Die ersten Malware App`s gesichtet Die ersten Malware App`s gesichtet
Danke Danke:  3
Ergebnis 1 bis 15 von 15

Die ersten Malware App`s gesichtet

  1. Avatar von Sloogy
    Sloogy
    Sloogy ist offline Bin hier zuhause 34 Danke erhalten.
    03.03.2011, 06:44
    #1
    Laut einem Bericht im XDA forum sind die ersten App mit Malware Charakter aufgetaucht die euer Phone nach IMEI ID Sourcecode usw durchsuchen.

    ein Patch und eine Beschreibung ist dort zu finden.

    Wenn einer so nett sein könnte und das für alle mal übersetzten kann.

    Zitat Zitat von Rodderik Beitrag anzeigen
    [Patch][Rom]Malware Exploit for all pre-Gingerbread phones
    Who is affected? All phones pre-gingerbread
    Who should act? Users and developers using pre-gingerbread roms
    How do I fix? Flash attached .zip at the bottom of this post or use one of the alternate methods down there
    What if I think I was infected? Completely wipe your device, format sdard, go back to stock and re-apply rom, then flash the attached .zip (before installing any apps)
    Why should I care? read below...

    http://www.androidpolice.com/2011/03...open-backdoor/

    Link to publishers apps here. I just randomly stumbled into one of the apps, recognized it and noticed that the publisher wasn’t who it was supposed to be.

    Super Guitar Solo for example is originally Guitar Solo Lite. I downloaded two of the apps and extracted the APK’s, they both contain what seems to be the "rageagainstthecage" root exploit – binary contains string "CVE-2010-EASY Android local root exploit (C) 2010 by 743C". Don’t know what the apps actually do, but can’t be good.

    I appreciate being able to publish an update to an app and the update going live instantly, but this is a bit scary. Some sort of moderation, or at least quicker reaction to malware complaints would be nice.

    EDIT: After some dexing and jaxing, the apps seem to be at least posting the IMEI and IMSI codes to http://184.105.245.17:8080/GMServer/GMServlet, which seems to be located in Fremont, CA.

    I asked our resident hacker to take a look at the code himself, and he’s verified it does indeed root the user’s device via rageagainstthecage or exploid. But that’s just the tip of the iceberg: it does more than just yank IMEI and IMSI. There’s another APK hidden inside the code, and it steals nearly everything it can: product ID, model, partner (provider?), language, country, and userID. But that’s all child’s play; the true pièce de résistance is that it has the ability to download more code. In other words, there’s no way to know what the app does after it’s installed, and the possibilities are nearly endless.


    The offending apps from publisher Myournet:

    * Falling Down
    * Super Guitar Solo
    * Super History Eraser
    * Photo Editor
    * Super Ringtone Maker
    * Super Sex Positions
    * Hot Sexy Videos
    * Chess
    * 下坠滚球_Falldown
    * Hilton Sex Sound
    * Screaming Sexy Japanese Girls
    * Falling Ball Dodge
    * Scientific Calculator
    * Dice Roller
    * 躲避弹球
    * Advanced Currency Converter
    * App Uninstaller
    * 几何战机_PewPew
    * Funny Paint
    * Spider Man
    * 蜘蛛侠

    http://www.androidpolice.com/2011/03...-more-details/




    As you can see androidpolice.com reports on this backdoor and roots and steals personal information. The apps are removed from the market but that doesn't mean they got them all. Attached is a flashable fix as suggested by androidpolice.com

    So users can flash this .zip or simply create a blank file called profile and place it in /system/bin/ (developers are encouraged to include this file in future releases. A blank file is not going to affect performance at all)

    Alternate methods:

    Using 'adb shell' or terminal emulator (should work on any phone) as suggest by xaueious here
    Code:
    $ su
su
# remount rw
Remounting /system (/dev/stl9) in read/write mode
# touch /system/bin/profile
# chmod 644 /system/bin/profile
#
    Alternate 2:
    Download blank profile file from here (or create one and name it profile)
    Use a program like Root Explorer to copy it to /system/bin/
    Then longpress on it and check the permissions should be read/write for user, read for group, and read for others.

