Virus oder nicht?

[franc]

Hallo

Ich habe auf meinem SGS4 mit CM13 gestern eine sonderbare root Anfrage erhalten, angeblich von zygote:



Natürlich habe ich abgelehnt.
Recherche ergibt Indiz dass es ein Virus sei, z.B. bei securelist.com oder bei android.stackexchange.com
Kann das hier jemand bestätigen?

Ich habe im Terminal nach zygote gesucht (ps | grep "zygote"), aber nur den original Zygote gefunden.
Zuvor hatte ich SwiftKey installiert und auch wieder deinstalliert. Ansonsten fallt mir nichts besonderes ein, was das plötzlich diese Anfrage auslösen konnte.

Jemand eine Idee?

Danke
franc

 

[rudolf]

Flash doch dein CM nochmal, dann ist alles was sich in der Systempartition versteckt weg.
Zygote kann kein root anfordern, da es schon zu root gehört. Da ist also was faul.

 

[Johndos]

Lade dir mal malewarebytes herunter und checke mal dein System, es ist ziemlich zuverlässig und erkennt jegliche schadsoftware

Malwarebytes Anti-Malware – Android-Apps auf Google Play

 

[franc]

Ich hab erst mal das CM13 neu geflascht.

 

[franc]

Nun habe ich genau die selbe Anfrage nach root durch zygote(80) schon wieder. Vor zwei Wochen hatte ich komplett neu installiert, Lineage13, habe natürlich abgelehnt, aber sehr sonderbar!

 

[KyleRiemen]

Ist das eine offizielle Version von LineageOS oder inoffiziell?

 

[franc]

Offiziell

 

[KyleRiemen]

Da muss irgendwas faul sein! Zygote kann niemals nach Root fragen. Unmöglich.

Ich würde an deiner Stelle dein kompletten System platt machen. Also Format Data inkl. Internen Speicher. Dann frisch die neuste nightly flashen und Gapps natürlich auch nur aus seriösen Quellen.

Was nutzt du denn für eine Superuser app?

 

[franc]

SuperSU v2.79

Hatte ich ja schon mal platt gemacht, s.o. Wird langsam lästig.
Ich müsste wenn, dann komplett auf die Gapps verzichten, weil Google ja dann machen (installieren) kann was es (u.a.) will.

Kann ich nicht ausschließen, dass sich jemand zwischen die seriösen Quellen dazwischen platziert, da kann ich ja nichts machen, außer es sein lassen.
Aber falls das so wäre, also dass "jemand" mir einen B-Trojaner unter jubeln wollte, wäre so eine SU-Anfrage von "zygote" ja ein Oberpfusch.
Was mich allerdings auch nicht sehr wundern würde

 

[franc]

Das "80" in der Klammer hinter der Meldung von "zygote" von SuperSU ist doch die uid, oder?
Damit müsste ich es doch finden...

which zygote

ergibt allerdings keine Ausgabe

 

[KyleRiemen]

How can I find app name by UID?

Schau mal hier.

Und ziemlich aktuell auf XDA

Zygote64 asking root permission.

Ich rate dir ernsthaft, mach das Ding platt und Flash alles neu.

 

[franc]

Leider gibt es dort keine einschlägige Antwort. Ich glaube ich habe beim letzten Mal (s.o.) das schon gelesen.
Das Telefon würde ich schon neu aufsetzen, zwei Wochen nachdem ich das schon gemacht hatte (ja, full wipe!!!) aber ohne dass ich weiß, woran es liegt mache ich es sicher nicht, da es ja dann wieder kommen wird.

Ich habe mal nach dem Prozess mit der UID 80 geforscht:

root@jflte:/ # cat /proc/80/status | grep Name
root@jflte:/ # irq/337-mdm sta

Klingt nicht so verdächtig.
Im Moment habe ich Prevent Running, ein Xposed Modul im Verdacht, das bremst gelegentlich das System aus, dann muss ich es deaktivieren und dann bald kann ich es wieder aktivieren, dann lauft es wieder, was auch sonderbar ist.