DroidDream-Trojaner über MarketApps - 50 Apps identifiziert, Lookout kostenlos

Nur als kleiner Hinweis, Google hat 21 Apps mit Schadroutinen aus dem Market entfernt, die vollständige News dazu gibts erstmal bei Golem (http://www.golem.de/1103/81835.html) (hoffe eine Verlinkung zu Golem ist i.O., wenn nicht bitte editieren), eine vollständige Liste und einen ausführlicheren Bericht findet man unter http://www.androidpolice.com/2011/03...open-backdoor/

Weiteres, nicht grad berauschendes Update, laut http://www.areamobile.de/news/18190-...nfizierte-apps dreht es sich um über 50 Apps, einen erweiterte Auflistung des ganzen findet Ihr unter: http://blog.mylookout.com/2011/03/se...et-droiddream/

Interessanter Artikel über mittlerweile 50 von Google entfernte Apps im Market, welche vom Original geklont, mit bösartigem Code verändert und dann mit leicht verändertem Namen wieder in den Market eingestellt wurden. Drum prüfe, ob man sich wirklich das Original ladet...hier die Liste der Apps von drei bisher identifizierten "Entwicklern", die wohl zum Glück bei uns wenig Verbreitung gefunden haben:

Quelle Lookout Mobile Security (kostenlos)

Full list of infected applications published by “Myournet”:

Falling Down
Super Guitar Solo
Super History Eraser
Photo Editor
Super Ringtone Maker
Super Sex Positions
Hot Sexy Videos
Chess
下坠滚球_Falldown
Hilton Sex Sound
Screaming Sexy Japanese Girls
Falling Ball Dodge
Scientific Calculator
Dice Roller
躲避弹球
Advanced Currency Converter
App Uninstaller
几何战机_PewPew
Funny Paint
Spider Man
蜘蛛侠

Full list of infected applications published by “Kingmall2010″:

Bowling Time
Advanced Barcode Scanner
Supre Bluetooth Transfer
Task Killer Pro
Music Box
Sexy Girls: Japanese
Sexy Legs
Advanced File Manager
Magic Strobe Light
致命绝色美腿
墨水坦克Panzer Panic
裸奔先生Mr. Runner
软件强力卸载
Advanced App to SD
Super Stopwatch & Timer
Advanced Compass Leveler
Best password safe
掷骰子
多彩绘画

Full list of infected apps under the developer name “we20090202″:

Finger Race
Piano
Bubble Shoot
Advanced Sound Manager
Magic Hypnotic Spiral
Funny Face
Color Blindness Test
Tie a Tie
Quick Notes
Basketball Shot Now
Quick Delete Contacts
Omok Five in a Row
Super Sexy Ringtones
大家来找茬
桌上曲棍球
投篮高手

Google muss restriktiver in der Apps-Zulassung werden, denn welcher User erwartet schon Böses aus dem Market, welcher den Namen Google trägt.

omg.. zum Glück habe ich davon nix geladen! :-D
Aber wer weiß ob bei meinen Apps kein faules Ei dabei war!?

--> http://www.heise.de/newsticker/meldu...e-1200662.html

Zitat:

---

Bei dem Exploit handelt es sich Analysen der "Android Police" zufolge um den seit längerem bekannten RageAgainstTheCage-Exploit, der einen Fehler im Android-Debugging-Bridge-Dienst (adbd) ausnutzt, um diesen mit Root-Rechten auf einem Android-Smartphone zu starten und darüber selbst an Root-Rechte zu gelangen. Mit diesen Rechten können die Apps auch beliebigen Code nachladen und installieren – ohne Nachfrage beim Anwender. Verwundbar sind Gerät mit Android 1.x, 2.1 und vermutlich 2.2.

---

Hallo,

anscheinend waren kurzfristig 21 schädliche Apps im Market verfügbar die auch tausendfach runtergeladen wurden.

Details siehe hier: http://www.androidpolice.com/2011/03...open-backdoor/

Ähmm.
Und was machen diejenigen die sich so was im Market geladen haben?
Bin echt sprachlos....

