ACHTUNG! Verdächtige App

[archernoir]

@o0Robse0o
Habe vorhin endlich nach der Anleitung die SystemApp Aktualisierung mit Funknetz runtergeworfen. Ganz dickes Danke dafür. Prompt blieb das Handy hinterher auch kalt und brauchte viel weniger Strom. Aber zu früh gefreut: kurze Zeit später meldete Avast plötzlich die neue Installation der Malware-App com.yhn46.ujm867.apk - kann man denn nicht die Installation neuer Apps irgendwie blockieren?
Dann der Schock: Dr.Web hat 12 Infektionen im FullScan gefunden, 10 ließen sich in Quarantäne verschieben, aber SystemFota.apk steckt im System.
Ordner ist /system/priv-app/SystemFota .
Kann man das genauso runterwerfen wie AmF zuvor, oder zerschießt man sich dann das System?

 

[wolfman11]

Langsam nervt es mit dem Vernee M5. Die Überwachungsschnittstellen sind offenbar von Werbe Bloatern und Spamern gekapert worden, weil Vernee als Firma nicht mehr existiert. Ständig poppen, vor allem nach dem Einschalten, neue Kotz-Apps hoch. Ich habe gerade einen Werksreset gemacht und das Phone nur ohne eine fremde App benutzt, nach 2 Wochen geht es trotzdem los. Gerade treibt neben den hier genannten, die ich alle schon hatte "FALCON" sein Unwesen.

Man muss sich darüber klar sein, das jedes China Handy Software Schnittstellen hat, die von außen Zugriff auf alle Daten und Funktionen ermöglichen. Es ist in China nicht erlaubt Handys zu produzieren die das nicht ermöglichen. Jede chinesische Firma ist verpflichtet staatlichen Stellen entschädigungslos zu helfen und mit ihnen zu kooperieren. Das ist kein Geheimnis, sondern ein Gesetz dort. So wie übrigens auch jeder chinesische Bürger verpflichtet ist dem Geheimdienst zu helfen. Nein sagen führt zu Repressalien, auch gegen Familienangehörige.
Was dabei nun interessant ist, eigentlich möchte der chinesische Staat das mit den Export Telefonen natürlich nicht an die große Glocke hängen. Weshalb die Daten immer ganz unauffällig herunter geladen werden. Stellt man nun fest das eine "Person of Interest" so ein Handy benutzt, kann man die gezielt überwachen. Vermutlich auch Mikrofon und Kamera fern-aktivieren. Wie weit das geht ist natürlich nicht bekannt. Man braucht aber kein Verschwörungstheoretiker zu sein, um sich einfach einmal in die Lage eines Geheimdienstes zu versetzen, der jeden Bürger, egal ob im eigenen oder fremden Land, als Bedrohung sieht. Oder Quelle für wirtschaftlich relevante Informationen. Was würde so ein STASI Mitarbeiter gerne wissen, der keinerlei staatliche Gesetze hat, die ihn beschränken? Was würde er wollen, was ein Telefon kann, bzw. er damit unbemerkt machen kann? Klar: Alles was geht!
Dumm ist nur, das man natürlich irgendwo an Schnittstellen muss, die öffentlich bekannt und zugänglich sind. Die werden natürlich dann von jedem, der kompetent danach sucht, auch gefunden. Denn die Komponenten des Handys, egal ob Hard oder Soft, sind ja keine chinesischen Erfindungen, sondern welche aus dem Westen. Könnten die Chinesen ein komplettes, eigenes Betriebssystem für ein Mobiltelefon oder einen Computer schreiben, hätten sie das schon lange getan. Man kann aber eine zentral überwachte, über Jahrzehnte auf Raubkopien ausgerichtete Gesellschaft, nicht einfach auf freies, kreatives Entwickeln umstellen. Dazu misstraut die Führung auch jeden chinesischen Bürger zu sehr.
Könnte also ein Entwickler einen unabhängigen Code schreiben, könnte er auch jeder stattlichen Kontrolle entgehen. Logisch, oder? Da beißt sich der chinesische Glücksdrachen in den Schwanz! Zumal eben diese Führungskultur auch keine Menschen mit Herrschaftswissen in der unteren Stufe der Entwicklung duldet. Das Dilemma haben eben Faschisten. Denkende Menschen sind gefährlich, aber irgendwie unverzichtbar. Gefangene Zwangsarbeiter sind keine motivierten Mitarbeiter.

Wenn man das einmal verstanden hat, braucht man sich nicht zu wundern oder ärgern. Mit dem Preis des China Handys hat das gar nichts zu tun. Alles was dann noch interessiert ist, kann man das unterbinden (ja) und wie (wüsste ich gerne).

Schön das es so viele fleißige und fähige Leute gibt die in die Richtung arbeiten. Danke!

