Großes Sicherheitsproblem! Virenverdacht?! Gerät gekapert/gehijacked?

[Koeppi]

Hallo Community,

da ich kein spezielles Forum zu Sicherheitsfragen gefunden habe, formuliere ich mein Problem hier.

Vor ca. einer Woche fiel mir das erste mal auf, dass bei meinem Samsung Galaxy Nexus extrem schnell der Akku entleert war (4h). Wenig später war auch die Ursache entdeckt. Eine App (Fritz!App) sendete und empfing kontinuierlich Daten mit sehr geringer Datenrate (2-3kbyte/sec). Dadurch ging das Gerät nicht mehr in den DeepSleep. An einem halben Tag wurden so ca. 300Mbyte aus dem Netz geladen und ca. 50Mbyte gesendet. Das besondere daran, ich hatte die App niemals gestartet. Ich hatte sie zwar vor einigen Monaten installiert, aber niemals benutzt. Aufgrund dieses merkwürdigen Verhaltens habe ich mich an den Fritz--Support gewandt. Eine Antwort steht noch aus. Vorsorglich wurde die App deinstalliert.

Gestern stellte ich nun wieder das selbe Problem fest. Der Akku des Gerätes war in 4hleer. Alle Systemdiagnose-Apps die ich so habe, wurden wieder angeworfen und das Ergebnis: Diesmal ist es der Standard-Google Kalender der die Daten ins Netz sendet und empfängt. Wieder mit sehr geringer Rate (egal ob 3G oder WLAN, immer nur 2-3kbyte/sec).
Auch ein nach einem Neustart, bleibt das Verhalten gleich.

Meine Befürchtung ist nun, dass mein Gerät irgendwie gekapert wurde.
Ich habe das Gerät mit zwei Sicherheits-Apps erfolglos gescannt. Sowohl Avast Mobile Security als auch Lookout haben keine Viren/Trojaner etc. gefunden.

Kennt jemand dieses Verhalten und kann mir dazu weitere Informationen geben?
Wie sollte ich zweckmäßigerweise vorgehen?
In einem ersten Schritt habe ich natürlich erstmal sämtliche Datenverbindungen unterbrochen. Ein Totalreset des Systems sollte nur der letzte Schritt sein.
Ich möchte gerne wissen, was ich mir da eingefangen habe und wie ich es loswerden kann, um ggf. andere davor zu warnen und auch meine anderen Android-Geräte zu schützen.

Vielen Dank schonmal im Voraus,

PS: Es wurde keine Apps aus nichtvertrauenswürdigen Quellen installiert. Ausschließlich der Play Store diente als Quelle.

 

[Patman75]

Hallo,
ich würde dir den Werksreset als ersten Schritt empfehlen.
Ich habe dem Kalender, dessen Speicher- und SyncApp den Netzverkehr total unterbunden, funzt alles normal; wenn man nicht grad mit irgendeinem Konto synct., braucht der gar nicht online sein. Kalendersync hab ich übrigens ganz abgestellt.
MfG

Gesendet von meinem AOSP on Mako mit der Android-Hilfe.de App

 

[Koeppi]

@Patman75,

Danke für deine Anregungen. Den Netzwerkverkehr des Kalenders zu blockieren, würde sicherlich kurzfristig helfen. Aber es würde wohl nur das Symptom bekämpfen und nicht die Ursache. Ich vermute, dass ein "bösartiges" Programm die Netzwerkschnittstelle des Kalenders missbraucht, so wie auch vorher schon die von der Fritz!App.
Es wird vermutlich wieder nur 1-2 Tage dauern, bis die nächste App das selbe Verhalten aufweist.

Einen Werksreset durchzuführen, soll wie gesagt wenn überhaupt der letzte Schritt sein. Ich möchte verstehen, was da mit meinem System los ist. Denn nur so kann ich mir sicher sein, dass es durch einen Werksreset beseitigt wurde. Und vor allem, was mir am wichtigsten ist: Nur wenn ich verstehe was da passiert, weiß ich auch welche Daten von mir nun ins Netz geladen worden sind und wohin.

Ich bin also für weitere Hinweise sehr dankbar.

 

[Patman75]

Starte das Gerät mal im abgesicherten Modus, beim PowerOff Menü länger auf Herunterfahren pushen.
Das System startet dann ohne von dir installierte Anwendungen; beim nächsten Neustart ist der Normalzustand wieder hergestellt.
Du siehst so besser, ob es mit dem System zu tun hat, oder ne App das verschuldet.
Aber selbst wenn es ein Virus sein sollte, ist Werksreset die einzig sichere Maßnahme.
Ich verstehe dein Bestreben, dahinter zu kommen was los ist, würde das auch so wollen.
MfG

Edit.
Ähm, was für Gerät und Androidversion nutzt du eigentlich wenn ich fragen darf?
GNex, habs grad gesehen, sorry.
Hast du auf JB 4.3 geupdatet?

