Die ersten Malware App`s gesichtet

Druckbare Version

03.03.2011, 06:44
Sloogy

Die ersten Malware App`s gesichtet

Laut einem Bericht im XDA forum sind die ersten App mit Malware Charakter aufgetaucht die euer Phone nach IMEI ID Sourcecode usw durchsuchen.

ein Patch und eine Beschreibung ist dort zu finden.

Wenn einer so nett sein könnte und das für alle mal übersetzten kann.

Zitat:

Zitat von Rodderik

[Patch][Rom]Malware Exploit for all pre-Gingerbread phones
Who is affected? All phones pre-gingerbread
Who should act? Users and developers using pre-gingerbread roms
How do I fix? Flash attached .zip at the bottom of this post or use one of the alternate methods down there
What if I think I was infected? Completely wipe your device, format sdard, go back to stock and re-apply rom, then flash the attached .zip (before installing any apps)
Why should I care? read below...

http://www.androidpolice.com/2011/03...open-backdoor/

Link to publishers apps here. I just randomly stumbled into one of the apps, recognized it and noticed that the publisher wasn’t who it was supposed to be.

Super Guitar Solo for example is originally Guitar Solo Lite. I downloaded two of the apps and extracted the APK’s, they both contain what seems to be the "rageagainstthecage" root exploit – binary contains string "CVE-2010-EASY Android local root exploit (C) 2010 by 743C". Don’t know what the apps actually do, but can’t be good.

I appreciate being able to publish an update to an app and the update going live instantly, but this is a bit scary. Some sort of moderation, or at least quicker reaction to malware complaints would be nice.

EDIT: After some dexing and jaxing, the apps seem to be at least posting the IMEI and IMSI codes to http://184.105.245.17:8080/GMServer/GMServlet, which seems to be located in Fremont, CA.

I asked our resident hacker to take a look at the code himself, and he’s verified it does indeed root the user’s device via rageagainstthecage or exploid. But that’s just the tip of the iceberg: it does more than just yank IMEI and IMSI. There’s another APK hidden inside the code, and it steals nearly everything it can: product ID, model, partner (provider?), language, country, and userID. But that’s all child’s play; the true pièce de résistance is that it has the ability to download more code. In other words, there’s no way to know what the app does after it’s installed, and the possibilities are nearly endless.

The offending apps from publisher Myournet:

* Falling Down
* Super Guitar Solo
* Super History Eraser
* Photo Editor
* Super Ringtone Maker
* Super Sex Positions
* Hot Sexy Videos
* Chess
* 下坠滚球_Falldown
* Hilton Sex Sound
* Screaming Sexy Japanese Girls
* Falling Ball Dodge
* Scientific Calculator
* Dice Roller
* 躲避弹球
* Advanced Currency Converter
* App Uninstaller
* 几何战机_PewPew
* Funny Paint
* Spider Man
* 蜘蛛侠

http://www.androidpolice.com/2011/03...-more-details/

As you can see androidpolice.com reports on this backdoor and roots and steals personal information. The apps are removed from the market but that doesn't mean they got them all. Attached is a flashable fix as suggested by androidpolice.com

So users can flash this .zip or simply create a blank file called profile and place it in /system/bin/ (developers are encouraged to include this file in future releases. A blank file is not going to affect performance at all)

Alternate methods:

Using 'adb shell' or terminal emulator (should work on any phone) as suggest by xaueious here

Code:

$ su su # remount rw Remounting /system (/dev/stl9) in read/write mode # touch /system/bin/profile # chmod 644 /system/bin/profile #

Alternate 2:
Download blank profile file from here (or create one and name it profile)
Use a program like Root Explorer to copy it to /system/bin/
Then longpress on it and check the permissions should be read/write for user, read for group, and read for others.

Thanks for pointing this out photoframd and androidpolice.com for investigating and reporting!

UPDATE: I renamed the .zip file and reuploaded it (350 hits wow). Also in the edify scripted version I added 644 permissions to the file (but if you already flashed it then it should have defaulted to that). I also added a pre-edify version of the patch thanks to xaueious for people using a recovery that does not yet understand edify.

