APK-Schadcode - nur über Boat Browser

[Tab]

Ich habe hier ein Nexus 7 2013 und eine Webseite aufgerufen:

Exklusiver Heartbleed-Check: Testen Sie jetzt Ihre Android-Apps! - COMPUTER BILD

Rufe ich diese Seite auf (nur Boat Browser) erscheinen ein paar SSL-Sicherheitswarnungen. Nach ein paar Mal klicken (Abbrechen) wird man auf den PlayStore umgeleitet scheinbar zu dem Spiel "Game of War - Fire Age" (3x-Klick auf Abbrechen-SSL-Meldung). Schaut man genau gibt es einen Download eines apk-Files (3x-Klick auf Ok-SSL-Meldung

Analyse bei Virustotal:
https://www.virustotal.com/de/file/...bf23c4e430b2d06fc7f722a7/analysis/1403292441/

Ein paar Daten:
dropcanvas - instant drag and drop sharing - Android Virus
(apk-Datei und ein paar Screenshots)

Was ich wissen möchte:
- Was ist das für ein Schadcode?
- Kann was passieren auch wenn Fremdquellen deaktiviert sind? Dass der PlayStore auftaucht ist komisch.
- Liegt es am BoatBrowser? Gibt es Infos zu Problemen mit dem Programm?
- Liegt es an der SSL-Sicherheitslücke, die ja zu 4.4.4 geschlossen werden soll
(wobei die Seite ist eigentlich nur HTTP)

Vielleicht hat jemand Spaß sich mit dem Thema zu beschäftigen. Mein Vertrauen in Android ist mittlerweile stark erschüttert.
Kann jemand einen Virenscanner empfehlen. Den würde ich noch probieren bevor ich das Gerät zurücksetze.
SSL-Zertifikatsmeldungen kamen beim Boat-Browser schon öfters. Hatte das für einen Fehler gehalten.

 

[xminister]

Na, probiere doch einfach ein paar Virenscanner aus, gibt ja schließlich genug.
Wirst ja sehen, ob alle auch deiner Meinung sind.

 

[mrrbr]

Mobogen

Google mal nach Mobogenie.apk (Werbenetzwerk ), selbst hier im Forum gibts zu Mobogenie n paar Threads.... der Rest sollte selbsterklärend sein.....

 

[Tab]

Ich habe etwas rausgefunden. Es handelt sich bei mir um ein reines Linux/Android-LAN mit einem TP-LINK-Router. Dieser Router hat eine aktuelle Sicherheitslücke und meiner wurde gehackt. Das Passwort war wohl zu schlecht. Schlimmer jedoch, dass man es überhaupt aus dem Internet nutzen kann. Hierfür habe ich meinen WLAN-Router extra aus dem Internet zum Vergleich mal aufgerufen. Es stimmt ganz gut mit dem beschriebenen Problem überein:

ZTE and TP-Link RomPager DoS | Blog of Osanda Malith

Dieses führte dazu, dass mein Nameserver verstellt wurde. Es führte dazu, dass Webseiten wie z.B. Wikipedia auf die Nameserver-Adresse verwiesen haben, wo dann gleich der Windows/EXE(Linux wget), Firefox/EXE(Iceweasel), Android/APK(Nexus 7 Boat Browser)-Schadcode verteilt wurde.

Nun sehe ich es so, dass wahrscheinlich der Boat-Browser irgendein Objekt aufgerufen hat, welches auch diesen Weg gegangen ist. Wahrscheinlich Werbung oder sonstwas.

Hier die IP-Adresse. Nicht aufrufen: Schadcode

94...102...63...137

 

[4ndr0]

Bitte schön: https://malwr.com/analysis/MWMyMDg5NjU0OWExNDg2Y2JlYzdkMzQ2NmY0YjJhNGU/

Viel Spaß beim Aufräumen.

\\
hier noch deine APK: http://anubis.iseclab.org/?action=result&task_id=139e956fdbc31ea64099d3e0e3e32b85a&format=html

 

[Tab]

Viel Spaß beim Aufräumen.

Ich möchte noch einmal wiederholen. Ich habe unter Android natürlich keine Fremdquellen für die Installation aktiv. Oder hilft das etwa nicht? Wie gesagt Nexus 7 2013 mit Android 4.4.3. Und Windows nutze ich natürlich schon gar nicht.
Aber ich werde wohl trotzdem mal einen Virenscanner unter Android installieren müssen. Aber da ich mir damit nicht den nächsten Schadcode einfangen möchte werde ich erst mal etwas schauen müssen.

 

[Otandis_Isunos]

Wenn du keine Fremdquellen aktiv hast, können auch keine apks installiert werden. Und was deinen Router betrifft: Falsche Kategorie Da solltest du schon im EDV-Bereich nachfragen/nachschauen.

Und überhaupt: Wenn du weißt, dein Router ist unsicher: Dann schotte ihn ab.

 

[Tab]

Ich wusste nicht, dass das Webinterface von außen erreichbar ist. Zudem hat es eine Sicherheitslücke. Ich habe den Zugriff von außen gesperrt und sicherheitshalber (falls er doch aktiv würde), den Port 80 irgendwo in in LAN umgelenkt, wo es keinen passenden Rechner und keinen passenden Port gibt. Das war die Empfehlung und sollte erst mal helfen. Mal sehen ob es irgendwann Patches gibt.

 

[Aaskereija]

BotNet lässt grüßen