Malware auf dem P8000?

[BourbonRyan]

Ich bin ja sonst sehr vorsichtig, bevor ich sowas schreibe, aber ich würde gern mal die Meinung anderer hören.

Zuerst: ich nutze den Smart Launcher 3 Pro, schon seit 3 Geräten, und bin damit sehr zufrieden. Vor ein paar Wochen (wenn ich mich recht erinnere, schon auf der Firmware vom 09.09.15) hatte ich auf einmal eine Homescreen-Verknüpfung, die ich nicht eingestellt hatte. Ich hab sie direkt gelöscht, und es eigentlich auf irgendeine Einstellung der damals noch neuen Firmware oder eben auf eine neue Option des Smart Launchers geschoben ...

Gestern abend hatte ich das nochmal. Im Chrome gesurft, Home-Taste, Verknüpfung da; Symbol dahinter war das Bild einer Frau, Link-Beschreibung irgendwas mit "Video-Scr..." (leider abgeschnitten).^^

Diesmal hab ich aber weitergesucht. Hinter dem Link, der angeblich eine Video-Datei sein sollte, steckte eine Datei namens 1021.apk, die sich auf einmal im Verzeichnis der zuletzt von mir installierten App aus dem PlayStore (SolidWorks eDrawings) gefunden hatte. Ausgeführt hab ich sie natürlich nicht, aber im Jotti Online-Scanner hochgeladen, und da waren es je nach Scanner eine Version eines mutmaßlichen ANDROID/HiddenApp-Trojaners ...
Das hat mich stutzig gemacht; ich hab außer den PlayStore-Anwendungen lediglich Apps aus dem XDA-Forum installiert?
Interessanterweise wurde die 1021.apk (siehe Screenshot) am 14.11. um 11:14 installiert; zu der Zeit war ich unterwegs als Beifahrer und hab im Chrome Zeitung gelesen, sueddeutsche.de und spiegel.de (und über die Ereignisse in Paris gelesen). Also _nur_ Chrome, nur die beiden Seiten.

Heute morgen hab ich den Avira-Scanner installiert und durchlaufen lassen; die 1021.apk wurde dabei zweimal gefunden. Nachdem ich dann noch die Suche nach potentiell unerwünschten Anwendungen mitlaufen habe lassen, wurden zwei Funde getätigt:
XLauncher_3.3.10_20150908_ForELE.apk und com.ltp.launcherpad-259ab687626b7ec8377fe94d2836607b.apk.gz.
Wenn ich mir die Details zu den Funden anschaue, wird in beiden der Fund SPR/ANDR.Xinyinhe.83 gemeldet.

Danach gegoogelt, finde ich das hier bei PocketPC:

Dabei handelt es sich wohl um eine Adware, die von einem chinesischen App-Promotion-Unternehmen namens NGE Mobi/Xinyinhe entwickelt wurde. Diese erlaubt es auf skurrile Art und weise nicht nur pornographische Inhalte ungewollt einzuschleusen, sondern auch im Ernstfall die komplette Kontrolle von Android-Smartphones zu übernehmen [...].

Oder bei FireEye:

FireEye Labs mobile researchers discovered a malicious adware family quickly spreading worldwide that allows for complete takeover of an Android user’s device. This attack is created by a mobile app promotion company called NGE Mobi/Xinyinhe that claims to be valued at more than $100M with offices in China and Singapore.[...]

Wenn das jetzt aber in den XLauncher- und Launcherpad-APKs drin ist ... Kann das mal jemand anders prüfen?
Ich hab keine apps aus unbekannter Herkunft ausser den XDA-Links installiert (das sagt aber vermutlich jeder), aber wenn die Funde in den beiden APKs stecken...
Ich lösch mal noch nichts; falls Nachfragen kommen, kann ich das gerne beantworten.
Wie gesagt, vielleicht kann das mal jemand anders prüfen?

Danke!

/Edit: Achso, noch die Infos: Firmware-Version vom 20150909, gerootet über SuperSU (also ein prerooted-Gerät).

 

[Captain Awesome]

Hi,

bei mir war das ähnlich.

Auf einmal hatte ich eine Verknüpfung auf dem Homescreen mit dem Namen "Goo...." irgendwas. Auch abgeschnitten wie bei dir.
Hatte auch die Stock 0909 installiert, sowie ebenfalls ein Prerooted-Gerät. Ein Schelm wer dabei böses denkt
Habe da aber nicht lange gefackelt und bin direkt auf die Eragon Rom umgestiegen. Die läuft perfekt, und man weiß was man hat.
Kann ich dir auch nur empfehlen.

MfG

 

[BourbonRyan]

Ha, ja genau. Das erste mal wars "Goo...".
Ich schmeiß erstmal die beiden Apps raus, weil ich das Gerät morgen brauch, und werd dann wohl doch mittelfristig umsteigen^^

 

[Captain Awesome]

Hi,

gute Idee, lieber kurz-, wie mittelfristig.
Mit der Eragon Rom und am besten noch Xposed und Gravity Box drauf, dann haste ein neues Handy.
Als Kernel dann den visi0nary 1.4014
Macht richtig spaß damit, alles läuft rasend schnell, DT2W und es sieht schicker aus ;-)

MfG

 

[Baron1971]

Das liegt am X-Launcher. Der Lädt Malware runter. Ein Wechsel hilft. Ansonsten ist im aktuellen Stock update auch ein neuer drin.
Ansonsten natürlich Eragon.

