X9 sendet SMS an komische Nummern

[wydan]

ich hab mir 360 mobile security genauer angeschaut und kann das jemand testen, unter settings> skake and cleanup > high sensitivity, das aktevieren, danach auf update und full scan, wen was gefunden wurde, löschen, danach neustarten

 

[skybolt]

ich hab mir 360 mobile security genauer angeschaut und kann das jemand testen, unter settings> skake and cleanup > high sensitivity, das aktevieren, danach auf update und full scan, wen was gefunden wurde, löschen, danach neustarten

Habe das Procedere nach Deinen Vorschlägen durchgeführt. Keine Funde - das System soll angeblich clean sein.

Der ursprüngliche Beitrag von 20:53 Uhr wurde um 20:55 Uhr ergänzt:

komisch dann müsste das eine neue malware sein, hast du
360 mobile security auf autoupdate schau mal nach, findest du unter settings

Der ursprüngliche Beitrag von 17:34 Uhr wurde um 17:36 Uhr ergänzt:


das heist du hast das "allte" X9

Ja, ich habe die app auf autoupdate. Und ja, ich habe auch das "alte" X9. (mit netzclub, root aber sonst keinen weiteren großen Änderungen.

 

[mich4h]

Haben alle bei denen das Problem besteht die SmsReg.apk in system\app ?

Ich habe die Datei decompiliert und es besteht schon der verdacht das die verantwortlich ist nach einem Reboot SMS zu versenden

in der AndroidManifest.xml steht

<?xml version="1.0" encoding="utf-8"?>
<manifest android:versionCode="1" android:versionName="1.0" package="com.mediatek.smsreg"
xmlns:android="http://schemas.android.com/apk/res/android">
<application android:label="@string/app_name" android:icon="@drawable/icon">
<receiver android:name="com.mediatek.smsreg.SmsRegReceiver">
<intent-filter>
<category android:name="android.intent.category.DEFAULT" />
<action android:name="android.intent.action.BOOT_COMPLETED" />
</intent-filter>
</receiver>
<service android:name="com.mediatek.smsreg.SmsRegService" />
<provider android:name="com.mediatek.smsreg.SmsRegContentProvider" android:readPermission="android.permission.READ_PHONE_STATE" android:authorities="com.mediatek.providers.smsreg" />
</application>
<uses-permission android:name="android.permission.RECEIVE_BOOT_COMPLETED" />
<uses-permission android:name="android.permission.SEND_SMS" />
<uses-permission android:name="android.permission.READ_PHONE_STATE" />


Könnte jemand auf den das zutrifft mal den Ordner data\data\com.mediatek.smsreg irgendwo hochladen?

 

[skybolt]

beim ersten durchlauf von 360 mobile security wurden bei mir 2 vulnerability-warnungen angezeigt und eine (?) bei protection. ich habe dann leider sofort auf fortsetzen geklickt ohne genauer zu schauen was als jeweilige ursache identifiziert wurde.
seither findet die app nichts mehr. lief es bei dir ähnlich, skybolt? ich vermute einfach, dass die meldungen von 360 mobile security mit dem speziellen problem wenig zu tun hatten. was apps angeht habe ich bereits versucht quasi alles verwunderlich klingende in der liste zu deaktivieren - bisher ohne erfolg. nummern in den paketen habe ich auch keine gefunden.

kann jemand bestätigen, dass ich die malware mit dem zopo image loswerden kann?

Ja, bei mir war es genau so. Es wurden beim ersten Durchlauf solche Meldungen angezeigt - auch ich habe leider nicht weiter darauf geachtet, was es genau war. Jetzt werden keine Funde mehr signalisiert - aber die sms'e gehen weiter. Ich deaktiviere jetzt auch eine app nach der anderen - sehr mühsam, aber wohl der einzige Weg.

Der ursprüngliche Beitrag von 20:59 Uhr wurde um 21:06 Uhr ergänzt:

Haben alle bei denen das Problem besteht die SmsReg.apk in system\app ?