    Thanks for pointing this out photoframd and androidpolice.com for investigating and reporting!

    UPDATE: I renamed the .zip file and reuploaded it (350 hits wow). Also in the edify scripted version I added 644 permissions to the file (but if you already flashed it then it should have defaulted to that). I also added a pre-edify version of the patch thanks to xaueious for people using a recovery that does not yet understand edify.
    Wie soll ich vorgehen: flash die zip


    und wenn ich glaube infiziert zu sein:

    doppel wipe, SD karten formatieren, go back to stock and re-apply rom, dann installiert ihr die .zip http://forum.xda-developers.com/atta...2&d=1299110463 bevor ihr irgend eine app installiert.

    EDIT: Symantec, Samsung, und Lookout wurden von google informiert
    0
     
  2. Avatar von GalaxyKnight
    GalaxyKnight
    GalaxyKnight ist offline Fühle mich heimisch
    03.03.2011, 07:10
    #2
    Hm.

    Ich bin auch auf so ein App (Falling down) reingefallen.
    Hab mal gewiped, SD gelöscht.
    0
     
  3. Avatar von Sloogy
    Sloogy
    Sloogy ist offline Bin hier zuhause 34 Danke erhalten.
    03.03.2011, 07:13
    #3
    wenn jemand das mal übersetzen kann dann wäre das mal ne nette sache.


    EDIT besser??

    bin auch gerade dabei spiderman
    1
     
  4. Avatar von MadMike1961
    MadMike1961
    MadMike1961 ist offline Bin hier zuhause 246 Danke erhalten.
    03.03.2011, 07:14
    #4
    So nutzt die Liste leider wenig. Es müsste noch angegeben werden, aus welchem Haus die Apps stammen. Zu "Chess" gibt es beispielsweise über 10 verschiedene Apps im Market (die mit einem Zusatz im Namen nicht mitgerechnet; ich habe "Chess for Android" drauf, das aber nur als "Chess" angezeigt wird), und der "Photo Editor" kommt von Samsung (in deren Apps) und sollte eigentlich virenfrei sein (stellt auch nur die Anforderung "SD-Karteninhalte bearbeiten oder löschen"). Wäre schön, da weiterreichende Informationen zu bekommen!
    0
     
  5. Avatar von GalaxyKnight
    GalaxyKnight
    GalaxyKnight ist offline Fühle mich heimisch
    03.03.2011, 07:18
    #5
    Hier die Liste mit den richtigen Namen/Entwicklern direkt von Lookout:
    http://blog.mylookout.com/2011/03/se...et-droiddream/

    Full list of infected applications published by “Myournet”:

    * Falling Down
    * Super Guitar Solo
    * Super History Eraser
    * Photo Editor
    * Super Ringtone Maker
    * Super Sex Positions
    * Hot Sexy Videos
    * Chess
    * 下坠滚球_Falldown
    * Hilton Sex Sound
    * Screaming Sexy Japanese Girls
    * Falling Ball Dodge
    * Scientific Calculator
    * Dice Roller
    * 躲避弹球
    * Advanced Currency Converter
    * App Uninstaller
    * 几何战机_PewPew
    * Funny Paint
    * Spider Man
    * 蜘蛛侠

    Full list of infected applications published by “Kingmall2010″:

    * Bowling Time
    * Advanced Barcode Scanner
    * Supre Bluetooth Transfer
    * Task Killer Pro
    * Music Box
    * Sexy Girls: Japanese
    * Sexy Legs
    * Advanced File Manager
    * Magic Strobe Light
    * 致命绝色美腿
    * 墨水坦克Panzer Panic
    * 裸奔先生Mr. Runner
    * 软件强力卸载
    * Advanced App to SD
    * Super Stopwatch & Timer
    * Advanced Compass Leveler
    * Best password safe
    * 掷骰子
    * 多彩绘画

    Full list of infected apps under the developer name “we20090202″:

    * Finger Race
    * Piano
    * Bubble Shoot
    * Advanced Sound Manager
    * Magic Hypnotic Spiral
    * Funny Face
    * Color Blindness Test
    * Tie a Tie
    * Quick Notes
    * Basketball Shot Now
    * Quick Delete Contacts
    * Omok Five in a Row
    * Super Sexy Ringtones
    * 大家来找茬
    * 桌上曲棍球
    * 投篮高手
    1
     
  6. Avatar von Marco1981
    Marco1981
    Marco1981 ist offline Fühle mich heimisch 29 Danke erhalten.
    03.03.2011, 07:24
    #6
    Ist das wirklich Malware?