Wie soll ich vorgehen: flash die zip

und wenn ich glaube infiziert zu sein:

doppel wipe, SD karten formatieren, go back to stock and re-apply rom, dann installiert ihr die .zip http://forum.xda-developers.com/atta...2&d=1299110463 bevor ihr irgend eine app installiert.

EDIT: Symantec, Samsung, und Lookout wurden von google informiert
03.03.2011, 07:10
GalaxyKnight

AW: Die ersten Malware App`s gesichtet

Hm.

Ich bin auch auf so ein App (Falling down) reingefallen.
Hab mal gewiped, SD gelöscht.
03.03.2011, 07:13
Sloogy

AW: Die ersten Malware App`s gesichtet

wenn jemand das mal übersetzen kann dann wäre das mal ne nette sache.

EDIT besser??

bin auch gerade dabei spiderman :(
03.03.2011, 07:14
MadMike1961

AW: Die ersten Malware App`s gesichtet

So nutzt die Liste leider wenig. Es müsste noch angegeben werden, aus welchem Haus die Apps stammen. Zu "Chess" gibt es beispielsweise über 10 verschiedene Apps im Market (die mit einem Zusatz im Namen nicht mitgerechnet; ich habe "Chess for Android" drauf, das aber nur als "Chess" angezeigt wird), und der "Photo Editor" kommt von Samsung (in deren Apps) und sollte eigentlich virenfrei sein (stellt auch nur die Anforderung "SD-Karteninhalte bearbeiten oder löschen"). Wäre schön, da weiterreichende Informationen zu bekommen!
03.03.2011, 07:18
GalaxyKnight

AW: Die ersten Malware App`s gesichtet

Hier die Liste mit den richtigen Namen/Entwicklern direkt von Lookout:
http://blog.mylookout.com/2011/03/se...et-droiddream/

Full list of infected applications published by “Myournet”:

* Falling Down
* Super Guitar Solo
* Super History Eraser
* Photo Editor
* Super Ringtone Maker
* Super Sex Positions
* Hot Sexy Videos
* Chess
* 下坠滚球_Falldown
* Hilton Sex Sound
* Screaming Sexy Japanese Girls
* Falling Ball Dodge
* Scientific Calculator
* Dice Roller
* 躲避弹球
* Advanced Currency Converter
* App Uninstaller
* 几何战机_PewPew
* Funny Paint
* Spider Man
* 蜘蛛侠

Full list of infected applications published by “Kingmall2010″:

* Bowling Time
* Advanced Barcode Scanner
* Supre Bluetooth Transfer
* Task Killer Pro
* Music Box
* Sexy Girls: Japanese
* Sexy Legs
* Advanced File Manager
* Magic Strobe Light
* 致命绝色美腿
* 墨水坦克Panzer Panic
* 裸奔先生Mr. Runner
* 软件强力卸载
* Advanced App to SD
* Super Stopwatch & Timer
* Advanced Compass Leveler
* Best password safe
* 掷骰子
* 多彩绘画

Full list of infected apps under the developer name “we20090202″:

* Finger Race
* Piano
* Bubble Shoot
* Advanced Sound Manager
* Magic Hypnotic Spiral
* Funny Face
* Color Blindness Test
* Tie a Tie
* Quick Notes
* Basketball Shot Now
* Quick Delete Contacts
* Omok Five in a Row
* Super Sexy Ringtones
* 大家来找茬
* 桌上曲棍球
* 投篮高手
03.03.2011, 07:24
Marco1981

AW: Die ersten Malware App`s gesichtet

Ist das wirklich Malware?

Laut Tests schicken doch schon einige Android Apps Informationen wie IMEI, Telefonnummer, Standort und was weiß ich noch an die Entwickler!?

War hier vor längerem sogar in den News.