Gesendet von meinem AOSP on Maguro mit der Android-Hilfe.de App

 

[Koeppi]

Mein Gerät: Samsung Galaxy Nexus JB4.3 (JWR66Y)

Gibt es vllt. noch ein spezielleres Forum außer android-hilfe.de, in dem Sicherheitsfragen diskutiert werden und in dem ich vllt. ebenfalls kompetente Hilfe suchen könnte?

Ps: Momentan lasse ich gerade Wireshark mal den Verkehr mitschneiden, evtl. werde ich dadurch etwas schlauer.

 

[Patman75]

Android Pit fällt mir noch mit ner größeren Community ein.
MfG

Gesendet von meinem AOSP on Mako mit der Android-Hilfe.de App

 

[TNC]

Hallo Zusammen,

ich weiss nicht ob ich in diesem Bereich richtig bin, wenn nicht, dann bitte verschieben.

Meine Freundin und ich haben ein riesen Problem. Seit einigen Wochen erreichen mich über ihr Handy Nachrichten, die sie definitiv nicht geschrieben hat. Leider sind das Nachrichten, die dazu führen können, das unsere Beziehung zerbricht (Ich bin schwanger von XY, Ich hasse Dich, Es ist aus etc). Diese Nachrichten kommen auch wenn sie neben mir sitzt und das Handy sich am anderen Ende des Raumes befindet. Neben den Nachrichten habe ich morgens zig unbeantwortete Anrufe von ihr und das obwohl sie die ganze Nacht neben mir lag. Auch nahezu alle männlichen Freunde von ihrem FB Account wurden entfernt und beleidigt.

Nun stellt sich uns die Frage, ob ihr Handy vllt unbemerkt fern gesteuert wird. Nun die Frage an Euch Experten. Kann ich sehen ob das so ist? Denke mal so eine App wird unsichtbar ausgeführt. Und wenn ja, wie kann ich raus finden WER dahinter steckt. Wir haben zwar einen konkreten Verdacht, aber halt eben nur den Verdacht...

Wäre echt toll wenn mir (bzw. uns) dabei jemand helfen könnte...

Gruß
Alex & Tommy

P.S.:

Falls es wichtig ist: Alex hat ein Galaxy Trend Lite, ich ein S4

 

[magicw]

Das Thema und Unterforum passt, daher habe ich deinen Thread mal hier reingemerged.

Wenn ich es richtig verstehe:
Alex = Freundin von dir mit Galaxy Trend Lite und du, Tommy, mit S4.

Du erhältst Nachrichten von Alex - welche Art Nachrichten? SMS von der Telefonnr. deiner Freundin? Whatsapp? Facebook?

Es muß nicht zwangsläufig das fon ferngesteuert sein. Abhängig von der Nachricht mag es ein Account oder die Telefonnr. sein.

Ansonsten s.oben Vorschlag von Patman75: Telefon von Alex in den Werkszustand zurücksetzen. Damit sollte ein gekapertes Telefon wieder "repariert" werden können.

 

[TNC]

Hi,

ja. Das verstehst Du richtig.

Es handelt sich ausschließlich um SMS und MMS. Facebook war auch einmal dabei. Hinzu kommen halt die Anrufe die sie definitiv nicht getätigt haben kann, da sie tief und fest geschlafen hat.

 

[magicw]

Hm, habt ihr Zugriff auf eure SIM-Abrechnungen? Da würde ich das mal schauen ob das nachvollziehbar ist, dass diese SMSs/MMSs/Anrufe von ihrer Tel.Nr. kam.

Es scheint ja dann eher die Telefon-Nr. "gekapert" worden zu sein. Vielleicht ist jemand an eine Zweit-SIM gekommen. Deshalb der Blick auf die Abrechnung/Einzelverbindungsnachweis. Wenn die Anrufe da drauf sind. dann würde ich wohl oder übel über den Provider schauen, dass ihr die Nummer wechselt oder sonst wie alle SIMs sperren neue ausgeben lasst.

 

[TNC]

Guten Morgen,

Danke schonmal für die Hilfe. Mit der Abrechnung muss ich sie mal fragen. Sie hatte den Vertrag schon mit 16 und ich gehe nicht davon aus der der Rechnungsempfänger mittlerweile geändert wurde.