    Laut Tests schicken doch schon einige Android Apps Informationen wie IMEI, Telefonnummer, Standort und was weiß ich noch an die Entwickler!?

    War hier vor längerem sogar in den News.


    Gruß Marco
    0
     
  7. Avatar von GalaxyKnight
    GalaxyKnight
    GalaxyKnight ist offline Fühle mich heimisch
    03.03.2011, 07:38
    #7
    Deutsche Übersetzung:
    [Patch][Rom]Malware Exploit for all pre-Gingerbread phones

    Wer ist betroffen? Alle Geräte welche noch kein Gingerbread installiert haben.
    Wer sollte reagieren? Alle User und Entwickler die noch kein Gingerbread installiert haben.
    Wie kann ich das reparieren? Flash die beigelegte +.zip am Ende des Beitrages oder nütze eine Alternative Methode weiter unten.
    Was soll ich tun wenn ich denke dass ich infiziert bin? Wipe das Phone, formatiere die SD Karte, geh zurück zum Auslieferungs- Rom und installier das Rom neu, dann flashe die beigefügte *.zip Datei. (Bevor irgendeine App installiert wird.)
    Auf was soll ich achten? Lies unten weiter.

    http://www.androidpolice.com/2011/03...open-backdoor/


    http://www.androidpolice.com/2011/03...-more-details/




    Wie auf androidpolice.com über diesen Backdoor berichtet wird, stiehlt dieser persönliche Informationen.
    Die Apps sind aus dem Market genommen worden, aber das bedeutet nicht, dass sie alle erwischt haben.
    Beigefügt ist ein Fix von androidpolice.com der direkt geflasht werden kann.

    Ihr könnt entweder das .zip flashen, oder ein leeres file names „profile“ generieren und dieses in /system/bin zu kopieren. (Entwickler arbeiten daran diesen Fix in Zukunft direkt zu inkludieren. Ein leeres File beeinträchtigt die Performance nicht)

    Alternative Methode:

    Nutze die ADB Shell oder einen Terminal Emulator (Sollte auf allen Phones arbeiten) wie von xaueious hier beschrieben:
    here
    Code:
    $ su
    su
    # remount rw
    Remounting /system (/dev/stl9) in read/write mode
    # touch /system/bin/profile
    # chmod 644 /system/bin/profile
    #

    Alternative Methode 2:

    Download ein leeres Profile direkt here (oder generiere eines und nenne es profile.)
    Nütze ein Program wie Root Explorer um das File nach /system/bin/ zu kopieren
    Dann länger draufdrücken auf das File und die Benutzerrechte checken. Es sollte read/write für alle User read für Gruppen und read für alle anderen aktiviert sein.
    0
     
  8. Avatar von Sloogy
    Sloogy
    Sloogy ist offline Bin hier zuhause 34 Danke erhalten.
    03.03.2011, 07:38
    #8
    Zitat Zitat von Marco1981 Beitrag anzeigen
    Ist das wirklich Malware?

    Laut Tests schicken doch schon einige Android Apps Informationen wie IMEI, Telefonnummer, Standort und was weiß ich noch an die Entwickler!?

    War hier vor längerem sogar in den News.


