UMi Diamond - Unbekannte Herkunft aktiviert sich automatisch

Thyrion

Thyrion

Ehrenmitglied
2.862
Hallo,

in meinem Bekanntenkreis sind zwei UMi Diamonds im Einsatz. Bei beiden aktiviert sich etwa 1 mal am Tag automatisch die Einstellung, um Apps aus "Unbekannter Herkunft" installieren zu können, bei beiden ist die Firmware Version 7.0 (Android 6.0, Partchstand November 2016) installiert, keinerlei Veränderungen (Root, Custom-ROM, etc.)

Ist das eine UMi-Eigenschaft? Oder hat sich in der Stock-Firmware bereits was eingenistet?

Bisher ist es erst bei einem Gerät vorgekommen, dass sich ungefragt Apps installiert haben (z.B. Super File Explorer)... Ist dazu was bekannt?
 
Das klingt nicht sauber, möglicherweise ist da herstellerseits ein Bug implementiert. Welcher Launcher wird genutzt?
 
Der mitgelieferte "Launcher3" (allerdings ist der in den Apps zweimal aufgeführt, einmal mit Google-Logo und einmal mit Häuschen).
 
Die App mit dem Google Logo ist wohl die Google App. Sie wird seit einem der letzten Updates seltsamerweise als Launcher 3 gelistet. Ich weiß nicht, ob der Launcher 3 die Ursache des Problems ist (es kam bei China-Handys bereits vor Jiayu S3 erlaubt die Installation von Apps unbekannter Herkunft von alleine). Du könntest einen anderen Launcher installieren, Launcher 3 deaktivieren und prüfen, ob sich die Apps unbekannter Herkunft immer noch selbsttätig installieren wollen...
 
Zuletzt bearbeitet:
  • Danke
Reaktionen: Thyrion
Der Launcher ist es beim Diamond nicht! Hab schon alles versucht, was an Lösungen im Netz zu finden ist.

Hier eine Lösung für alle (nicht nur UMI´s), die dieses Problem haben.

Grundsätzlich: Warum UMI diese "Tür" einbaut, kann ich nicht sagen - ist aber bei einigen Chinaphones so und nervt jedenfalls. Der zuständige Trojaner sitzt in der SystemUI, die für die Softkeys und Benachrichtigungsleiste zuständig ist (auch bereits im Original Rom von der UMI-Homepage), es gibt keine CostumRom für das Diamond und ich habe keine Möglichkeit gefunden, diesen Trojaner zu eliminieren. Über folgenden "Trick" hat man aber zumindest Ruhe. Dabei benutzen wir den shell-Befehl, der die Installation von unbekannten Quellen ausschaltet.

1. Das Handy braucht root (ist für´s UMI mit TWRP ganz einfach).
2. Ihr braucht die App "Tasker" (2,99 € im Store)
3. Nun ein Profil anlegen - am besten über "Zustand" - "Displaystatus" - "Ein"
4. Einen "Task" dazu anlegen - "Code" - "Shell aktivieren"
5. In die obereste Zeile bei Befehl folgendes eintragen: settings put secure install_non_market_apps 0
6. Haken im Feld "root" setzen

Fertig!

Effekt:
Jedesmal, wenn der Bildschirm angeht, wird der Schalter unter "Sicherheit" - "unbekannte Quellen" auf AUS gesetzt (egal ob er AN oder AUS war!). Kann man auch testen: Schalter AN - Bildschirm aus - Bildschirm AN - Schalter ist wieder AUS.
Somit sollte man relativ sicher sein, dass keine Malware mehr installiert wird.

LG
 
Zuletzt bearbeitet:
  • Danke
Reaktionen: Thyrion
UMi hat zumindest bestätigt, dass es ein Bug ist und verspricht das in einem kommenden Update zu beheben: "I can confirm the bug of re-enabling unknown resources. It will be fixed in a later update" (Quelle ist der verlinkte Thread im UMi-Forum, siehe oben)
 
  • Danke
Reaktionen: Miss Montage
Gelesen hab ich das auch - ob und wann da ein update kommt garantiert sicher keiner.

