Keylogger/Trojaner nachweisen

  • 14 Antworten
  • Letztes Antwortdatum
K

Katzenfisch

Neues Mitglied
2
Moin, folgendes Problem:

Eine Bekannte von mir wird höchstwahrscheinlich von ihrem Freund ausspioniert. Er weiß, was sie über Facebook, Whatsapp usw schreibt, obwohl sie ihr Passwort bereits mehrfach geändert hat. Ein paarmal hat sich ohne ihr Zutun eine Art Chatfenster geöffnet, in dem auch das Bild ihrer Frontkamera sichtbar war. Der Freund streitet natürlich alles ab und versucht ihr zu erklären, dass das alles Zufall ist.

Es geht nun darum, einen Nachweis für das Vorhandensein eines Keyloggers oder Trojaners zu finden. Vermutlich hat ihr Freund heimlich etwas installiert, da er öfters unbeobachtet an ihr Handy kam.

Bisher hat sie einen Scan mit "Lookout" gemacht, dort hieß es nach ihrer Aussage, dass eine App mit Starttyp "heimlich" gefunden wurde. Ob durch diesen Scan irgendwas entfernt wurde, kann ich nicht sagen.

Welche Möglichkeiten gibt es nun, um zweifelsfrei nachzuweisen, dass ein Schadprogramm vorhanden ist?
Was ist erforderlich, um wieder ein 100% sauberes System zu haben? Reicht hier ein Reset oder muss ein neues Originalrom drauf?

Hoffe, ihr könnt mir helfen, ihr zu helfen :smile:
 
bei einem Werksreset sind "alle" Daten weg!!! schein aber der beste Weg zu sein, vorher alle Bilder Kontakte etc. sichern... und nur mit Vorsicht wieder einspielen....
 
  • Danke
Reaktionen: StefanZ und magicw
Ich würde mal zuerst überprüfen was alles installiert ist oder was im Hintergrund läuft.

Einstellungen/Apps/Heruntergeladen oder Aktiv.
 
Ok, danke schonmal. Könnte es sein, dass sich ein Schadprogramm so tarnt, dass es nicht in der Liste der laufenden Apps auftaucht?
 
ja kann sein..........
 
Ein 100% sauberes System bekommt man nur, wenn man die gesamte Firmware neu flasht. Ein Werkreset kann unter Umständen auch nicht helfen. Bspw wenn die App als System-App integriert worden ist. Allerdings sind dazu root-Rechte notwendig ;)

Zweifelsfrei nachweisen lässt es sich wahrscheinlich nicht. Dazu müsste man das Gerät in und auswendig kennen. Also ALLE! vorhandenen apks auf dem System auswendig kennen und das ist unmöglich.
 
Kann ich bezweifeln, dass ein solches Tool nicht ohne erweiterte Rechte wie dem Zugriff per Root agieren kann? Theoretisch müssten auch Meldungen direkt übergeben werden, die auch getrackt werden können. Gut, wenn es schlampig programmiert wurde, sieht man nur keinen Eintrag im Appdrawer.

Wenn es nur ums Nachweisen selbst geht, sollte OS Monitor genügend Aufschluss darüber geben. Sei es per Catalog oder simpel über die nativen Linuxprozesse die auch angezeigt werden können (Siehe Einstellungen).
 
Was besonders kompliziertes kanns eigentlich nicht sein, der in Verdacht stehende ist nicht gerade ein Profi, außer er hat evtl Hilfe von jemandem erhalten...
Die Tipps bringen mich schonmal weiter, werde mal schauen, ob ich was verdächtiges feststellen kann.
 
Hier gibt es verschiedene Ansätze, Menschlich und Technisch.

Menschlich gesehen macht es mich schon stutzig, das der Freund abwiegelt. Würde meine Freundin gestalkt, dann würde ich den jagen. Es sei denn, ich wäre es selbst.
Die freundin (oder ein dritter) könnte ein fake konto eines knackigen Burschen einrichten und mit dem sextalk haben. Dann sollte der Freund der mitliest sich schon anders verhalten. Dann noch ein sexdate verabreden, und wenn der Freund da auftaucht dann hat sie ihn erwischt.

Technisch gesehen ist das ein Fall für einen der etwas Forensik kann, das sind aber wenige.
Ein 'normaler' könnte:
Mit recovery ein Backup machen,für spätere Untersuchungen.
Schauen ob gerootet ist. Wenn ja,dann ist eine Manipulation sicher.
Mit TotalCommander Installierte Apps sowie alle Apps in /system anschauen, und verdächtige googeln. Das geht auch ohne root.
 
Zuletzt bearbeitet:
  • Danke
Reaktionen: 4ndr0
Da muss ja irgendeine App aktiv sein, die diese Infos ausplaudert. Spannend.

Mach bitte mal per ADB ein 'pm list packages -f |grep system' und poste das hier. Das listet die installierten System-Apps auf. Vielleicht finden wir so den Übeltäter.

Für den Fall, dass nicht, poste bitte noch ein 'pm list packages'. Das listet alle installierten Apps auf.

Wenn wir da nicht schlauer werden, müssten wir mal den Netzwerkverkehr untersuchen, sprich den Traffic mitschneiden, optimal direkt am Router. Ist zufällig eine Fritzbox im Einsatz?
Katzenfisch schrieb:
dass eine App mit Starttyp "heimlich" gefunden wurde
*Welche* App? Bitte Scan erneut ausführen lassen und Details notieren.
 
Der gemeinsam genutzte Router befindet sich in der Wohnng des "Freundes", darauf besteht also kein Zugriff. Zuhause hat sie kein Wlan, nur mobiles Internet.

