Ist der html viewer ein Virus / Malware? [BV6000]

[qwoka]

Ich habe ein ähnliches Problem auf meinem Doogee X5 Max Pro gehabt. Schau am besten einmal in diesen Thread Doogee X5 Max Pro verseucht!
Dort unter Post 2 ist ein Link angegeben, vielleicht hilft es Dir ja weiter.

 

[Miss Montage]

Hallo @schlumpf63 und herzlich willkommen bei Android-Hilfe.de .
Ich habe Dein Anliegen mit diesem bestehenden Thread zusammen geführt. Wie es aussieht, wäre es wohl das Beste, eine aktuelle Firmware auf das Gerät zu installieren...

 

[hanseatic]

Ich setzte auch gerade ein neues BV6000 auf. Geflasht mit der 20161025 Flashable von Needrom; hier beworben: ROM Download-Links und siehe da, ich habe auch den HTMLViewer
Ich habe mir erstmal so beholfen im Terminal als root:
pm disable com.android.htmlviewer

Edit zwecks Klarstellung: HTMLViewer gehört auch erstmal ab Werk ins Rom. "Beholfen" habe ich mir vorsichtshalber. Ich nutze keine AV Software.

 

[schlumpf63]

@Gung
Danke für den Hinweis, ich habe Kaspersky nochmal installiert, beim vollständigen Scan wurde diese System-App als Übeltäter ausgemacht:
"system/priv-app/HTMLViewer/HTMLViewer.apk". Ich habe diese deaktiviert, seitdem ist Ruhe mit unerwünschten Installationen.
Allerdings bleiben Updates immer an dieser App hängen(siehe auch diverse Beiträge in diesem Forum, es scheint sich hier um eine sehr verbreitete Schadsoftware zu handeln). Entfernen dieser app ohne rooten ist anscheinend nicht möglich. Ich frage mich aber, wie schafft es jemand, in ein System so eine Software nachträglich zu integrieren(wenn ich mal davon ausgehe das es nicht der Hersteller selbst war), die aber nicht wieder entfernbar sein soll???? Kann ich irgendwie nicht glauben. Für mich als Amateur gibt es dann zwei Möglichkeiten, über Amazon reklamieren und das Handy wenn möglich zurückgeben(mag ich nicht, weil das Paket ja passt) oder eben mit dem aktuellen Zustand(ohne updates und dergleichen) klarkommen....

 

[BlackCat4370]

Achtung die 025er Version von needrom soll laut Post hier im Forum an anderer Stelle eine Schadsoftware beinhalten.
Lieber die Variante von Mega nutzen.

 

[Inaste]

Ich habe eine Anfrage an G-Data gemacht, worauf die diesen ominösen HTML-Viewer untersucht haben... dies war die Antwort:
Sehr geehrter Herr Inaste,

vielen Dank für Ihre Einsendung an die G DATA SecurityLabs.

Wir müssen Sie darüber informieren, dass die von Ihnen gemeldete App unseres Erachtens nach bösartig ist. Dabei stellt leider nicht nur die App eine Gefahr dar. Es sind bereits mehrere Fälle mit ähnlichen Apps auf sogenannten China-Smartphones (günstige Kopien bekannter Hersteller) aufgetreten. Da die Vielfältigkeit dieser fragwürdigen Kopien sehr groß ist, ist die Beschaffung, sowie die Analyse aller betroffenen Geräte in einem angemessenen Arbeitsumfang nahezu unmöglich.

Alle von uns untersuchten Apps haben gemeinsam, dass sie ohne Nachfrage an den Benutzer Daten vom Telefon stehlen und an vordefinierte Server in China senden. Es werden alle möglichen Details zum Telefon (Telefonnummer, Hersteller, Typ, etc.) übertragen, sowie eine Liste aller installierten Apps. Außerdem werden auch die IMEI und IMSI übertragen. Damit sind die infizierten Telefone und auch Sie, als Benutzer, eindeutig identifizierbar. Die Apps der China-Smartphones sind zudem in der Lage heimlich, ohne Ihr Zutun, zu einem beliebigen Zeitpunkt beliebige Apps mit beliebigen Rechten zu installieren und neue Verknüpfungen auf dem Homescreen des Telefons zu erstellen.