Ich habe die Datei decompiliert und es besteht schon der verdacht das die verantwortlich ist nach einem Reboot SMS zu versenden

in der AndroidManifest.xml steht

<?xml version="1.0" encoding="utf-8"?>
<manifest android:versionCode="1" android:versionName="1.0" package="com.mediatek.smsreg"
xmlns:android="http://schemas.android.com/apk/res/android">
<application android:label="@string/app_name" android:icon="@drawable/icon">
<receiver android:name="com.mediatek.smsreg.SmsRegReceiver">
<intent-filter>
<category android:name="android.intent.category.DEFAULT" />
<action android:name="android.intent.action.BOOT_COMPLETED" />
</intent-filter>
</receiver>
<service android:name="com.mediatek.smsreg.SmsRegService" />
<provider android:name="com.mediatek.smsreg.SmsRegContentProvider" android:readPermission="android.permission.READ_PHONE_STATE" android:authorities="com.mediatek.providers.smsreg" />
</application>
<uses-permission android:name="android.permission.RECEIVE_BOOT_COMPLETED" />
<uses-permission android:name="android.permission.SEND_SMS" />
<uses-permission android:name="android.permission.READ_PHONE_STATE" />


Könnte jemand auf den das zutrifft mal den Ordner data\data\com.mediatek.smsreg irgendwo hochladen?

Uups, das geht jetzt aber schon ganz schön ins Eingemachte! Ich habe den Ordner mal in meinen dropbox-account gelegt. Wie kann ich Dir den denn jetzt zukommen lassen? (Ich bin da etwas unbeholfen!)


Vielleicht funktioniert das:
https://www.dropbox.com/sh/ib6madlbrh2w25o/YUbvbvYAgt

 

[lauxmueller]

Also,ich habe das SMS Problem nicht und nutze die JB 4.2.1 Electronica. Hab grad mal geschaut nach des SMSReg. Bei mir gibt es weder die Datei noch den Ordner den du genannt hast. Wäre also ne Möglichkeit.....

 

[mich4h]

Ich habe den THL W100 Port und die Datei auch nicht,bei mir werden auch keine ungewollten SMS verschickt..daher die Vermutung

@skybolt
Danke,der Ordner auf Dropbox ist aber leer,ist das Orginal auch so?

 

[wydan]

SMSReg wurde schon deaktiviert hat leider nichts gebracht (war in einem langen beitrag)

 

[skybolt]

Ich habe den THL W100 Port und die Datei auch nicht,bei mir werden auch keine ungewollten SMS verschickt..daher die Vermutung

@skybolt
Danke,der Ordner auf Dropbox ist aber leer,ist das Orginal auch so?

Ja, es ist nicht viel drin, in dem Ordner ist eine Unterdirectory "Cache", die wiederum eine Unterdirectory "com.android.renderscript.cache" enthält, die leer ist.
Und eine Datei "lib" ohne weitere Kennzeichnung und mit 0.00B.

 

[mich4h]

Schon mal versucht die Datei und den Ordner zu löschen?

@wayden

Die Smsreg sendet eindeutig ungefragt nach China,beweise mir das Gegenteil oder welche App ist sonst verantwortlich?

Das habe ich auch gerade noch dazu gefunden:
Sharp SH530U - Talk - 4PDA

 

[stolpi]

Kleine Erfolgsmeldung...
unser Netzclub X9 läuft nun auch mit dem ZOPO ROM ist es wird nichts mehr wegen getarnten SMS was abgebucht!

Hoffentlich bleibt es so .


Viele Grüße,
stolpi

 

[wydan]

Kleine Erfolgsmeldung...
unser Netzclub X9 läuft nun auch mit dem ZOPO ROM ist es wird nichts mehr wegen getarnten SMS was abgebucht!

hast du schon neu gestartet ?

Der ursprüngliche Beitrag von 22:10 Uhr wurde um 22:18 Uhr ergänzt:

@waydan

Die Smsreg sendet eindeutig ungefragt nach China,beweise mir das Gegenteil

eigentlich müsstest du mich vom gegenteil überzeugen
aber ich hab das gefunden

Habe gerade Avast Mobile Security durchlaufen lassen - keine Auffälligkeiten. Bei den vorinstallierten Apps sind mir zwei Chinaapps und eine App namens "SmsReg" aufgefallen. Letztere klingt doch vielversprechend. Ich werde diese deaktivieren und weiter testen.

