DroidDream-Trojaner über MarketApps - 50 Apps identifiziert, Lookout kostenlos

hm kann es zum teil gar nicht weil sie nicht wissen was es evtl alles geändert hat.

siehe link post 17 beide seiten lesen dann versteht man das alles ein wenig besser.

wobei ich das so sehe das man nie 100% sicher ist.

Ja das ist dir Frage gibt es ein Tool oder per Had das man nachsehen kann ob man den Trojaner drauf hat oder nicht?

Hm. Meine Kontakte, email usw ist alles bei Google gesynct. Da muss ich nichts machen.
Nur halt flashen in dem Fall. Wenn es mit wipe nicht weggeht?
Schade.
Irgendwie will ich nicht per ODIN flashen, aber es bleibt einem ja nichts anders übrig wenn nun schon Malware die Handys verseucht.
Frag mich nur was all die anderen tun, die keine Ahnung davon haben?

Zitat von Sloogy

hm kann es zum teil gar nicht weil sie nicht wissen was es evtl alles geändert hat. siehe link post 17 beide seiten lesen dann versteht man das alles ein wenig besser.

Eben drum:

Zitat von Lucas0511

Bei Antiviren-Hersteller Lookout müssen die Korken knallen, sein kostenloses Programm aus dem Market schützt jetzt gegen den als "DroidDream" erkannten Trojaner.

Wenn der Trojaner erkannt werden kann, müsste Lookout ihn auch anzeigen können. Ich nutze Lookout übrigens schon seit 5 Monaten, hatte aber Glück: Zwar habe ich einige Apps auf meinen SGS, die von den Malware-Herstellern nachgemacht wurden - aber eben die Originale und nicht die verseuchten Kopien. Von daher wundert's mich nicht, dass Lookout keinen Virus meldet.

Ich hoffe sehr, es kommt bald eine Google-App heraus, die den Trojaner nachweist (auch das wäre ja schon wichtig) und bestenfalls auch entfernt.

Ich glaub da können wir lange warten bis da was kommt?
Naja. Mal sehen.
Bei so viele Smartphones und so vielen Downloads. Vielleicht beeilen die sich...

Üble Geschichte, muss man schon sagen.
Hab grade auf der Homepage von Lookout einen intersanten Aspekt gelesen:

When DroidDream attempts to infect a device, it uses two known exploits, exploid and rageagainstthecage, to break out of the Android security container. Both of the vulnerabilities being exploited were patched by Android 2.3 (Gingerbread). If exploid fails to root the device, the malware will attempt to use rageagainstthecage. Once the phone is rooted, DroidDream is configured to searched for a specific package named com.android.providers.downloadsmanager. If the malware does not find this package on the device, it will silently install a second malicious application without the user’s knowledge. If DroidDream does find the downloadsmanager package, it will not continue infecting the device with the second malicious application.

Leider ist für mich jetzt nicht ersichtlich aus dem Text, ob der Prozess / die App / was auch immer "com.android.providers.downloadsmanager." über die normale Anwendungsliste von Android ersichtlich ist, oder ob der Eintrag versteckt ist. Denn so könnte man eine Infektion schnell und einfach fesstellen. Bei mir jedenfalls gibt es diesen Eintrag nicht.

Ich hab hier irgendwann mal ein 'Chess' installiert. Wie finde ich den Anbieter heraus? In der Apps-Übersicht zeigt er mir nichts an, scheinbar hat die App aber auch keinerlei Berechtigung zu irgendwas (die orangen Anzeigen über SD Zugriff, netzwerk etc. fehlen komplett.)

Zitat von GalaxyKnight

Hm. Meine Kontakte, email usw ist alles bei Google gesynct. Da muss ich nichts machen.
Nur halt flashen in dem Fall. Wenn es mit wipe nicht weggeht?
Schade.
Irgendwie will ich nicht per ODIN flashen, aber es bleibt einem ja nichts anders übrig wenn nun schon Malware die Handys verseucht.
Frag mich nur was all die anderen tun, die keine Ahnung davon haben?

gefällt mir auch nicht das ist werbung fürs 2.3 denn da ist die lücke nicht vorhanden.
ODIN wie war das noch?? habe alles zum schluss immer über CWM gemacht.

ich kann mir vorstellen das die anwendung com.android.providers.downloadsmanager von einem gebrandetem gerät stammt
und wenn die nicht vorhanden ist versucht es eine andere anwendung im hintergrund zu installieren. jetzt die masterfrage was ist die weitere anwendung wenn man das wüsste könnte man schauen ob der dienst vorhanden ist und oala man hätte das problem der frage der infizierung gelöst leider haben wir die infos nicht.