Das ist eine Gute Frage^^ Am PC würde mann jetzt einen externen Virenscanner laden, ich glaub aber kaum das das bei Android möglich ist^^ Da alles verseucht sein kann hilft eig. nur das komplette Überschreiben des internen Speichers durch einen Full-Wipe. Zudem stellt sich die Frage was man noch Sichern kann.....

http://www.pocketpc.ch/android-apps/...droutinen.html
Hatte ich heut mittag schon was zu geschrieben, sind aber mittlerweile über 50 Apps, welche aus dem Market gelöscht wurden ;)

ups, nicht gesehen, in dem fall diesen thread bitte schliessen :D

Bringt es eigentlich etwas, *nachträglich* Antivirensoftware zu installieren? Oder ist dies bei Schadsoftwarebefall unnütz?

Hat jemand ne Idee was man da machen sollte?
Bitte um Vorschläge.!

Hmm

Die frage ist Was Passiert genau wenn man so ein app "hatte" und was kann man nachträglich dagegen tun ?

Ich hab ein Bubble Shoot app drauf gehabt..

es kommt aber die meldung "diese anwendung ist nicht auf ihrem telefon installiert" oder so..

das heisst Google hatt "mich" bereits befreit ?
oder wie muss ich das versten ?

Danke :)


Edite:

es ist nicht bubble Shooter.. sondern Bubble Buster (noch einmal glück gehabt)
die meldung kahm weil die SD karte noch nicht komplett verfügbar war :D

Abe mich nimmt es trozdem wunder...

Ich bin kein Experte darin, aber das Problem wird wohl sein, dass ein Trojaner mit Root-Rechten auch die Systempartition öffen (mit Rewrite-Rechten mounten) und sich dort verstecken könnte - resistent auf Werks-Wiederherstellung, welche ja selber auf der System-Partition residiert. Also ist wohl nur ein kompletter Firmware-Update zu empfehlen, und Neuinstallation ohne Wiederherstellung eines Backups.

Übrigens sind jetzt bereits 50 Apps identifiziert, und Google analysiert noch. Wenigstens ein Patch für die Sicherheitslücke wäre schon angezeigt!

Bei Antiviren-Hersteller Lookout müssen die Korken knallen, sein kostenloses Programm aus dem Market schützt jetzt gegen den als "DroidDream" erkannten Trojaner.

Edit: Eingangspost mit Komplettliste ergänzt

Zitat:

---

Zitat von Lucas0511

Ich bin kein Experte darin, aber das Problem wird wohl sein, dass ein Trojaner mit Root-Rechten auch die Systempartition öffen (mit Rewrite-Rechten mounten) und sich dort verstecken könnte - resistent auf Werks-Wiederherstellung, welche ja selber auf der System-Partition residiert.

---

Ich kann jetzt zwar nur für das Desire sprechen (und bin in der Hinsicht auch kein Experte :) ), aber Zugriff auf die SystemPartition im laufenden Betrieb wäre glaube ich nur möglich, wenn man zusätzlich die Security ausgeschaltet hat (S-OFF). Weiß nur gerade nicht welche Geräte ab Werk die Sicherheit ausgeschaltet haben. Aber wenn man ohnehin wiped kann man denke ich auch die Firmware neu aufspielen...

...via Tapatalk

schützt das prg nur oder entfernt er das auch.
hatte mindesten 2 der prog installiert. ansonnsten fürt nichts an einem total reset vorbei. :(

hier hätten wir noch eine patch von XDA http://forum.xda-developers.com/showthread.php?t=977154

Ich hab die Listen mal zusammengefasst und alphabetisch sortiert, damit man seine Apps besser durchsuchen kann (z.B. mit AppKik):