Gruß Marco
03.03.2011, 07:38
GalaxyKnight

AW: Die ersten Malware App`s gesichtet

Deutsche Übersetzung:
[Patch][Rom]Malware Exploit for all pre-Gingerbread phones

Wer ist betroffen? Alle Geräte welche noch kein Gingerbread installiert haben.
Wer sollte reagieren? Alle User und Entwickler die noch kein Gingerbread installiert haben.
Wie kann ich das reparieren? Flash die beigelegte +.zip am Ende des Beitrages oder nütze eine Alternative Methode weiter unten.
Was soll ich tun wenn ich denke dass ich infiziert bin? Wipe das Phone, formatiere die SD Karte, geh zurück zum Auslieferungs- Rom und installier das Rom neu, dann flashe die beigefügte *.zip Datei. (Bevor irgendeine App installiert wird.)
Auf was soll ich achten? Lies unten weiter.

http://www.androidpolice.com/2011/03...open-backdoor/

http://www.androidpolice.com/2011/03...-more-details/

Wie auf androidpolice.com über diesen Backdoor berichtet wird, stiehlt dieser persönliche Informationen.
Die Apps sind aus dem Market genommen worden, aber das bedeutet nicht, dass sie alle erwischt haben.
Beigefügt ist ein Fix von androidpolice.com der direkt geflasht werden kann.

Ihr könnt entweder das .zip flashen, oder ein leeres file names „profile“ generieren und dieses in /system/bin zu kopieren. (Entwickler arbeiten daran diesen Fix in Zukunft direkt zu inkludieren. Ein leeres File beeinträchtigt die Performance nicht)

Alternative Methode:

Nutze die ADB Shell oder einen Terminal Emulator (Sollte auf allen Phones arbeiten) wie von xaueious hier beschrieben:
here
Code:
$ su
su
# remount rw
Remounting /system (/dev/stl9) in read/write mode
# touch /system/bin/profile
# chmod 644 /system/bin/profile
#

Alternative Methode 2:

Download ein leeres Profile direkt here (oder generiere eines und nenne es profile.)
Nütze ein Program wie Root Explorer um das File nach /system/bin/ zu kopieren
Dann länger draufdrücken auf das File und die Benutzerrechte checken. Es sollte read/write für alle User read für Gruppen und read für alle anderen aktiviert sein.
03.03.2011, 07:38
Sloogy

AW: Die ersten Malware App`s gesichtet

Zitat:

Zitat von Marco1981

Ist das wirklich Malware?

Laut Tests schicken doch schon einige Android Apps Informationen wie IMEI, Telefonnummer, Standort und was weiß ich noch an die Entwickler!?

War hier vor längerem sogar in den News.

Gruß Marco

wenn du das verstanden hast siehst du das ein wenig anders

"all child’s play; the true pièce de résistance is that it has the ability to download more code. In other words, there’s no way to know what the app does after it’s installed, and the possibilities are nearly endless."

es berechtigt das program ständig neue codes zu downloaden und sich somit in dein gerät ein zu nisten und da es root rechte hat kann es alles machen das ist ein unterschied von riesigen ausmass.
03.03.2011, 07:43
MadMike1961

AW: Die ersten Malware App`s gesichtet

Ich hab die Listen mal zusammengefasst und alphabetisch sortiert, damit man seine Apps besser durchsuchen kann (z.B. mit AppKik):

Advanced App to SD
Advanced Barcode Scanner
Advanced Compass Leveler
Advanced Currency Converter
Advanced File Manager
Advanced Sound Manager
App Uninstaller
Basketball Shot Now
Best password safe
Bowling Time
Bubble Shoot
Chess
Color Blindness Test
Dice Roller
Falldown
Falling Ball Dodge
Falling Down
Finger Race
Funny Face
Funny Paint
Hilton Sex Sound
Hot Sexy Videos
Magic Hypnotic Spiral
Magic Strobe Light
Mr. Runner
Music Box
Omok Five in a Row
Panzer Panic
PewPew
Photo Editor
Piano
Quick Delete Contacts
Quick Notes
Scientific Calculator
Screaming Sexy Japanese Girls
Sexy Girls: Japanese
Sexy Legs
Spider Man
Super Guitar Solo
Super History Eraser
Super Ringtone Maker
Super Sex Positions
Super Sexy Ringtones
Super Stopwatch & Timer
Supre Bluetooth Transfer
Task Killer Pro
Tie a Tie

Bei mir habe ich von denen "nur" Chess (for Android) und Photo Editor installiert und weiß nicht, ob tatsächlich die Apps von Aart Bik (ist noch im Market verfügbar) bzw. Samsung (wird in den Samsung Apps nicht mehr angezeigt, weil ich's ja installiert habe) gemeint sind. Bei beiden lautet die Berechtigung lediglich "SD-Karteninhalte bearbeiten oder löschen". Der "Video Editor" von Samsung fordert dagegen umfassende Rechte und steht nicht in der Liste.
03.03.2011, 07:48
Sloogy