Das Sicherheitsmodell von Android erlaubt für ordentliche Apps, wie die G DATA InternetSecurity, keinen so tiefen Systemzugriff Í zu Recht! Nur dieser würde es ermöglichen, etwaige bei Auslieferung vorinstallierte Software löschen zu können. Doch auch Sicherheitssoftware bekommt diesen Zugriff nicht und ist somit machtlos, wenn es um die Entfernung der "ab Werk" ausgelieferten Programme geht. Was überhaupt vorinstalliert wird, entscheidet dabei der Hersteller, bzw. der Publisher des Smartphones. In diesem Fall der China-Smartphones handelt es sich dabei eben um eine fragwürdige Entität.

Wir möchten ihnen daher empfehlen, das Gerät nicht weiter zu benutzten, da, vom Publisher, ohne dass der Nutzer gefragt wurde jederzeit neue, potentiell schädliche, Apps installiert werden können. Diese könnten zum Beispiel in der Lage sein, Ihre Emails zu stehlen oder Premium-SMS Abonnements abzuschließen. Der Vielfältigkeit des Nutzens und Ausnutzens Ihrer Daten durch den Verantwortlichen sind hierbei keine Grenze gesetzt. Dies möchten wir Ihnen dringlichsten zu Bedenken geben.



Geben Sie bitte bei jedem Kontakt zu dieser Anfrage Ihre Ticket-Nr. 000000000000000 an!

G DATA ServiceCenter:+49 (0)234 / 9762 910*
(*Die Kosten für den Anruf hängen von dem Vertrag mit Ihrem Telefonanbieter ab. Nutzen Sie eine Festnetz-Flatrate, so ist das Supportgespräch in der Regel kostenfrei. Anrufe aus den deutschen Mobilfunknetzen können bis zu 42 Cent pro Minute kosten. Kosten für Anrufe aus den ausländischen Mobilfunknetzen können erheblich abweichen.)


Wenn Sie mit uns zufrieden waren: Bitte empfehlen Sie uns weiter! Vielen Dank!"


Weitere Support-Informationen zu Ihrer G DATA Software finden Sie hier: Support - G DATA Software AG


Für allgemeine Informationen und Erläuterungen rund um das Thema IT-Sicherheit empfehlen wir Ihnen unseren Ratgeber: Ratgeber - G DATA Software AG


Mit freundlichen Grüßen aus Bochum
Ihr G Data Service-Team


G DATA Service GmbH * Königsallee 178
D-44799 Bochum, Germany *
Sicher mit Antivirus Software und Internet Security | G DATA


Postfach 100 868 * D-44708 Bochum, Germany
Amtsgericht Bochum * HRB Bochum 10933
Geschäftsführung: Frank Heisler
[doublepost=1487802104,1487801602][/doublepost]G-Data ist eine deutsche Firma, ansässig in Bochum. Eine der deutschen Eigenarten ist ja nicht die Pünktlichkeit, sondern der Sicherheitsfanatismus. Daher habe ich mein Vertrauen in G-Data gesetzt.
Interessant finde ich, dass schlumpf63 über genau die gleichen Symptome berichtet... ich glaube nicht, dass das ein Zufall sein kann.
ich denke gerade darüber nach das Risiko mit dem Rooten einzugehen und die entsprechende Datei vom Handy zu löschen...

 

[Gung]

...hmmm nett....
Es wäre natürlich toll, wenn ein Hersteller wie BV es mal schaffen würde seine eigenen Images auf Eigenem Server zu Spiegeln.... wenn diese App darin auftaucht wär klar woher die stammt!

Frage wär auch, ob die App beim Update auf Android 7.0 ebenfalls überlebt, was ja wahrscheinlich ist...und in der Variante von Mega ebenfalls enthalten ist. .....

Das ganze Handy nicht mehr zu benutzen weil irgendwie, irgendwo schon mal andere ähnliche apps auf anderen Telefonen aufgetreten sind halte ich für etwas überzogen!

Vielleicht sollte man mal den hersteller damit konfrontieren... is da wer im Forum angemeldet?

Gruss Gung
[doublepost=1487807388,1487804656][/doublepost]Unter 7.0 bei apps/alle apps gibt es eine mit dem Namen HTML-Anzeige! Version 7.0. ...
Im Es explorer heisst die com.android.html viewer ! Ob die der Rest von der alten ist... keine ahnung...
[doublepost=1487809566][/doublepost]https://www.androidpit.de/forum/699577/werbeeinblendung-trotz-diverser-resetfunktionen

Hatte das bv5000 scheinbar auch schon im rom! Riecht irgendwie nach nem system!