 

[Joacoloco]

Hallo,
Ich schreibe Ihnen mit einem automatischen Übersetzer aus dem Spanischen.
Meine Frau und ich haben das Telefon in Amazon Spanien von einem Verkäufer in Deutschland gekauft und ich bestätige, dass Vernee M5 Viren / Malware in der Firmware enthält oder zumindest eine schwerwiegende Sicherheitsverletzung, die ausgenutzt wird. Die Piraten haben Zugriff auf die im Chrome-Browser gespeicherten Passwörter erhalten.

Meine Frau und ich haben die gleiche Malware, die hier und in der Facebook-Gruppe von "Vernee M5 Brasil", "forum.xda-developers.com" und anderen Websites gemeldet wird.

Die meisten unerwünschten Anwendungen sind aggressive Adware, aber das Sicherheitsproblem ist wirklich ernst. Die Piraten haben mit den in meinem Chrome-Browser gespeicherten Passwörtern Zugriff auf mein Facebook-Konto erhalten. Die betrügerischen Aktivitäten auf Facebook wurden von einem Chrome-Browser in Paris gemeldet, aber die Piraten können einen Tunnel benutzen. Glücklicherweise haben sie mein Passwort nicht geändert und ich konnte Zugriff auf mein Konto erhalten und habe die betrügerischen Aktivitäten gemeldet. Ich denke, sie können sich mit den im Telefon gespeicherten Passwörtern auf anderen Websites anmelden.

Ich poste einige andere Foren, in denen über die Malware in der Firmware von VERNEE M5 diskutiert wird

Vernee M5 Brasil Öffentliche Gruppe | Facebook (Facebook-Gruppe "Vernee M5 Brasil")

Could my Vernee M5 have preinstalled adware?

Amazon.de

Die Malware ist sehr, sehr schwer zu entfernen, da sie sich in der Firmware befindet und das Antivirenprogramm nicht einmal den Ursprung der unerwünschten automatischen Installation von Anwendungen wie QZO, Fake Facebook, com.rtycg.erycx, Messerwerfer, InsTube usw. erkennen kann. Beim Zurücksetzen auf die Werkseinstellungen wird die Malware nicht bereinigt.

Einige Benutzer von "Vernee M5 Brasil" haben über TWRP ein neues ROOM installiert, um die Malware zu entfernen.

Ich habe die System-App deinstalliert, die Firmware-Updates des WLAN-Hardwaremoduls (auf Spanisch "Actualización Radio Firmware" oder ähnliches) mit ADB (mit aktiviertem USB-Kabel und Entwicklertools) überprüft, aber das Problem besteht weiterhin. Bitdefender, Malwarebytes erkennt nur einige gefälschte Apps, behebt jedoch nicht das eigentliche Problem. Es scheint, dass es funktionieren könnte, wenn das Mobiltelefon auf die Werkseinstellungen zurückgesetzt wird und bevor eine Verbindung zum Internet hergestellt wird und zunächst die WLAN-Firmware-Aktualisierungs-App von ADB deinstalliert wird. Aber es hat bei mir nicht funktioniert ...

Heute haben die Piraten angefangen, Fotos hochzuladen und meine Facebook-Kontakte zu markieren, um in meinem Namen für Schlankheitsprodukte zu werben. Ich denke, sie haben Zugriff durch die im Chrome-Browser gespeicherten Passwörter erhalten (ich hatte keine Facebook-App installiert).

Die Probleme und Apps, die alle paar Stunden wiederholt installiert werden, werden hier und in der Facebook-Gruppe "Vernee M5 Brasil" gemeldet. Ich denke, Vernee ist bankrott und jemand verdient Geld mit der Malware.

 

[Wattsolls]

Die Herkunft der Malware muss nicht zwingend Vernee selber sein. Es war z.B. schon mehrfach so das Zwischenhändler verseuchte ROM´s installiert haben. Manche der chinesischen Hersteller haben das erkannt und unterbunden.
Ja, die Malware ist im System integriert. Die wirst Du nur los durch Installation einer sauberen ROM.

 

[Joacoloco]

@Wattsolls
Vielen Dank für die Klarstellung!
Könnten Sie mir eine URL empfehlen, um ein sauberes ROM zu erhalten?

 

[Wattsolls]

So auf die schnelle nicht. XDA Developers? [vernee M5] [CUSTOM STOCK MOD ROM] [180609-1-BETA-FIXED] 3lm ROD
Ansonsten mal z.B. bei HTCmania schauen? HTCMania.com

Beiträge automatisch zusammengeführt: 11.12.2020

Ist schwer dafür noch was zu finden. Das gerät ist alt und niemand wird dafür noch etwas neues bauen.