Zitat von spaceman_t

Ich hab hier irgendwann mal ein 'Chess' installiert. Wie finde ich den Anbieter heraus? In der Apps-Übersicht zeigt er mir nichts an, scheinbar hat die App aber auch keinerlei Berechtigung zu irgendwas (die orangen Anzeigen über SD Zugriff, netzwerk etc. fehlen komplett.)

Schau dir das App im Market an (z.B. via AppKik), da steht der Hersteller dabei. Wenn das App nicht gefunden wird, wurde es entfernt, und das wäre kein gutes Zeichen. Gerade bei "Chess" gibt es über 10 verschiedene Apps, aber nur das von Myournet ist der Bösewicht.

Da fällt mir noch was zu Lookout ein. Das durchsucht ja nur die installierten Apps. Findet der auch was wenn die App nicht mehr installiert ist? Denn so wie ich das verstanden hab bleibt das Root Kit ja trotz Deinstallation der App noch am Gerät, oder?

getapat mit meinem Desire

so hab ich das auch verstanden deswegen habe ich mein SGS komplett platt gemacht.
denn das Lookout kann bis jetzt nur die installationsdatei löschen. wenn ich mich nicht verlesen habe

Die Frage ist ja auch wie platt man das Gerät machen muss... Reicht da das neu flashen?

getapat mit meinem Desire

also bei xda meinten sie das man doppel wipe dann sd formatieren dann neuflash und danach denn patch verwenden soll wenn man infiziert wurde. nochmal zum nachlesen post 15

ich habs so gemacht alles ist jetzt leer so richtig ungewohnt da ich die externe auch platt gemacht habe.

Heisst das ich muss die Daten auf der externen löschen?
Alle Bilder usw.
Kann ich das noch sichern? Wäre ja echt hart..

das weiss ich auch nicht hab alle bilde gesichert und dann platt gemacht das wäre mir auch zu heftig gewesen zumindest bei den bildern die apps raus geschrieben und neu installiert somit habe ich ein frisches rom die kontakte über gmail konto gesynct

ob die externe auch betroffen ist weiss ich nicht aber bin auf nummer sicher gegangen.

Ich warte mit der plattmacherei jetzt noch.
Erstens kann ich nicht mal sicher sagen ob ich eine der Apps drauf hatte (eher nicht) und zweitens muss es doch irgendwie erkenntlich sein, ob man das Rootkit drauf hat oder nicht. Bis es dazu eine Info gibt warte ich mit der ganzen Aktion noch.
Ausserdem, wer weis wieviele leute shcon seit wochen / evtl. Monaten diese Apps drauf haben. Anscheinend ist dadurch ja kein finanzieller Schaden entstanden, denn sonst wäre das schon vorher aufgefallen...

naja ich bin halt bei mir 100% sicher das es drauf war. habs heute erst gelöscht hm
und wegen monatelanger sammlerei ist ja noch nichts passiert, aber firmen zahlen für solche daten und genauso kriminelle. daher für mich die vorsicht.
eigentlich muss jeder selbst entscheiden was er macht. ob er nur mit dem antivir oder mit plattmachen usw usw jedem in seinem ermessen.

wenn ich mir nicht sicher wäre, dann würde ich es auch nicht so machen.

Tja. Ich bin mir absolut sicher.
Und darum werd ich heute Abend mal flashen und auch alle Mail und FB Daten neu vergeben, sprich PW ändern.
Dann kann ich wenigstens gleich auf 2.2.1 flashen und brauch kein Lagfix mehr!??

OK aber es ist immer noch offen wie man das die Malware erkennen kann, Lookout meldet nix bei mir ich hatte Spiderman drauf aber habs geläscht und finde es im Market nicht mehr. Wobei es vorher anders hieß.
Aber es muss doch möglich sein ne App zu schreiben wo prüft ob der Virus drauf ist weil WIpen mach ich erst wenn ich sicher bin das da was drauf ist...ich vermute nein....
Aber ich will sicher gehen!

Seh ich auch so. Hab schon so viele spiele installiert und dann wieder gelöscht, ich kann unmöglich sagen ob ich eins davon drauf hatte oder nicht. Also muss jetzt mal ne Lösung her, wie man das mit Sicherheit nachsehen kann. Ich hoffe da kommt die nächsten Tage mal ne Lösung an den Start.