Advanced App to SD (Kingmall2010)
Advanced Barcode Scanner (Kingmall2010)
Advanced Compass Leveler (Kingmall2010)
Advanced Currency Converter (Myournet)
Advanced File Manager (Kingmall2010)
Advanced Sound Manager (we20090202)
App Uninstaller (Myournet)
Basketball Shot Now (we20090202)
Best password safe (Kingmall2010)
Bowling Time (Kingmall2010)
Bubble Shoot (we20090202)
Chess (Myournet)
Color Blindness Test (we20090202)
Dice Roller (Myournet)
Falldown (Myournet)
Falling Ball Dodge (Myournet)
Falling Down (Myournet)
Finger Race (we20090202)
Funny Face (we20090202)
Funny Paint (Myournet)
Hilton Sex Sound (Myournet)
Hot Sexy Videos (Myournet)
Magic Hypnotic Spiral (we20090202)
Magic Strobe Light (Kingmall2010)
Mr. Runner (Kingmall2010)
Music Box (Kingmall2010)
Omok Five in a Row (we20090202)
Panzer Panic (Kingmall2010)
PewPew (Myournet)
Photo Editor (Myournet)
Piano (we20090202)
Quick Delete Contacts (we20090202)
Quick Notes (we20090202)
Scientific Calculator (Myournet)
Screaming Sexy Japanese Girls (Myournet)
Sexy Girls: Japanese (Kingmall2010)
Sexy Legs (Kingmall2010)
Spider Man (Myournet)
Super Guitar Solo (Myournet)
Super History Eraser (Myournet)
Super Ringtone Maker (Myournet)
Super Sex Positions (Myournet)
Super Sexy Ringtones (we20090202)
Super Stopwatch & Timer (Kingmall2010)
Supre Bluetooth Transfer (Kingmall2010)
Task Killer Pro (Kingmall2010)
Tie a Tie (we20090202)

Das hört sich übler an wie gedacht

Was die Besitzer infizierter Smartphones tun können ist weiterhin unklar, da selbst ein kompletter Factoryreset unter Umständen nicht ausreicht um die Malware komplett aus dem System zu entfernen. Auch Anti-Malware-Tools für Android können nur vor der Installation der infizierten Apps schützen, wenn diese bereits bekannt sind, oder wenn die Heuristik ein verdächtiges Verhalten erkennt. Ein bereits infiziertes System können sie nicht säubern, da die Malware höhere Rechte im System besitzt als die Schutzsoftware. Quelle: http://www.searchsecurity.de/themenb...86/index2.html

Ja und nun? Ich habe SPider Man drauf gehabt aber hier oben schreibt man Spider Man auseinander meins war SpiderMan zusammen, aber habs trotzdem gelöscht wie kann ich nun prüfen ob ein handy infiziert ist oder nicht?
HELP!

von welchem programmierer war das app denn wenn es von dem Myournet war kann es sein das es infiziert wurde. ich für meinen fall werde factory reset machen und sd formatieren ebenso einen neuflash machen somit ist das system dann sauber die frage ist wurde ich infiziert da ich bei meinem app (spiderMan) von dem besagten programierer drauf hatte sehe ich für mich keine andere lösung.

ich habe mich nochmal versichert ob das app noch im market ist das ich de installiert habe. da es nicht mehr da ist gehe ich davon aus.

für mich stellt sich die frage wann wurde es infiziert und was hat das programm infiziert kann ich meine kontakte wieder ohne gefahr herstellen?
da ich schon lange nicht mehr gesichert habe eine sehr wichtige frage denn rest lade ich mir neu vom market.

hoffe ich konnte dir helfen

Sollte Lookout nicht anzeigen, dass ein Virus vorhanden ist, wenn man das Smartphone scannen lässt?

hm kann es zum teil gar nicht weil sie nicht wissen was es evtl alles geändert hat.

siehe link post 17 beide seiten lesen dann versteht man das alles ein wenig besser.

wobei ich das so sehe das man nie 100% sicher ist.

Ja das ist dir Frage gibt es ein Tool oder per Had das man nachsehen kann ob man den Trojaner drauf hat oder nicht?

Hm. Meine Kontakte, email usw ist alles bei Google gesynct. Da muss ich nichts machen.
Nur halt flashen in dem Fall. Wenn es mit wipe nicht weggeht?
Schade.
Irgendwie will ich nicht per ODIN flashen, aber es bleibt einem ja nichts anders übrig wenn nun schon Malware die Handys verseucht.
Frag mich nur was all die anderen tun, die keine Ahnung davon haben?