 

[Joacoloco]

[Entschuldigen Sie mein Deutsch. Dieser Text wird automatisch aus dem Spanischen übersetzt]
Vielen Dank für das Feedback.
Ich wollte ein ROM, weil ich nach einem "Werksreset" die Quelle der Malware, die das VERNEE-Telefon senkt, nicht entfernen konnte.

Am Ende musste ich kein neues ROM laden und im Moment sind keine Viren wieder aufgetaucht.

Wie bin ich von Viren befreit?
Ich habe einen "Werksreset" aus dem Android-Einstellungsmenü, Sicherheitsbereich. Dann schaltete ich mein Telefon mit der Lautstärke-Taste gedrückt. Im Menü "Bootloader" habe ich auch einen Daten- und Cache-Reset gemacht. Ich habe so viel aufgeräumt, wie ich konnte.
Mit dem "Factory Reset" Mobil und vor dem Anschließen an das Internet aktivierte ich USB-Debugging in den Entwicklertools.
Ich deinstallierte die Update-App, duraspeed und was es mit Telefonie zu tun hatte... (Ich werde dieses Telefon nicht mehr mit einer SIM-Karte verwenden). Ich denke, einige Pakete waren nicht notwendig, um zu entfernen, aber das Telefon beginnt gut.
Ich habe die Pakete mit dem ADB-Tool deinstalliert (mit dem Befehl "pm unistall -k --user 0").
Um Viren zu entfernen, ist es wichtig, Ihr Telefon vollständig zurückzusetzen und vom "Bootloader" zu reinigen und bevor das Telefon über WLAN oder Telefonie verbinden kann, deinstallieren Sie mindestens "Wifi Update".
Das Sicherheitsproblem ist ernst, weil ich in mein Facebook-Konto eingegeben wurde (zum Glück konnte ich die Kontrolle zurücknehmen).
Sie begannen, Kontakte zu markieren und werbefinanzierte Fotos hochzuladen. Sie hätten mein Passwort nicht haben dürfen und sie konnten mein Konto nicht stehlen. Zum Glück konnte ich die Kontrolle über Facebook zurückerobern und in der Postgeschichte habe ich Dies überbewertet und Identitätsdiebstahl angeprangert.
Die beiden VERNEE-Telefone werden von meiner Frau oder mir nicht mehr verwendet.
Ich habe sie so vorbereitet, dass meine Töchter spielen, Klassenzimmer benutzen, chatten, Videokonferenzen abhalten können... WiFi (ohne Verbindung mit der SIM-Karte Ihres Telefons).
Aus Vorsicht habe ich Chrome so eingestellt, dass keine Konten synchronisiert werden, sodass keine Kennwörter gespeichert werden und mobile Konten Schulkinder sind (ich habe keine vertraulichen Informationen mehr).

Ich habe meine Passwörter geändert, falls sie auf die im Chrome-Browser gespeicherten Passwörter zugreifen konnten.

Bisher sind keine Viren aufgetaucht. Ich empfehle, keine sensiblen Informationen auf das VERNEE-Telefon zu legen.

 

[Joacoloco]

Die folgenden Listen enthalten die Pakete, die ich mit ADB deinstalliert habe.
Ich habe com.fota.wirelessupdate (das Malware enthält) und com.mediatek.wfo.impl (das Sicherheitsbedenken hat) deinstalliert.
Ich habe mehr nicht wesentliche Pakete deinstalliert, da ich das Gerät nicht mehr als Telefon (keine SIM-Karte) oder Bluethooth verwende. Ich habe auch Fingerabdruckpakete deinstalliert.
Warnung: Viele Pakete, die ich entfernt habe, sollten weiterhin die volle Funktionalität des Geräts aufweisen. Ich habe zu viele Pakete deinstalliert, weil mir Malware langweilig war.