    Gruß Marco
    wenn du das verstanden hast siehst du das ein wenig anders

    "all child’s play; the true pièce de résistance is that it has the ability to download more code. In other words, there’s no way to know what the app does after it’s installed, and the possibilities are nearly endless."

    es berechtigt das program ständig neue codes zu downloaden und sich somit in dein gerät ein zu nisten und da es root rechte hat kann es alles machen das ist ein unterschied von riesigen ausmass.
    0
     
  9. Avatar von MadMike1961
    MadMike1961
    MadMike1961 ist offline Bin hier zuhause 246 Danke erhalten.
    03.03.2011, 07:43
    #9
    Ich hab die Listen mal zusammengefasst und alphabetisch sortiert, damit man seine Apps besser durchsuchen kann (z.B. mit AppKik):

    Advanced App to SD
    Advanced Barcode Scanner
    Advanced Compass Leveler
    Advanced Currency Converter
    Advanced File Manager
    Advanced Sound Manager
    App Uninstaller
    Basketball Shot Now
    Best password safe
    Bowling Time
    Bubble Shoot
    Chess
    Color Blindness Test
    Dice Roller
    Falldown
    Falling Ball Dodge
    Falling Down
    Finger Race
    Funny Face
    Funny Paint
    Hilton Sex Sound
    Hot Sexy Videos
    Magic Hypnotic Spiral
    Magic Strobe Light
    Mr. Runner
    Music Box
    Omok Five in a Row
    Panzer Panic
    PewPew
    Photo Editor
    Piano
    Quick Delete Contacts
    Quick Notes
    Scientific Calculator
    Screaming Sexy Japanese Girls
    Sexy Girls: Japanese
    Sexy Legs
    Spider Man
    Super Guitar Solo
    Super History Eraser
    Super Ringtone Maker
    Super Sex Positions
    Super Sexy Ringtones
    Super Stopwatch & Timer
    Supre Bluetooth Transfer
    Task Killer Pro
    Tie a Tie

    Bei mir habe ich von denen "nur" Chess (for Android) und Photo Editor installiert und weiß nicht, ob tatsächlich die Apps von Aart Bik (ist noch im Market verfügbar) bzw. Samsung (wird in den Samsung Apps nicht mehr angezeigt, weil ich's ja installiert habe) gemeint sind. Bei beiden lautet die Berechtigung lediglich "SD-Karteninhalte bearbeiten oder löschen". Der "Video Editor" von Samsung fordert dagegen umfassende Rechte und steht nicht in der Liste.
    0
     
  10. Avatar von Sloogy
    Sloogy
    Sloogy ist offline Bin hier zuhause 34 Danke erhalten.
    03.03.2011, 07:48
    #10
    danke ist schon mal übersichtlicher die programmierer müssten wir auch noch rein nehmen.

    dieser script wenn ich das soweit richtig verstanden habe ist versteckt und nimmt sich root rechte selbst bei einem ungerooteten gerät.
    also denke ich kaum das es aufgefürt wird in der berechtigungsliste. ist fast wie bei windoof dort fragt dich der trojaner ja auch nicht ob du in installieren willst er macht es einfach.
    0
     
  11. Avatar von MadMike1961
    MadMike1961
    MadMike1961 ist offline Bin hier zuhause 246 Danke erhalten.
    03.03.2011, 07:58
    #11
    Ich hab den "Photo Editor" jetzt mal vom SGS gelöscht - und prompt wird er wieder von den Samsung Apps angeboten. Sind nicht alle kritischen Apps aus dem Markt entfernt worden? Auch "Chess for Android" ist noch verfügbar. Deutet eigentlich darauf hin, dass diese beiden Apps nicht gemeint waren (wie gesagt, eine Herstellerangabe wäre praktisch).
    Übrigens: Die Samsung Apps wurden überarbeitet, habe eben ein Update erhalten!
    0
     
  12. Avatar von Sloogy
    Sloogy
    Sloogy ist offline Bin hier zuhause 34 Danke erhalten.
    03.03.2011, 08:04
    #12
    Zitat Zitat von MadMike1961 Beitrag anzeigen
    Ich hab den "Photo Editor" jetzt mal vom SGS gelöscht - und prompt wird er wieder von den Samsung Apps angeboten. Sind nicht alle kritischen Apps aus dem Markt entfernt worden? Auch "Chess for Android" ist noch verfügbar. Deutet eigentlich darauf hin, dass diese beiden Apps nicht gemeint waren (wie gesagt, eine Herstellerangabe wäre praktisch).
    Übrigens: Die Samsung Apps wurden überarbeitet, habe eben ein Update erhalten!
    das chess ist von diesem entwickler unter dem namen veröffentlicht
    samsung weiss seit gestern abend bescheid das die programmierer dann überstunden zu machen haben ist mal klar oder.