 

[BourbonRyan]

Grummel. Ist das denn quasi bekannt?
... Das ist mir wirklich entgangen.
Danke jedenfalls für die Antworten!

... Der X Launcher lädt auch Malware, wenn man ihn garnicht aktiv nutzt übrigens^^

 

[Ulrich B.]

Moin moin,

so wie ich das, im Forum bei Elephone, gelesen habe, soll das Malware Problem mit der November Version gelöst worden sein. Antivir hat mir den XLauncher auch als Malware APP angezeigt gehabt. Mit dem November Rom ist das nun nicht mehr so. Steht so auch in der Bugfix Liste im FW Thread zum November Rom. Also denke ich hat sich das auch erledigt.

Gruß
Uli

 

[BourbonRyan]

Ich finds unglaublich, dass das einfach so "gelöst" wird. Gibts denn eine Stellungnahme von Elephone? Wahrscheinlich nicht, oder?

Im Changelog stehen zur aktuellen Firmware lediglich:

Changelog:
Removed- x-launcher
Changed- Boot Animation & logo
Solved- spam ads problem

In der davor lediglich:

Changelog:
1.optimized-screen splash problem.
2.solved-gallery no response problem when using front camera

"Spam Ads Problem"?? Ich befürcht, ich war dann doch zu blauäugig, was ein Chinadevice angeht...
Ich hab nach dem letzten Update aufgehört, regelmäßig das offizielle Forum zu lesen, aber da hats sogar einer gepostet: Malwares in Elephone_P8000_20150909 - Users sharing - Elephone forum,Elephone service,Elephone BBS,P7000,P8000,S2
Aber so wirklich regt sich keiner auf...

 

[Captain Awesome]

Hi,

naja, wieso soll man sich groß über sowas aufregen?
Klar, sowas geht gar nicht. Keine Frage.
Aber bei Chinaphones muss man immer mit irgendwelchen Haken oder Unstimmigkeiten rechnen.
Daher kommt dann halt der Preis.....

Meiner Meinung nach ist sowas nur für die Leute schlecht, welche sich nicht so gut auskennen wie wir beispielsweise, und sowas evtl. gar nicht bemerken.
Aber diese Klientel kauft dann, in der Regel, auch kein Chinaphone, sondern ein Samsung out of the Box ;-)
Von daher: Nicht aufregen - Custom Rom flashen - Sich an dem tollen günstigen guten Gerät erfreuen......

MfG

 

[Papageienfan]

Hallo,

könnte mir jemand den Kernel und die ROM flashen, ich habe keine Ahnung davon!

MfG

 

[Baron1971]

Das ist super easy! Hier gibt es eine bebilderte Anleitung: Root-Anleitung: Elephone P8000 Rooten, Flashen, Update
Das aufwändigste ist die Windows Treiber Installation.

 

[Papageienfan]

Danke, aber ich habe schon ein Cubot entschärft, das will ich mir nicht nochmal antun!

 

[Miss Montage]

@Papageienfan : Schreib' mir eine PN... Außerdem habe ich diesen Flash-Service gefunden.

 

[myshad]

Was genau war denn hier jetzt der Stand? Kann jemand bestätigen, dass es keine Malware Probleme (mehr) gibt?

Ich möchte nur im Notfall flashen..

 

[BourbonRyan]

Also zumindest @Ulrich B. schreibt hier am 17.11., das bei ihm in der November Firmware Antiviur nicht mehr anspringt.
Ich hab aber den Wechsel auf Eragon (inkl. Xposed, dem Visionary-Kernel und Gravity Box, thnx @Captain Awesome!) hinter mir und bin das auch los.

 

[myshad]

Was istn das alles fürn Zeug? Den Root auf Eragon werd ich schon schaffen.. aber was sind dann noch Xposed, Gravity Box etc.? Und was bringt das?

 

[Captain Awesome]

Hi,

mit Xposed Framework kannst Du dein Smartphone/Tablet sozusagen bis ins kleinste Detail anpassen und verändern.
Das Framework wird per Cwm oder Flashify geflasht, Root vorausgesetzt, und folgt noch der Installer, welcher als App installiert wird.
Gravity Box ist eine App, oder auch Modul, mit dem man dann letztenendes erst die ganzen Modifikationen durchführen kann.
Es gibt unzählige Module für Xposed, viele kannst du im Installer suchen und auswählen, oder entsprechend extern runterladen.

[OFFICIAL] Xposed for Lollipop/Marshmallow [Android 5.0/5.1/6.0, v78, 2015/11/15]

MfG

 

[Baron1971]

Gravity Box kann ich wärmstens empfehlen!! Eine absolute must have App.

 

[N2k1]

Könnt Ihr bitte beim Thema bleiben?
Derzeit sind leider einige Launcher betroffen. Auch Chrome ist/war betroffen. (Direkt aus dem Store installiert!)
Aber das auf einem Samsung und einem ZTE - also kein ELEPHONE.

 

[tomhighflyer]

Also meines ist aktuell vor 3 Tagen out of the box und einmal 30MB Fota Update nicht betroffen mit irgendeiner Maleware.
Läuft ganz okay original.