##################################
# Android not essential (it is better not to uninstall).
com.android.bluetoothmidiservice
com.android.bookmarkprovider
com.android.calllogbackup
com.android.carrierconfig
com.android.dreams.basic
com.android.egg
com.android.facelock
com.android.managedprovisioning
com.android.mtp
com.android.printspooler
com.android.providers.partnerbookmarks
com.android.proxyhandler
com.android.stk
com.android.wallpaper.livepicker
##################################
##################################
# TOUCHPAD KEYBOARD BLOATWARE
com.cootek.smartinputv5.language.oem.chs
com.cootek.smartinputv5.language.oem.french
com.cootek.smartinputv5.language.oem.german
com.cootek.smartinputv5.language.oem.italian
com.cootek.smartinputv5.language.oem.portuguesept
com.cootek.smartinputv5.language.oem.russian
com.cootek.smartinputv5.language.oem.spanish
com.cootek.smartinputv5.language.oem.turkish
com.emoji.keyboard.touchpal
##################################
##################################
com.cs.cittest
##################################
##################################
# Suspicius
com.example
com.focaltech.ft_terminal_test
##################################
##################################
##################################
##################################
# com.fota.wirelessupdate is MALWARE
com.fota.wirelessupdate [MALWARE]
##################################
##################################
##################################
##################################
# Fingerprint, not used by me
com.fpsensor.fpSensorExtension
com.goodix.fingerprint
com.goodix.gftest
##################################
# google add-ins that can be installed later
com.google.android.apps.docs
com.google.android.apps.tachyon
com.google.android.feedback
com.google.android.googlequicksearchbox
com.google.android.marvin.talkback
com.google.android.music
com.google.android.printservice.recommendation
com.google.android.tts
com.google.android.videos
com.google.android.webview
##################################
# uninstalled just in case
# some could be considered not-essential
# (it can be better not to uninstall).
com.mediatek.batterywarning
com.mediatek.calendarimporter
com.mediatek.duraspeed
com.mediatek.ims
com.mediatek.lbs.em2.ui
com.mediatek.mdmlsample
com.mediatek.miravision.ui
com.mediatek.mtklogger
com.mediatek.omacp
com.mediatek.simprocessor
##################################
#Security issue in com.mediatek.wfo.impl
com.mediatek.wfo.impl
#Security issue in com.mediatek.wfo.impl
# See CVE-2019-15352
##################################
# I am not going to use engineer mode
com.mediatek.ygps
##################################
# I no longer use the device as a telephone.
# So I uninstalled some packets uninstalled just in case a malware
# tried to use a service
com.mtk.telephony
com.nb.aging
com.ontim.cit
com.ontim.deviceinfo

 

[kepsspeed281]

Ich hatte bei meinem Vernee M5 genau die selben Probleme mit Malware, habe eine neue Rom geflasht aber die Probleme waren nach ca. 2 Wochen wieder da. Dann habe ich einen Hard Reset gemacht und in den Entwickleroptionen die Schaltfläche "Automatische Systemupdates" deaktiviert. Jetzt habe ich seit 4 Monaten gar keine Probleme mehr. Das kam mir zu einfach vor aber es funktioniert bis jetzt .

 

[Joacoloco]

@kepsspeed281
Danke vielmals.
Ich bin bei Ihnen, dass der Schlüssel nach einem Hard-Reset und bevor das Telefon eine Verbindung zum Internet herstellt, "Automatische Systemupdates" (Paket com.fota.wirelessupdate) deinstalliert.
Ein Gruß aus Spanien.
[Text übersetzt von Google]

 

[Captn Difool]

Eine letzte Meldung dazu von mir.
Ich habe Vodafone Prepaid und die Hotline bot mir nach meiner Hackingmeldung an, Bots zu deaktivieren. Leider machen die das immer erst auf Kundennachfrage. Seitdem vom Provider Bots unterbunden wurden, hatte ich keine Probleme mit dem M5 mehr. Wenn andere Provider das nicht machen, ist das natürlich ärgerlich. Bots schleichen sich anscheinend immer über das Mobilnetz ein.
Das M5 schicke ich jetzt in den Ruhestand, nach 4 Jahren Nutzungsdauer läßt nun die Akkuleistung spürbar nach. Ein Realme 8i wird seine Nachfolge antreten, hoffentlich mit weniger Problemen....

 

[kurhaus_]

@Captn Difool Was für Bots? Ich selber nutze Vodafone Prepaid, habe das nicht und ich habe davon auch noch nie was gelesen.

 

[Captn Difool]

Das M5 lief heiß, war die ganze Nacht auf Vollast und drei Bots darauf kaperten mein Guthaben. Ein Anruf bei der Vodafon-Hotline ergab, das sich Hacker das M5 gerootet hatten und meine Guthaben "umgeleitet" hatten. Es wurden also Anrufe über mein M5 ins Ausland umgeleitet und dafür mein Guthaben genutzt. Vodafone hatte das freundlicher Weise rückgängig gemacht und angeboten, Bots zu deaktivieren, dann könne das nicht mehr passieren. Seitdem habe ich Ruhe.

 

[kurhaus_]

@Captn Difool Sorry, aber das alles halte ich für Blödsinn. Welche Bots liefen auf deinem Gerät, die Vodafone deaktivieren konnte? Wie kamen die Bots aufs Gerät und vorallem, wie konnten diese das Gerät rooten?

 

[Captn Difool]

Das steht doch alles in diesem Thread. Ich kann hier nur wiedergeben, was mir der freundliche Mitarbeiter am Telefon sagte. Mehr werde ich dazu auch nicht schreiben, wenn Du das alles nur für Blödsinn hälts, dann ist es eben so. Mich tangiert das Problem nicht mehr und ist für mich erledigt. Nur noch fürs Archiv.