M€X Beitrag - Chinesische Smartphones mit Malware/Spyware versehen

[altmann]

Ich wechsle meine Tor Ip alle 10 min.

Genau.. Und deine Entrance Node denke ich auch. Würde ich jetzt sowas "böses" abziehen wollen und das ganze über TOR routen, würde ich doch aber keinen festen Server als Entrance nehmen. Der wird abgeschaltet - zack - ist meine ganze Malware dahin und kann nicht mehr nach Hause telefonieren.
Jeder ordentliche Trojaner arbeitet mit flexiblen Servern und lässt sich aus der Ferne auch mit neuen Adressen füttern, wenns nicht eh schon dynamisch läuft wie in den meisten Fällen im TOR-Netzwerk.

Feste Adressen werden doch immer wieder gerne abgeschaltet. Dass würde ich als Malware-Betreiber irgendwie umgehen wollen.

OK, jetzt wirds denke ich eh reine Spekulation, so viel geht aus dem Beitrag ja nicht vor. Viel heiße Luft meiner Meinung nach. Und man muss imho nicht hinter allem gleich ne Verschwörung wittern

 

[Sotair]

Warum sollte ein chinesischer Hersteller Server in den Staaten zum sammeln nutzen?

Weil er 2014 gewaltig eine vor den Bug bekommen hat, als bekannt wurde, dass Xiaomi Userdaten umgefragt sammelte und diese an Server in China schickte. Als das bekannt wurde, hat Xiaomi zum einen den "Home-Sync" optional gemacht und zum anderen begonnen, Serverinfrastruktur außerhalb Chinas aufzubauen (lesen: da). Ganz prma dabei: man gewann ausgerechnet Akamai als Partner. Und zu wem gehört die böse IP-Adresse, die man im Video beim LKA-Nerd so schön am Bildschirm sehen kann? Ratet mal ... Ach ja, die andere bei 3:01 oben im Bild gehört n.b. Amazon. Ein Schelm, wer böses dabei denkt.
Da ballert also ein nagelneues Phone, auf dem erkennbar kaum was installiert ist, "bis zu 2 GB am Tag" (Video: 2.09) an eine Serveradresse, auf / mit der sich dann jede weitere Spur der Daten verliert. Keine Ahnung bei den Experten, was da konkret verschickt wurde - außer dass es verflucht viel und auch noch verschlüsselt war. Und wahrscheinlich böse. Und nochmal: von einem nagelneuen Smartphone, auf dem noch nicht viel gewesen sein kann außer dem miesen Händler- / Third Party verhunzten ROM. Da war wohl ein echter Crack am Werk, der entweder aus Faulheit gleich ganze Partitionen nach Hause schickt oder das Smartphne in eine Videowanze verwandelt hat, um sich europäische User mal im Frontcam-Stream anzusehen. Ich schmeiß mich weg

 

[berlinphone]

Dann hast Du einen anderen Beitrag gesehen. Dort geht es ganz speziell um Geräte von einem "Händler". Daraus geht nicht wirklich hervor, dass das Standard beim Mi3 ist, sondern es geht eher um den Verdacht, das da wer anderes was mit den Geräten macht. Sicherlich stellt man die Frage, aber wirklich überzeugend ist das nicht.

Warum sollte ein chinesischer Hersteller Server in den Staaten zum sammeln nutzen? Ich vermute das der Händler von der aufgespielten Firmware etwas hat, nicht umsonst wurde alles "verschleiert". Hier dafür vermutlich ganz gezielt mehr abgegriffen als üblich ist, z.B. wenn WLan verfügbar ist, dann bemerkt man das nicht so schnell. Das Ganze dann als Service am Kunden

Als Alternative werden die von mir genannten Geräte genannt. Also bezieht sich nach meinem Verständnis alles auf den verlinkten Beitrag. Eben weil die Alternativen auch ausspähen. Ich soll laut TV-Beitrag Premium-Marken kaufen, die ebenfalls spähen, um mich vor Spionage zu schützen. So meinte ich das.

Missverständnis?

 

[f4binho]

Mal wieder was neus zu dem Them, nicht nur die kleinen sind betroffen auch ein großer aus Korea Über Heise: https://www.heise.de/security/meldung/Asus-Samsung-ZTE-Vorinstallierte-Malware-auf-namhaften-Android-Geraeten-3652309.html

kam ich dann hierher:

http://blog.checkpoint.com/2017/03/10/preinstalled-malware-targeting-mobile-users/

am Ende sieht man die "Schädlingsdatein" als Liste mit den Devices

mein Note3 SE hat es nicht

 

[thor2001]

@f4binho

Zusammenfassung:
Diese Malware wurde durch jemanden innerhalb der Lieferkette installiert, Hersteller-ROMs sind clean.

 

[f4binho]

Lass mich doch auch Mal Panik verbreiten

 

[schafxp2015]

Beim Doogee Shoot 1 ist das jetzt besonders auffällig geworden. Es lädt in UIP/download im internen Speicher eine ganze Trojaner-Adds-Flotte herunter . Dabei spielt der SystemSperrbildschirm Prozess (mit dem Schloss) eine wichtige Rolle. Mit Bitdefender alle Trojaner entfernt, No root firewall aufgespielt und SystemSperrbildschirm deaktiviert. Bisher ist alles ruhig und wird nichts mehr geladen. Hoffe mal , dass es so bleibt.

 

[Tob8i]

Und das selbst in der offiziellen ROM? Eigentlich hatte sich Doogee doch bisher einen ganz guten Namen gemacht.

 

[schafxp2015]

Ja, ein Firmwarereset nach der OTA hat hat nichts genützt. Die Malware ist als Systemapp verankert. Es ist also keinesfalls so, dass sich erst später ein Trojaner eingenistet hat. Die werden ab Werk mit Trojaner - Download Installationlog geliefert

com.arrkii.sa.sdk,1489576643514
mo.thu,1489536717058
com.tiho.tihobox,1489585379154
com.android.fbs.sTool,1489571703895
com.jenif.daliiy,1489570284572

Auch verstecken sie sich in Packages wie com.android.gps um sich als Systemelemente zu tarnen oder setting.apk