 

[Inaste]

Hallo nochmal an alle und vielen!!!!!!!!!! Dank an die, die hier schon fleissig dabei sind und hilfreiche Antworten anbieten,
Heute gibt es wieder ein Update der Situzation. Nachdem ich das Handy in Reparatur gab und die Firmware des Herstellers neu aufgespielt wurde, hatte ich Ruhe. Ich habe neben G-Data nur Whatsapp installiert, weil ich das für dienstliche Zwecke haben muss... (leider! ich verabscheue alles was nur den Geruch von facebook verbreitet)
Gestern installierte ich aus dem Playstore das Programm Audible. Das ist eine App, die nur dem Zwecke dient, den Hörbuchaccount bei Audible zu verwalten. Audible, war ursprünglich ein deutsches Unternehmen, gehört nun zu Amazon und bietet kommerziell Hörbücher und Hörspiele an... also noch lange nicht so vertrauensunwürdig wie Whatsapp.
Heute Morgen ging es wieder in die Nervphase 1... es werden wieder zusätzliche Apps installiert. Schade, es war eine schöne Ruhepause. Mal sehen wann das Werbegenerve los geht...

Eine Anfrage bei Audible, ob die sich das erklären können habe ich gemacht... denn ich finde es interessant dass das Generve nach der langen Pause wieder los geht, nachdem deren App installiert wurde. So als ob die App ansich als Katalysator für den Schädling (HTMLviewer) dient.
-
Es würde mich interessieren, ob andere auch die Erfahrung gemacht haben, wie z.B.
@schlumpf63 : Benutzt Du auch Audible???
[doublepost=1487849862,1487849329][/doublepost]@Phil-HB
Dein Schrieb vom 9.2.:

Ich habe noch nicht so oft geflashed als dass ich auf dem Screenshot erkennen könnte was falsch läuft.
Aber: wird das ausgeschaltete Handy beim verbinden für eine Sekunde im gerätemanager angezeigt?
Und: wenn ihr im Flash Tool auf download klickt und später das ausgeschaltete handy anschließt, erkennt das Flash Tool dann das Gerät und legt los?
-- Dieser Beitrag wurde automatisch mit dem folgenden Beitrag zusammengeführt --
Ach ja, wenn ihr das Handy startet.. startet es noch?
Wenn nicht, könnte es sein, dass ihr es beim ersten zu schnellen trennen "gebrickt" habt.
Wenn ja, welche Firmware ist nun drauf?

-
Nein, das Gerät wurde nicht vom Gerätemanager erkannt
Wenn man das ausgeschaltete Gerät anschliesst wird es nicht erkannt und das flashen startet nicht
Das Handy wurde nicht beschädigt, es war die vom Handyshop neu aufgespielte firmware drauf, die die originale vom Hersteller sein soll
-
Ich werde es bei Gelegenheit noch mal versuchen. Muss mich aber erst nochmal gündlich einlesen und versuchen zu verstehen wie das rooten funktioniert, damit ich den htmlviewer los werden kann.
Besten Dank für Deine Hilfe!!!!!
[doublepost=1487850261][/doublepost]@Solus
schau Dir mal das Antwortschreiben von G-Data an. Vielleicht kannst Du damit was anfangen und dem Verkäufer bei Amazon sagen dass das Gerät mit einem Schädling ausgeliefert wurde und Spezialisten das sogar bestätigen. Vielleicht kann Amazon Dir auch helfen das Handy zurück gehen zu lassen. Die sind eigentlich immer sehr hilfreich. Ich habe es leider von ebay gekauft und habe diese Art von Hilfe nicht. Ansonsten... hast Du eine Rechtschutz?

 

[Melkor]

Nein, das Gerät wurde nicht vom Gerätemanager erkannt

Ok, dann musst du hier nochmals am Treiber rumbasteln

Audible dürfte damit nichts zu tun haben. Sind eher Abwehrtaktiken der Malware. Es wird gewartet

 

[Inaste]

oh mannnnnnnn.... nach dem ich es gerade gelesen habe und vorher gefühlt schon 100 Mal Versuch habe, habe ich endlich in den Einstellungen (apps) den HTML Viewer gefunden, den Systemprozess abgebrochen und danach deaktiviert. Mal sehen wie lange der Erfolg vorhält und ob sich das Miststück selbst aktivieren kann ^^
Die Liste von Funktionen, die diese App ausführen darf ist wirklich erschreckend lang.
Warum einfach, wenn es auch schwer geht?