Hatte bisher leider noch keine Gelegenheit, irgendwas auszuprobieren - der "Freund" soll davon ja nichts mitbekommen. Hoffe, dass sich in den nächsten Tagen was ergibt...


Das war auch meine erste Frage an sie - konnte sie mir nicht genau sagen und bei einem erneuten Scan tauchte die Meldung nicht mehr auf.
 
Abgesehen davon, dass sich die "Zielperson" *irgendwo* und *irgendwann* etwas eingefangen haben könnte (wogegen das Detailwissen um die Kommunikationsinhalte spricht - welches man natürlich von einer vierten "Plaudertasche" - den Kommunikationspartnern - ganz ohne kriminelle Energie in Erfahrung bringen könnte - Stichwort: Social Engineering ...), kann sich ein vermuteter Keylogger/Trojaner etc. einfach entweder komplett als Austausch-(System-)App tarnen (Name, Timestamp etc., File size und Signature eher nicht), oder sich in eine bereits existierende App "injizieren", also deren Code verändern.

Xposed-Module und andere Must-Have-Tweaks finde ich auch immer ganz "lustig" ... gut, diese benötigen root.
Ist das Phone denn gerootet, welches Modell, welche ROM?
Wenn es nicht gerootet ist, dann reichte es bereits, ALLE Apps zu deinstallieren bzw. ein Werksreset, es sei denn, eine installierte App bringt einen Root-Exploit mit, was sich aber auch feststellen lässt (z. B. Root-Checker, nach "su" und Libraries suchen etc.).

Erst:

  • Komplett-Backup machen (Forensik)
  • *Irgendwohin* muss ja Traffic abfließen. - Also komplettes logcat über längere Zeit ziehen (Tage, nicht Minuten), evtl. Wireshark am Access Point einsetzen (W-LAN-Router oder ICS-Interface am Notebook mitschneiden). - Dann auswerten.
  • Während dieser Zeit für elementare Kommunikation ein anderes Phone OHNE die aktiven Accounts benutzen (also erst gar keine Accounts oder neue anlegen)
Dann:

  • Phone wegschmeißen und neues, nicht aus 2-ter Hand kaufen (joke) oder zumindest komplett "platt machen" - Original-Firmware aufspielen
  • (Mit Root: "AFWall+" und "Network Log" installieren)
  • Bei ALLEN Accounts NUR vom PC (nicht in einem bereits bekannten W-LAN) aus über den Browser das Passwort ändern, besser Account löschen und einen neuen anlegen (auf der Arbeit, aber in der Pause ...)
  • Phone Schritt für Schriitt wieder aufbauen (manuell)
  • Apps nur aus sicheren Quellen neu installieren, keine unnötigen "Ich kann ohne diese App nicht mehr leben und muss sterben"-Apps, nur nötige Apps (WhatsApp und Facebook gehören zu den Unnötig-Apps dazu, nur meine Meinung, schlagt mich)
  • Schwierigster Schritt: Lesen (lernen) ... und verstehen (Berechtigungen)
  • Daten-seitig wenn möglich, nur zuvor am Rechner gescannte Dateien herstellen
  • Nicht mehr in fremden W-LANs ohne VPN kommunizieren
Mach was draus ...

___

Edit:
rudolf schrieb:
[...]
Menschlich gesehen macht es mich schon stutzig, das der Freund abwiegelt. Würde meine Freundin gestalkt, dann würde ich den jagen. Es sei denn, ich wäre es selbst. [...]

Ja, auch interessant, aber wie ist es denn mit dem Prinzip "Actio et reactio", bzw. der Kausalität? - Evtl. ist/war das Mädel kein Kind von Traurigkeit (alles schon mal dagewesen) und als Folge davon das große Interesse an der Kommunikation? - Es wird halt irgendwie "menscheln" bei der Sache, aber das ist jetzt alles reinste Spekulation ...

Im Zweifelsfall weitere technisch/organisatorische Lösung:
Freundin und/oder andere Person(en) austauschen/deinstallieren - Factory Reset geht ja bei natürlichen Personen eher nicht, um die "Bugs" wegzubekommen ...
 
Zuletzt bearbeitet:
Katzenfisch schrieb:
Der gemeinsam genutzte Router befindet sich in der Wohnng des "Freundes", darauf besteht also kein Zugriff. Zuhause hat sie kein Wlan, nur mobiles Internet.
Das macht doch nix. Häng das Telefon in irgendein Fritzbox WLAN, deaktiviere alle Sync-Dienste etc (also alles, was Traffic verursacht) und starte dann den Paketmitschnitt auf der WLAN-Schnittstelle der Fritzbox. Mal schauen, was wir da finden.

Achja auf die Liste der installierten Pakete warte ich immer noch ;)
 
Kurze Rückmeldung: Scheinbar hat sie kein Interesse mehr an der Sache, das Handy wird weitergenutzt, Hilfsangebote blieben ungenutzt, die beiden sind wieder ein glückliches Paar. Ich versteh sowas zwar nicht, aber mir solls egal sein.

Trotzdem Danke dafür, dass ihr versucht habt zu helfen. So hab ich wenigstens n bissl was gelernt.
 
  • Danke
Reaktionen: funkenwerner

Ähnliche Themen

B
Antworten
5
Aufrufe
724
heinzl
heinzl
D
  • Dasilva79
Antworten
18
Aufrufe
1.706
Rak
Rak
L
Antworten
5
Aufrufe
1.925
Kernel-Panic
Kernel-Panic
Zurück
Oben Unten