    Full list of infected applications published by “Myournet”:

    * Falling Down
    * Super Guitar Solo
    * Super History Eraser
    * Photo Editor
    * Super Ringtone Maker
    * Super Sex Positions
    * Hot Sexy Videos
    * Chess
    * 下坠滚球_Falldown
    * Hilton Sex Sound
    * Screaming Sexy Japanese Girls
    * Falling Ball Dodge
    * Scientific Calculator
    * Dice Roller
    * 躲避弹球
    * Advanced Currency Converter
    * App Uninstaller
    * 几何战机_PewPew
    * Funny Paint
    * Spider Man
    * 蜘蛛侠
    0
     
  13. vygi
    vygi ist offline Gehöre zum Inventar 1502 Danke erhalten.
    03.03.2011, 08:06
    #13
    Hallo zusammen,

    dieses Thema ist nicht hardwarespezifisch und gehört deshalb in den Forum "Android Apps" -> http://www.pocketpc.ch/android-apps/
    So meinte ich, bis ich dort reingeschaut habe. Dort wurde ein weiterer Thread darüber geschlossen und ins "Android allgemein" verschoben. Was immer noch richtiger ist als hier bei Galaxy S darüber zu sprechen.

    Bitte Diskussionen hier fortsetzen, damit sie nicht an N verschiedenen Stellen parallel läuft:
    DroidDream-Trojaner über MarketApps - 50 Apps identifiziert, Lookout kostenlos

    Danke.
    0
     
  14. Avatar von MadMike1961
    MadMike1961
    MadMike1961 ist offline Bin hier zuhause 246 Danke erhalten.
    03.03.2011, 08:13
    #14
    Zitat Zitat von Sloogy Beitrag anzeigen
    das chess ist von diesem entwickler unter dem namen veröffentlicht

    Full list of infected applications published by “Myournet”:

    * Falling Down...
    Ah, jetzt kapiere ich das erst! Ist wohl noch zu früh am Morgen. Ich dachte, User mit diesen Namen hätten die entsprechenden Listen veröffentlicht, dabei handelt es sich um den Hersteller! Okay, dann ist alles klar. Ich werde die zusammengeführte Liste mit diesen Infos erweitern und in das von vygi verlinkte Forum stellen.
    1
     
  15. vygi
    vygi ist offline Gehöre zum Inventar 1502 Danke erhalten.
    03.03.2011, 08:18
    #15
    Danke; ich schließe das Thema in diesem Forum.

    Hier geht es weiter: DroidDream-Trojaner über MarketApps - 50 Apps identifiziert, Lookout kostenlos
    0
     
« Vorheriges Thema | Nächstes Thema »

Ähnliche Themen

  1. Die ersten Samsung Firmwares
    Von Straputsky im Forum Samsung Galaxy S Root und ROM
    Antworten: 76
    Letzter Beitrag: 05.12.2010, 21:47
  2. Diamond 2 - Die ersten 24h
    Von Blackhawk im Forum HTC Touch Diamond 2
    Antworten: 2
    Letzter Beitrag: 01.05.2009, 13:33
  3. Die ersten Schritte
    Von ppch im Forum Touch HD Sonstiges
    Antworten: 2
    Letzter Beitrag: 29.01.2009, 10:16
  4. X1: die ersten Eindrücke
    Von vygi im Forum SE Xperia X1
    Antworten: 9
    Letzter Beitrag: 10.11.2008, 12:00

Besucher haben diese Seite mit folgenden Suchbegriffen gefunden:

samsung galaxy s barcode scanner

samsung video editor rechte

forum zipat

i9000 barcode scanner

super apps galaxy s

galaxy i9000 malware

keine malware apps auf samsung galaxy

basketball shot app werbebanner

barcode app samsung galexi

samsung galaxy s i9000 barcode scanner

schadsoftware entfernen bei samsung galay s

schach editor android

barcode scanner malware

scan app samsung galaxy

samsung malware

video editor galaxy i9000

Photo editor samsung installation

samsung photo editor app

Patched Malware Exploit for all pre-Gingerbread phones