Edit: Bringt leider nichts. Innerhalb von nur 2min wurden zwei weitere SMS versendet.

oder welche App ist sonst verantwortlich?

wen ichs wüste würd ichs euch sagen

 

[spdi]

Lässt sich die komplette Firmware mit der Malware irgendwo downloaden? Ich hab kein X9.

 

[mich4h]

wen ichs wüste würd ichs euch sagen

Und genau deswegen ist für mich die SmsReg (im Moment) die wohl wahrscheinlichste Ursache bis du mich vom Gegenteil überzeugt hast

Ich gebe hier nur handfeste Hinweise,was ihr damit macht bleibt euch überlassen....bin ja nicht betroffen

Bitte auch noch das dazu lesen:
Google Übersetzer


Und guppy66 soll die App löschen nicht nur deaktivieren

 

[stolpi]

hast du schon neu gestartet ?
....

Ja klar, sorry hätte ich gleich schreiben müssen...
Haben ständig den Guthabenstand kontrolliert und immer wieder ein Reboot durchgeführt.
Es wurde nur eine SMS abgebucht (9Cent) und der ging für "WhatsApp" drauf.

Werden das auf alle Fälle im Auge behalten!


Viele Grüße,
stolpi

 

[mich4h]

Lässt sich die komplette Firmware mit der Malware irgendwo downloaden? Ich hab kein X9.

versuch mal die
https://docs.google.com/file/d/0B339h4jAp_a4OElxVzdaT25BZkE/edit

 

[Screemer]

So mal ein Bericht von mir.

X9 v1, geliefert am Mittwoch 16.10.2013, hat das gleiche Problem. Ich nutze das CaiOS 1.04 Rom von RiseAgainst. Dachte mir die letzten Tage schon, dass mein Guthaben komisch schwindet. Allerdings hab ich mein X9 seit der Installation des Roms vor gut 2 Wochen nur dann neu gestartet, wenn der Akku wirklich unverhofft leer war.

Gerade habe ich manuell neu gestartet und der Kontostand meiner Sim1 (Netzclub) viel ca. 45 Sekunden nach dem Booten um 0,38€. Das Handy lag dabei neben einer aktiven Box und es kam das altbekannte Geräusch bei Handyaktivität aus den Lautsprechern. Im Anschluss gleich die SMS-Logs mit Call Meter 3G gecheckt und es ist keine ausgehende SMS verzeichnet.

Schöner Mist.

 

[wydan]

Gerade habe ich manuell neu gestartet und der Kontostand meiner Sim1 (Netzclub) viel ca. 45 Sekunden nach dem Booten um 0,38€.
Schöner Mist.

zitat: CT's
Wer sich präventiv gegen SMS-Betrug schützen möchte, kann die Nutzung von kostenpflichtigen SMS-Premium-Diensten bei seinem Netzanbieter generell unterbinden. Diese einfache Methode schützt vor den meisten im Umlauf befindlichen Betrugs-Apps für Mobilgeräte.

wer ganz sicher gehen will, solte auch die Option des einkaufs über die Mobilfunkrechnung deaktivieren und
auch noch Roaming
diese Optionen findet man im Kunden-Center seines Provider

 

[blubbblubb]

Vielleicht erklärt sich ja einfach mal jemand bereit ein nandroid backup (mit cwm erstellt) hochzuladen, dann nehm ich das auch nochmal unter die lupe.

so ohne weiteres im dunkeln rumstochern bringt ja auch nichts

 

[Screemer]

und dafür neustarten und noch mal geld verballern?

scherz. werd ich gleich mal machen.

€dit: gibts eigentlich ne möglichkeit seine sensiblen daten aus nem nandroid backup zu löschen? Wenn ich nen Wipe mache dann ist ja nicht sicher ob das verhalten noch auftritt.

stelle mich aber mal zur verfügung. wipe und restart mit einer sim und schaun was so passiert.

 

[skybolt]

Ich habe alle findbaren smsreg Komponenten gelöscht. Hat aber leider nichts genracht. Nach einem reboot kam sogleich die Mitteilung, dass die sms (wegen fehlendem Guthaben ) nicht gesendet werden konnte.