Zitat:

---

Zitat von Sloogy

hm kann es zum teil gar nicht weil sie nicht wissen was es evtl alles geändert hat. siehe link post 17 beide seiten lesen dann versteht man das alles ein wenig besser.

---

Eben drum:

Zitat:

---

Zitat von Lucas0511

Bei Antiviren-Hersteller Lookout müssen die Korken knallen, sein kostenloses Programm aus dem Market schützt jetzt gegen den als "DroidDream" erkannten Trojaner.

---

Wenn der Trojaner erkannt werden kann, müsste Lookout ihn auch anzeigen können. Ich nutze Lookout übrigens schon seit 5 Monaten, hatte aber Glück: Zwar habe ich einige Apps auf meinen SGS, die von den Malware-Herstellern nachgemacht wurden - aber eben die Originale und nicht die verseuchten Kopien. Von daher wundert's mich nicht, dass Lookout keinen Virus meldet.

Ich hoffe sehr, es kommt bald eine Google-App heraus, die den Trojaner nachweist (auch das wäre ja schon wichtig) und bestenfalls auch entfernt.

Ich glaub da können wir lange warten bis da was kommt?
Naja. Mal sehen.
Bei so viele Smartphones und so vielen Downloads. Vielleicht beeilen die sich...

Üble Geschichte, muss man schon sagen.
Hab grade auf der Homepage von Lookout einen intersanten Aspekt gelesen:

Zitat:

---

When DroidDream attempts to infect a device, it uses two known exploits, exploid and rageagainstthecage, to break out of the Android security container. Both of the vulnerabilities being exploited were patched by Android 2.3 (Gingerbread). If exploid fails to root the device, the malware will attempt to use rageagainstthecage. Once the phone is rooted, DroidDream is configured to searched for a specific package named com.android.providers.downloadsmanager. If the malware does not find this package on the device, it will silently install a second malicious application without the user’s knowledge. If DroidDream does find the downloadsmanager package, it will not continue infecting the device with the second malicious application.

---

Leider ist für mich jetzt nicht ersichtlich aus dem Text, ob der Prozess / die App / was auch immer "com.android.providers.downloadsmanager." über die normale Anwendungsliste von Android ersichtlich ist, oder ob der Eintrag versteckt ist. Denn so könnte man eine Infektion schnell und einfach fesstellen. Bei mir jedenfalls gibt es diesen Eintrag nicht.

Ich hab hier irgendwann mal ein 'Chess' installiert. Wie finde ich den Anbieter heraus? In der Apps-Übersicht zeigt er mir nichts an, scheinbar hat die App aber auch keinerlei Berechtigung zu irgendwas (die orangen Anzeigen über SD Zugriff, netzwerk etc. fehlen komplett.)

Zitat:

---

Zitat von GalaxyKnight

Hm. Meine Kontakte, email usw ist alles bei Google gesynct. Da muss ich nichts machen.
Nur halt flashen in dem Fall. Wenn es mit wipe nicht weggeht?
Schade.
Irgendwie will ich nicht per ODIN flashen, aber es bleibt einem ja nichts anders übrig wenn nun schon Malware die Handys verseucht.
Frag mich nur was all die anderen tun, die keine Ahnung davon haben?

---

gefällt mir auch nicht das ist werbung fürs 2.3 denn da ist die lücke nicht vorhanden.
ODIN wie war das noch?? habe alles zum schluss immer über CWM gemacht.

ich kann mir vorstellen das die anwendung com.android.providers.downloadsmanager von einem gebrandetem gerät stammt
und wenn die nicht vorhanden ist versucht es eine andere anwendung im hintergrund zu installieren. jetzt die masterfrage was ist die weitere anwendung wenn man das wüsste könnte man schauen ob der dienst vorhanden ist und oala man hätte das problem der frage der infizierung gelöst leider haben wir die infos nicht.

Zitat:

---

Zitat von spaceman_t

Ich hab hier irgendwann mal ein 'Chess' installiert. Wie finde ich den Anbieter heraus? In der Apps-Übersicht zeigt er mir nichts an, scheinbar hat die App aber auch keinerlei Berechtigung zu irgendwas (die orangen Anzeigen über SD Zugriff, netzwerk etc. fehlen komplett.)

