe également un moyen de secours pour s'y connecter - en utilisant la plate-forme Twitter. Le malware recherche les hashtags # aquamamba2019 et # ololo2019 pour obtenir une nouvelle adresse C2.

Possible cas sur le forum : viewtopic.php?t=69785



Source et avec plus de détails :

https://blog.talosintelligence.com/2021 ... ng-to.html
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 18443
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: NOXPLAYER (Emulateur Android)

par Parisien_entraide »

Au 26/05/2022


Avast est toujours présent lors de l'installation
Noxplayer avastr.jpg



Mais au lieu d'AVG j'ai eu droit au navigateur Opera ( Relativement.. "normal" puisque ce sont les Chinois derrière)
Opéra la société : viewtopic.php?t=68853
Nox opera.jpg
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 18443
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: NOXPLAYER (Emulateur Android)

par Parisien_entraide »

Au 20/01/2023

Ce sont toujours AVG et OPERA qui "souhaitent" être installés
Kaspersky n'a pas bronché (j'ai meme mis le curseur un peu plus haut dans les paramètres pour l'occasion) et j'ai quand même procédé ensuite à une analyse manuelle des dossiers et... rien non plus

Tout est propre (sans rien installer d'autre)

Par contre...

Il semble qu'il y ait un soucis avec la partie du site dédiée au Blog : hxxps://www.bignox.com/blog/
Vraie alerte ou faux positif avec des alertes génériques ?
Il faudrait prendre le temps de tout analyser

J'y suis allé avec mon Firefox sécurisé, et j'ai une extension qui a tout bloqué et ce bien avant kaspersky n'agisse (ou réagisse) : Netcraft
https://addons.mozilla.org/fr/firefox/a ... t-toolbar/

Quelques détails sur cette extension (et les autres) sur le sujet
Les meilleures extensions pour FIREFOX ; SECURITE et VIE PRIVEE
viewtopic.php?p=527443#p527443

Autre solution si l'on n'a pas cette extension et un anti virus tiers qui réagisse : Bloquer les scripts
Personnellement j'utilise No Script (par habitude car Ublock Origin le permet aussi)
Cela garantie une protection globale en fait pour tous les sites (mais avec les inconvénients qui consiste à débloquer provisoirement ou pas, site par site)

NEtcraft.jpg

Ensuite dans une sandbox j'ai pris un profil de fireffox "'nu" configuré par défaut et sans extension et là Kaspersky est entré en scène et à tout bloqué (donc pas de risques non plus) mais l'analyse des scripts indiquent qu'ils vont chercher quelque chose
Même réaction avec un navigateur Chromium
Par contre Windows Defender sur un autre PC n'a rien détecté
Test réalisés sous Windows 7 et Windows 10. Sous les 2 Os les protections ont réagi (sauf Windows Defender un PC de bureau avec les réglages par défaut sous WIn10 et sur un portable en Win7. Rappel : le test avec cette protection n'a aucune valeur sous Win7, car celle ci n'est pas du tout efficace sous cet OS et n'est en rien comparable avec la version de Win10/11)

En fait il détecte du "Trojan generic" ce qui ne veut pas dire grand chose (cela peut etre un simple iframe)

2023-01-21_002259.jpg

VirusTotal ne raconte pas grand chose

https://www.virustotal.com/gui/url/4539 ... b2058d88c1

Ni ce type d'analyse
https://www.hybrid-analysis.com/sample/ ... ab0bef0e1b

J'en ai testé d'autres comme (ou parfois il y a plus de détails)
https://sitecheck.sucuri.net/

Mais la plupart de ces types de sites ne voient rien (il faudrait dégainer les outils habituels comme Wireshark etc mais bon.)
En plus derrière le blog il y a du cloudflare

Bon après Netcraft, derrière il y a du monde de compétent, Kaspersky aussi mais c'est de l"analyse heuristique (et comportementale), mais peut etre est ce bloqué "au cas où" car ce type d'analyse est connue pour du faux positif
Par ex il suffit d'utiliser un compilateur X sur un programme sain, , utilisé par ex pour empaqueter un programme malveillant connu, pour que Kaspersky se mette en alerte
Dans l'absolu c'est normal