Vielen Dank an den, der die Idee reingebracht hat!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

 

[hanseatic]

@Gung

Im Es explorer heisst die com.android.html viewer ! Ob die der Rest von der alten ist... keine ahnung...

Laut diesem eingangspost (ganz unten Spoiler 6) ist der ES Explorer auch nichts, was man haben will ;-)

 

[hanseatic]

@BlackCat4370

Achtung die 025er Version von needrom soll laut Post hier im Forum an anderer Stelle eine Schadsoftware beinhalten.

Auf welchen Post beziehst Du dich?

Lieber die Variante von Mega nutzen.

Dem muss ich widersprechen.
Die HTMLViewer.apk Dateien sind in beiden Quellen identisch. (Sofern du diesen meinst: ROM of 20161025 version local update file - bbs.blackview.com )
MD5: ef5138a1ba1c10de248b2e9f6b064f27

 

[hanseatic]

@Inaste Kannst Du nachvollziehen, welche ROM Version installiert war, bei der G-Data fündig wurde? Was hat G-Data genau von Dir bekommen? Hatten sie über Ihre Cloud auf die Logs, Quarantänefiles, HTMLViewer.apk, HTMLViewer.odex, etc zugegriffen?

 

[BlackCat4370]

@hanseatic
Gefunden in dem Sammelpost für Downloadlinks bezüglich ROMs, der oberste Forenbeitrag auf der Hauptseite.

 

[LeutnantBlueberry]

Hallo : )
Ich habe über Amazon das Blackview 6000 gekauft und ca. nach einem Monat fing dies auch bei mir an. Irgendwelche Apps werden installiert. Wenn ich das Bildschirm freischalte kommt ein Ladebildschirm mit Werbung. Es ist schon lästig.
Wenn ich hier lese, was schon alles gemacht wurde und es ändert sich nix, ist dies schon frustrierend. Ich habe Null Ahnung, von Flash, Root und so nen Zeux.
Also es reicht aus diese Datei HTMLViewer.apk zu deaktivieren?
Ich habe auf dem Bildschirm 2 Icons namens Phone mit einer kleinen roten 1 oben rechts gehabt. Das habe ich deinstalliert und die nervige Werbung taucht wenigstens nicht mehr auf, sondern ca. alle 2 tage wird einach so ein Programm oder ein Spiel installiert.

 

[hanseatic]

@LeutnantBlueberry
Lektüreempfehlung Prävention: Checkliste: Android-Phone absichern, BEVOR es das 1. Mal ins Internet geht (AFWall+)

Meine grundsätzliche Vorgehensweise wäre bei derartiger Symptomatik:

SIMs raus, Gerät erstmal nur noch offline betreiben.
Persönliche Daten backuppen, Gerät flashen, obiges Howto durchspielen, persönliche Daten zurückspielen.

Ggf musst Du für das Backup das jetzige System rooten, wenn Du Titanium Backup nutzen willst. Aber nur dann. /persData als Image sichern oder drauflassen wäre nicht meine Lösung.

Spätestens fürs Neuflashen benötigst Du das SP-Flash-Tool. Ist hier im Thread auch schon diskutiert worden. Mehr dazu findest Du in der Root / Custom-ROMs / Modding für Blackview BV6000 Kategorie und mit der Sufu hier im Forum. Fragen zum SPFT machen dann auch eher da Sinn. ;-) Rooten ist dabei ein eher kleiner Zwischenschritt.

1.: Welche ROM Version nutzt Du? (Was steht bei Einstellungen -> Über das Telefon -> ganz unten bei BuildNummer)
2.: Hast Du irgendwann eine Systemaktualisierung gemacht, bzw hat das Gerät Dir solches angeboten?
3.: Welcher Amazon Händler war das? (nein, der ist nicht notwendiger weise schuldig oder hat überhaupt was damit zu tun)

@alle Ich halte es nach wie vor nicht für gesichert, dass das Problem im ROM stecken muss, in welcher Version auch immer, ob nun vorinstalliert oder durch OTA-Updates oder durch Flashen erworben. Und wenn, dann muss die HTMLViewer.apk/odex nicht der initiale Träger sein, sondern kann auch die Datei/App ein Zielwirt sein, wo sich die Malware einnistet, wie auch immer getriggert.