---

Schau dir das App im Market an (z.B. via AppKik), da steht der Hersteller dabei. Wenn das App nicht gefunden wird, wurde es entfernt, und das wäre kein gutes Zeichen. Gerade bei "Chess" gibt es über 10 verschiedene Apps, aber nur das von Myournet ist der Bösewicht.

Da fällt mir noch was zu Lookout ein. Das durchsucht ja nur die installierten Apps. Findet der auch was wenn die App nicht mehr installiert ist? Denn so wie ich das verstanden hab bleibt das Root Kit ja trotz Deinstallation der App noch am Gerät, oder?

getapat mit meinem Desire

so hab ich das auch verstanden deswegen habe ich mein SGS komplett platt gemacht.
denn das Lookout kann bis jetzt nur die installationsdatei löschen. wenn ich mich nicht verlesen habe

Die Frage ist ja auch wie platt man das Gerät machen muss... Reicht da das neu flashen?

getapat mit meinem Desire

also bei xda meinten sie das man doppel wipe dann sd formatieren dann neuflash und danach denn patch verwenden soll wenn man infiziert wurde. nochmal zum nachlesen post 15

ich habs so gemacht alles ist jetzt leer so richtig ungewohnt da ich die externe auch platt gemacht habe. :)

Heisst das ich muss die Daten auf der externen löschen?
Alle Bilder usw.
Kann ich das noch sichern? Wäre ja echt hart..

das weiss ich auch nicht hab alle bilde gesichert und dann platt gemacht das wäre mir auch zu heftig gewesen zumindest bei den bildern die apps raus geschrieben und neu installiert somit habe ich ein frisches rom die kontakte über gmail konto gesynct

ob die externe auch betroffen ist weiss ich nicht aber bin auf nummer sicher gegangen.

Ich warte mit der plattmacherei jetzt noch.
Erstens kann ich nicht mal sicher sagen ob ich eine der Apps drauf hatte (eher nicht) und zweitens muss es doch irgendwie erkenntlich sein, ob man das Rootkit drauf hat oder nicht. Bis es dazu eine Info gibt warte ich mit der ganzen Aktion noch.
Ausserdem, wer weis wieviele leute shcon seit wochen / evtl. Monaten diese Apps drauf haben. Anscheinend ist dadurch ja kein finanzieller Schaden entstanden, denn sonst wäre das schon vorher aufgefallen...

naja ich bin halt bei mir 100% sicher das es drauf war. habs heute erst gelöscht hm
und wegen monatelanger sammlerei ist ja noch nichts passiert, aber firmen zahlen für solche daten und genauso kriminelle. daher für mich die vorsicht.
eigentlich muss jeder selbst entscheiden was er macht. ob er nur mit dem antivir oder mit plattmachen usw usw jedem in seinem ermessen.

wenn ich mir nicht sicher wäre, dann würde ich es auch nicht so machen.

Tja. Ich bin mir absolut sicher.
Und darum werd ich heute Abend mal flashen und auch alle Mail und FB Daten neu vergeben, sprich PW ändern.
Dann kann ich wenigstens gleich auf 2.2.1 flashen und brauch kein Lagfix mehr!??

OK aber es ist immer noch offen wie man das die Malware erkennen kann, Lookout meldet nix bei mir ich hatte Spiderman drauf aber habs geläscht und finde es im Market nicht mehr. Wobei es vorher anders hieß.
Aber es muss doch möglich sein ne App zu schreiben wo prüft ob der Virus drauf ist weil WIpen mach ich erst wenn ich sicher bin das da was drauf ist...ich vermute nein....
Aber ich will sicher gehen!

Seh ich auch so. Hab schon so viele spiele installiert und dann wieder gelöscht, ich kann unmöglich sagen ob ich eins davon drauf hatte oder nicht. Also muss jetzt mal ne Lösung her, wie man das mit Sicherheit nachsehen kann. Ich hoffe da kommt die nächsten Tage mal ne Lösung an den Start.