Nachdem ich das alles hier gelesen hab und mit ihr telefoniert hab, erzählte sie mir das ich schon öfter in WhatsApp blockiert war. Sie hatte immer ihren kleinen Bruder im Verdacht und ihn gestern darauf angesprochen. Er beteuert das er es nicht war. Mir war das nicht aufgefallen, da ich mein Handy halt nicht die ganze Zeit in der Hand hab...

Und das ganze betraf nicht nur mich, sondern viele männliche Kontakte. Keine Ahnung warum sie mir davon erst jetzt erzählt.

Ich werde das Handy morgen mal auf die Werkseinstellungen zurück setzen. Mal sehen was passiert. Aber gibts denn trotz allem ne Möglichkeit heraus zu finden wer das ist?

Gruß
Tommy

 

[magicw]

Vermutlich nein, weil ja alle "Schadsoftware", die das Fremdsteuern ermöglicht haben könnte, entfernt worden ist. Auch das Zurückverfolgen zu einem vermeintlichen "Sender", der über das mobile Internet dann auf diese Software per remote Zugriff zugreift, ist über die Möglichkeiten des Telefons glaube ich nicht so einfach machbar.

Sie muß ja nur mal das mobile Internet deaktivieren und beobachten ob dann noch solche Meldungen kommen. Falls nicht, dann sollte der Reset tatsächlich helfen. Falls doch noch Meldungen kommen, dann bin ich eher wieder an der SIM-Theorie, dass irgendjemand mit einer 2. Simkarte auf die selbe Tel.Nr. zugreifen kann (--> "MultiSIM") und damit den Unsinn verbreitet.
MultiSIM-Aktivitäten müssten sich aber über den Provider dann auch herausfinden lassen.

 

[Zoopa]

Habt ihr die Smartphones damals originalverpackt gekauft oder von Bekannten / eBay / etc.? Wisst ihr, ob das Smartphone von ihr root besitzt?

Wenn das Smartphone gerootet wäre, könnte es nämlich sein, dass Spionage-Apps als Systemapp installiert sind und dann einen Werksreset überleben.

Die Tatsache, dass nicht nur SMS / MMS verschickt werden, sondern auch Facebook-Freunde gelöscht werden oder du bei WhatsApp geblockt warst, klingt für mich eher danach, dass jemand physischen Zugriff aufs Smartphone hat.

Den Tipp von magicw würde ich sofort testen: Auf ihrem Gerät jeglichen Internetzugriff deaktivieren und schauen, was passiert. Vielleicht müsst ihr das halt mal über 1-2 Tage beobachten. Ohne Internetzugriff könnte niemand Befehle ans Smartphone senden, falls wirklich eine bösartige App installiert sein sollte. (Meinetwegen könnt ihr auch noch Bluetooth etc. deaktivieren).

Was noch interessant zu wissen wäre: Wenn du eine SMS / WhatsApp-Nachricht erhälst, erscheint diese bei ihr auf dem Phone als gesendet? Oder kommt die Nachricht aus dem "nirgendwo"? Tritt das auch auf, wenn ihr Smartphone ausgeschaltet ist?

 

[TNC]

Hi,

wir haben beide das jeweilige Telefon OVP gekauft. Ich hab meins aus der Vertragsverlängerung und sie hats sich im Internet bestellt. War auf jeden Fall OVP mit Folie und so.

Wenn ich eine von diesen Nachrichten bekommen, ist sie in ihrem Handy nicht vorhanden. Als wir auf der Couch lagen und das Handy am anderen Ende des Raumes war, habe ich das direkt kontrolliert.

Kurz noch zu Erklärung unseres Verdachts:

Sie hatte einen guten Freund, der fast täglich bei ihr war. Nachdem Alex und ich zusammen kamen, wurde er eifersüchtig weil er ebenfalls was von ihr wollte etc. Ihr wisst ja wie das so ist...

Kurzum: Als Alex einmal duschen war schnappte er sich ihr Handy, beleidigte mich etc, sagte mir das er uns auseinander bringen will und das übliche. Diese WhatsApp-Nachrichten wurden natürlich wieder gelöscht. Hatte aber die Screenshots. Der Typ (Informatiker von Beruf) war also knapp 20 min mit dem Handy alleine. Alex hat den Kontakt mit ihm danach komplett abgebrochen.

Daher auch unser Verdacht.

 

[magicw]

naja wenn du Manipulation am Gerät vermutest, sollte der Werksreset in jedem Fall helfen.

 

[Melkor]

...zudem noch die Passwörter der vielen Dienste die ihr benutzt ändern. Gerade wenn Facebook auch betroffen ist, könnten hier z.b. falsche Kontowiederherstellungsinformationen hinterlegt worden sein. Auch Email-Passwörter würde ich vorsichtshalber ändern