AW: Die ersten Malware App`s gesichtet

danke ist schon mal übersichtlicher die programmierer müssten wir auch noch rein nehmen.

dieser script wenn ich das soweit richtig verstanden habe ist versteckt und nimmt sich root rechte selbst bei einem ungerooteten gerät.
also denke ich kaum das es aufgefürt wird in der berechtigungsliste. ist fast wie bei windoof dort fragt dich der trojaner ja auch nicht ob du in installieren willst er macht es einfach.
03.03.2011, 07:58
MadMike1961

AW: Die ersten Malware App`s gesichtet

Ich hab den "Photo Editor" jetzt mal vom SGS gelöscht - und prompt wird er wieder von den Samsung Apps angeboten. Sind nicht alle kritischen Apps aus dem Markt entfernt worden? Auch "Chess for Android" ist noch verfügbar. Deutet eigentlich darauf hin, dass diese beiden Apps nicht gemeint waren (wie gesagt, eine Herstellerangabe wäre praktisch).
Übrigens: Die Samsung Apps wurden überarbeitet, habe eben ein Update erhalten!
03.03.2011, 08:04
Sloogy

AW: Die ersten Malware App`s gesichtet

Zitat:

Zitat von MadMike1961

Ich hab den "Photo Editor" jetzt mal vom SGS gelöscht - und prompt wird er wieder von den Samsung Apps angeboten. Sind nicht alle kritischen Apps aus dem Markt entfernt worden? Auch "Chess for Android" ist noch verfügbar. Deutet eigentlich darauf hin, dass diese beiden Apps nicht gemeint waren (wie gesagt, eine Herstellerangabe wäre praktisch).
Übrigens: Die Samsung Apps wurden überarbeitet, habe eben ein Update erhalten!

das chess ist von diesem entwickler unter dem namen veröffentlicht
samsung weiss seit gestern abend bescheid das die programmierer dann überstunden zu machen haben ist mal klar oder. :)

Full list of infected applications published by “Myournet”:

* Falling Down
* Super Guitar Solo
* Super History Eraser
* Photo Editor
* Super Ringtone Maker
* Super Sex Positions
* Hot Sexy Videos
* Chess
* 下坠滚球_Falldown
* Hilton Sex Sound
* Screaming Sexy Japanese Girls
* Falling Ball Dodge
* Scientific Calculator
* Dice Roller
* 躲避弹球
* Advanced Currency Converter
* App Uninstaller
* 几何战机_PewPew
* Funny Paint
* Spider Man
* 蜘蛛侠
03.03.2011, 08:06
vygi

AW: Die ersten Malware App`s gesichtet

Hallo zusammen,

dieses Thema ist nicht hardwarespezifisch und gehört deshalb in den Forum "Android Apps" -> http://www.pocketpc.ch/android-apps/
So meinte ich, bis ich dort reingeschaut habe. Dort wurde ein weiterer Thread darüber geschlossen und ins "Android allgemein" verschoben. Was immer noch richtiger ist als hier bei Galaxy S darüber zu sprechen.

Bitte Diskussionen hier fortsetzen, damit sie nicht an N verschiedenen Stellen parallel läuft:
--> http://www.pocketpc.ch/android-allge...kostenlos.html

Danke.
03.03.2011, 08:13
MadMike1961

AW: Die ersten Malware App`s gesichtet

Zitat:

Zitat von Sloogy

das chess ist von diesem entwickler unter dem namen veröffentlicht

Full list of infected applications published by “Myournet”:

* Falling Down...

Ah, jetzt kapiere ich das erst! Ist wohl noch zu früh am Morgen. Ich dachte, User mit diesen Namen hätten die entsprechenden Listen veröffentlicht, dabei handelt es sich um den Hersteller! Okay, dann ist alles klar. Ich werde die zusammengeführte Liste mit diesen Infos erweitern und in das von vygi verlinkte Forum stellen.
03.03.2011, 08:18
vygi

AW: Die ersten Malware App`s gesichtet

Danke; ich schließe das Thema in diesem Forum.

Hier geht es weiter: --> http://www.pocketpc.ch/android-allge...kostenlos.html