Es müsste mal jemand... ;-) ... mit nem Testgerät offline die Roms durchprobieren und eine AV Software die positiv drauf anspricht offline laufen lassen.
Ich hätte ein Testgerät, aber keinen Akku. Einen aus Fernost Bestellen dauert so seine 40 Tage. :-( Falls also jemand einen veräussern möchte ;-)
Daneben sei die Frage, welche kostenfreie AV-Software.apk läuft offline?
Würden irgendwelche Windows/Desinfe'ct Tools die HTMLViewer.apk als malware erkennen?

Hint: Ich hätte gerne eine positiv gemeldete HTMLViewer.apk und HTMLViewer.odex incl. Angabe der ROM-Version.

 

[hanseatic]

@BlackCat4370 Sorry, wenn ich auf dem Schlauch stehe, aber ROM Download-Links meinst Du vermutlich nicht. Ich versuche die These "2161025 hat Malware in der HTMLViewer.apk" zu validieren und finde nicht mal die eigentliche Quelle der These.

 

[wwbusch]

hab mein BV6000 im Oktober gekauft. FW ist aus August. Habs bei Amazon gekauft (bei dem einzigen wo es als Premium sofort geliefert wurde).
Hab das Phone nur zum testen, nie wirklich viel gemacht, aber heute längere Zeit an gehabt und es hat sich plötzlich ein Programm installiert "Security". Und plötzlich war immer Werbung auf dem Screen. Daraufhin hab ich hier zu suchen angefangen.

Kaspersky hat 2x eine Phone App gefunden und eben den html viewer...
Anscheinend gibt es ja wohl kein original rom OHNE diesen Schmarn...

Und nu?

Gruss WOlfgang

 

[hanseatic]

@wwbusch

Anscheinend gibt es ja wohl kein original rom OHNE diesen Schmarn...
Gruss WOlfgang

Das gilt es noch zu validieren. Das Prob trat hier im Januar auf, bei den Russen auf 4pda.ru afaik im Dezember. Ich nutze nun mein zweites BV6000 im Produktivbetrieb, das erste seit August. Ich hatte nie derartige Probs, aber ich bin auch maximalparanoid und nutze zum Produktivbetrieb Checkliste: Android-Phone absichern, BEVOR es das 1. Mal ins Internet geht (AFWall+) und so weit machbar keine komerzielle Software. Im weitesten Sinne sind auch Gapps oder diverse Antivirensoftware für mich Malware, weil diese mehr nach Hause telefonieren als ich nötig befinde und kaum kontrollieren kann.

"Malware" in "Originalen ROMs" Chinaphones sind keine Seltenheit und das sollte man wissen, wenn man ein Chinaphone kauft.

Und nu?

Nu bist Du in der großartigen Situation, ein Gerät im Testbetrieb zu haben und uns Deine wertvolle Zeit zu spenden und ROMs durchzutesten, bei welchem und welchem update die AV-App deines Vertrauens bei HTMLViewer oder sonstwas anspringt.
Mein Vorschlag: Du fängst an mit dem hier nicht mehr verlinkten flashbaren ROM von Needrom 20161025, das ist das letzte Android 6. Ansonsten kannst Du auch mit dem neuen Android 7 herumspielen, afaik hats noch Kinderkrankheiten und für mich produktiv noch KompatibilitätsNoGos.

Oder aber du machst Pionierarbeit in der deutschsprachigen Forenwelt und testest sowas: [creating] custom rom for blackview bv6000

So oder so, nutze die SuFu bzgl SP-flash-tool. Das wirst Du vermutlich brauchen. Wenn Du diesen Weg warumauchimmer nicht gehen willst:

Factory reset, OTA/local updates und nach jedem Schritt die AV Software Deines Vertrauens durchlaufen lassen.


P.S.: Ist die FW 20160812 oder 20160822?

 

[wwbusch]

na ich werde morgen im Office mal das so machen ;-) und hier dann berichten.

Gruss Wolfgang