Achtung! Backdoors&Spambots auf Galaxy S5 Clone

[josbos]

Hi Leute, Augen auf beim China-Kauf...

Ich hatte mir bei AliExpress ein Samsung Galaxy S5 Clone (http://www.aliexpress.com/item/Best-1-1-hdc-s5-phone-MTK6572-3G-wcdma-5-1-ips-1GB-RAM-smart-screen/1768378558.html) gekauft und musste nach einem Hinweis u.a. auf Heise per G Data Virenscanner App feststellen, dass ab Werk ein Spambot und zwei Backdoors installiert waren!

Leider habe ich zu diesem Clone bisher kein geeignetes CM o.ä. ROM gefunden, für jeden Hinweis wäre ich sehr dankbar! Gerootet und CWM per SPFlash&MKDroid Tools hat problemlos funktioniert, jetzt muss ich nur noch die Firmware loswerden...

Gruß,
jos

 

[Herr Doctor Phone]

ja, gibts schon thread darüber...

bitte sufu benutzen wegen diesen geschichten

gruß

.

 

[Ora]

jetzt muss ich nur noch die Firmware loswerden

GDATA gibt Dir den Namen der Apps aus.

Die einfachste Methode diese loszuwerden (Du hast ja root):
--> mobileUncle
--> installed
-->app's suchen
-->touch auf app
-->Nummer eingeben
-->delete apk by root

Es gibt aber auch noch andere Möglichkeiten (MTK Droidtool, ADB, adb shell, # remove /system/app/<name_der_app>)

 

[josbos]

@Herr Doctor Phone: sorry, hatte nach Backdoor und Galaxy S5 gesucht... bei "Malware" wäre ich fündig geworden...

@Ora: danke, obwohl ich bezweifle, dass man die malware so einfach loswird; mit mobileUncle habe ich keine verdächtige App entdecken können, und GData will momentan nicht seinen Update Server finden und findet die Malwares nicht mehr... hätte ich mal sichern sollen, bevor ich factory reset & rooten gemacht habe...
VG, josbos

 

[Ora]

mit mobileUncle habe ich keine verdächtige App entdecken können

wenn es apps sind, dann findest Du diese auf alle Fälle...
und falls Du ein erfahrener Anwender bist, auch mit dem root explorer Mit eset schon mal probiert und gesucht?

 

[N2k1]

Sehr wahrscheinlich heißen die Apks uuirgendwas.apk
Diese erst mal einfrieren - und testen.
Sollten sie dennoch aktiv sein (obwohl sie deaktiviert wurden), so kann das Problem tiefer sitzen.
Aber wenn sie deaktiviert bleiben, dann einfach löschen.

 

[josbos]

Leider weigert sich GData inzwischen, mit mir zusammenzuarbeiten - die App behauptet, nach rücksetzen auf Werkseinstellungen, rooten und erneuter Installation der App, das Gerät sei clean, kann aber auch keine aktuellen Virensignaturen runterladen, weil angeblich der Server nicht kontaktiert werden kann, obwohl alle anderen Apps ins Internet kommen... sehr merkwürdig...
Ohne Gdata weiß ich den App-Namen nicht (@N2k1: es sind keine uu*-Apps vorhanden), ohne App-Name kann ich nichts sinnvolles unternehmen ausser komplett neues ROM. Ich warte mal, bis jemand ein CyanogenMod für die Platform baut... es sei denn, ihr habt noch bessere Ideen?

 

[mrkörnchen]

ByTheWay: Hatte bei einer alten Version vom Zopo ZP900 mal einen Suchlauf gestartet und siehe da, im System Ordner lag ein Trojaner namens "MediatekLocationService.apk" Spaßeshalber hab ich mal die Firmware installiert, gerootet und mit ES Fileexplorer gelöscht. Ein weiterer Einsatz ist ohne weitere Probleme möglich.

 

[Ora]

@josbos : Übersehen?

Mit eset schon mal probiert und gesucht?

 

[N2k1]

@josbos: adb pull /system/app (und adb pull /system/priv-app sofern es KK ist) - dann am PC scannen
@mrkörnchen : Ohne den Dienst sollte zumindest YGPS die Arbeit verweigern - wenn nicht das Ganze GPS-Zeugs.

 

[Herr Doctor Phone]

"MediatekLocationService.apk" mit ES Fileexplorer gelöscht.

Ohne den Dienst sollte zumindest YGPS die Arbeit verweigern - wenn nicht das Ganze GPS-Zeugs.

sowas habe ich mir gleich schon gedacht....

die erkennungsrate und fehlerquote der antiviren ist aber sehr sehr hoch.........

.

 

[N2k1]

Naja, bei Virustotal hochladen und ansehen, was genau bemängelt wird, das kann man auch ohne die Sachen selbst zu decompilieren und den Code zu verstehen.

 

[Herr Doctor Phone]

na wenn eine app, die deinen genauen standort erkundet, ist es nicht zwingend eine virus/troyaner.
wenn die das bei g-data nicht blicken das es ein future ist von gps, dann taugt die software recht wenig.

in der Vergangenheit habe ich diese billigen viren prog gemieden, zu anfällig an fehler... (g-data, panda, mcafe - obwohl mcafee früher mal das beste war (c64/amiga zeiten) aber mittlerweile auch nur alle mitschwimmen ...)

.

 

[mrkörnchen]

@mrkörnchen : Ohne den Dienst sollte zumindest YGPS die Arbeit verweigern - wenn nicht das Ganze GPS-Zeugs.

Hab ich auch gedacht, funktioniert aber immernoch einwandfrei. (Wobei das GPS beim ZP900 noch nie das Beste war)

 

[N2k1]

Dann sollte ich mir demnächst mal ansehen, was diese APK überhaupt so treibt..

 

[mrkörnchen]

Ich glaub ich extrahiere die mal aus dem System und analysiere^^

 

[Herr Doctor Phone]

na, ist ja ne localisierungs app....fälschlich als troyaner deklariert...oder?

.

 

[mrkörnchen]

mal kucken