Mais comme il est dit (méthode connue)
Cacher du contenu spammé (liens, textes spammés, etc.) sur des pages Web légitimes est une astuce SEO courante.
Il aide à utiliser les pages de site existantes dans les schémas de référencement black hat tout en les gardant invisibles pour les visiteurs du site et le webmaster.
Il existe de nombreuses techniques permettant de masquer certaines parties d'une page Web. La plupart d'entre eux incluent CSS ou JavaScript. Le plus simple consiste à placer du contenu indésirable dans une balise div avec l' affichage : aucun ; style.
Il existe de nombreuses autres variantes d'utilisation de différents styles de balises pour les masquer.
En fait il faudrait effectuer une analyse plus poussée, sans antivirus et avec quelques programmes derrière mais bon..
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 18443
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: NOXPLAYER (Emulateur Android)

par Parisien_entraide »

Vu la prolifération de .apk vérolées, quelques sites considérés comme "sains" du fait de leur contenu, sans compter qu'il y a des vérifications (anti virus etc ) avant mise en place sur les sites


Sinon pour tester soi meme

https://play.google.com/store/apps/deta ... pkanalyzer
https://metadefender.opswat.com/?lang=en
https://www.virustotal.com/gui/home/upload

En gardant en mémoire que ce n'est qu'indicatif, que créateurs d' APK vérolés savent qu'il y a des limites d'upload et s'en servent en créant un gros fichier .apk par exemple




2023-02-22_160558.jpg

C'est quoi un fichier .APK ?

Un fichier APK (Android Package Kit) est le format de fichier utilisé par le système d’exploitation Android pour la distribution et l’installation d’applications mobiles.
Il s’agit d’un fichier compressé contenant tous les éléments nécessaires à l’installation de l’application sur un appareil Android. Cela peut inclure des fichiers d’installation, des ressources, des images et d’autres éléments nécessaires à l’exécution de l’application. Pour faire simple, c’est en quelque sorte l’équivalent d’un fichier « .exe » sur Windows, ou d’un fichier « .dmg » sur macOS. Lorsqu’on télécharge une application sur le Play Store, elle est téléchargée et installée au format APK de manière transparente.



LES SITES

APK MIRROR
https://www.apkmirror.com/
On peut y trouver des applications versions bêta, des versions modifiées, ainsi que des versions antérieures d’applications.



APKPURE
https://apkpure.com/fr/
La même chose mais orienté JEUX
APKPure propose également une application pour Android qui vous permet de télécharger des applications directement sur votre téléphone



APTOIDE
https://en.aptoide.com/
Est considéré comme magasin Android alternatif à Google Play Store.
Cependant, contrairement à Google Play Store, Aptoide ne censure pas les applications et vous pouvez trouver des applications qui ne sont pas disponibles sur le Play Store, donc.. méfiance et bien lire les commentaires (qui sont vérifiés) même si il n'y a jamais eu de malwares jusqu'à présent


F-DROID
https://f-droid.org/fr/
Axé sur les applications open source respectueuses de la vie privée et sécurisées pour les utilisateurs qui préfèrent des alternatives aux applications populaires disponibles sur le Google Play Store.
Vous pouvez télécharger les fichiers APK directement depuis leur site web ou installer leur application F-Droid sur votre appareil Android pour accéder à leur bibliothèque.


Faire attention pour les mises à jour
Par ex, je suis obligé de lancer F-Droid pour savoir que telle ou telle application bénéficie d'une mise à jour
Je pense qu'il y a peut etre un réglage à effectuer derrière, tout comme pour le magasin de google, mais de toutes les façons vu que j'ai mis pas mal de restrictions (Android 13) c'est peut etre normal
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 18443
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: NOXPLAYER (Emulateur Android)

par Parisien_entraide »

En complément, des articles du site

Applications malveillantes sur Android : 7 conseils pour les éviter
https://www.malekal.com/applications-ma ... s-android/

Comment installer une application et APK de sources inconnues sur Android
https://www.malekal.com/comment-install ... r-android/


Et si vous etes en Win11 22H2
Windows 11 : Exécuter des applications Android sur son PC
https://www.malekal.com/windows-11-exec ... ur-son-pc/
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Papiers / Articles »