Es war/ist aber eben nicht nur der Bug, dass sich dies immer wieder einschaltet, sondern es wurden ja auch verschiedenste Malware-Apps automatisch installiert - sind ja immer noch 2 verschiedene Dinge.

Aber mal abwarten - trotzdem ärgerlich.
 
Updates wurden bisher gegen Ende des Monats bereitgestellt (23./26.11 und 29.12). Von daher rechne ich nächste Woche mit einem Update. Ob dieser Fehler dort aber schon behoben ist, ist ja gar nicht gesagt. Das könnte sich auch nochmal einen Monat verschieben.
 
Ich bin mir immer noch nicht sicher ob da wirklich ein Trojaner an Board ist. Es ist Tatsache das die SystemUI.apk im Verzeichniss Assets eine Datei mit dem Namen spende.zip enthält. Dies ist aber weder eine zip noch eine ausführbare Datei laut Trid (erkennt über 8000 Dateitypen) ist diese Datei schlicht in einem unbekannten Format. Ich persönlich arbeite gerade an ner Custom Rom basierend auf Firmware Version 7 von Umi, dort habe ich das Problem nicht mehr, obwohl ich die SystemUI.apk nicht weiter angefasst habe, wohl aber sehr viel anderen Schrott der drauf war gelöscht habe. Eine ist z.b. diese LovelyFonts.apk und anderer Müll.
Daher ist meine Vermutung das in der SystemUI.apk maximal eine Art von binary sitzt die von nem Loader gecalled wird. Das würde auch erklären warum nur ein Virenscanner die Datei überhaupt als "böse" ansieht, ich teile was das angeht fast die Meinung von UMI das die Hersteller der Software hier Geld verdienen wollen. Wobei mich aber dennoch brennend interessieren würde was die Datei spende.zip wirklich macht.
 
  • Danke
Reaktionen: Miss Montage
Sodele da bin ich dann auch mal wieder und gebe mir sogar selber Antwort :)
Also nach mehreren Nächten, die mir das Phone nun geraubt hat, fasse ich mal folgendes zusammen :

1.) Meiner bescheidenen Meinung nach ist dies ein absolut geplant und in keinster Weise ein Bug in der Firmware.
2.) Bisher habe ich tatsächlich "nur" in der SystemUI.apk den Trojaner gefunden, alles andere scheint sauber zu sein.
3.) Sobald das Phone Internet sieht stell es das Flag um welches Installationen aus unbekannten Quellen erlaubt. Nicht immer sofort aber meistens kann man dabei zuschauen. Genau das sieht für mich sehr nach Vorsatz aus und nicht nach einem Bug, egal was die Chinesen sich da zurecht lügen!
4.) Ist es mir leider bisher mit keinem mir bekannten Programm gelungen die SystemUI zu deodexen und somit in irgendeiner Form zu säubern!
5.) AFWall+ ist wohl derzeit unsere einzige Möglichkeit uns zu schützen, muss in dem Punkt zurück rudern es ist nicht das Custom an dem ich arbeite sondern die AFWall die bei mir immer als ersten auf ANdroid Geräten landet. Wenn Ihr root habt, installiert euch das Ding. Wenn ihr nicht genau wisst was Ihr da tut, stellt es so ein das alles raus darf ausser Apps auf der Blacklist und packt SystemUI.apk auf die blacklist. Danach sollte Ruhe sein!

Ich versuche weiter mein bestes, muss aber sagen derzeit bin ich mit meinem Latain am Ende wenn mir einer helfen mag bitte einfach ne PN an mich.
 
  • Danke
Reaktionen: cenca und Miss Montage
Und da isser wieder .. Bin mal gespannt wie lange ich im offiziellen Umi Forum noch existiere :)
Also es ist zu 99.% wirklich ein Trojaner in der Stock Rom vom Umi Diamond!
Ich war mal so frei und bin per adb shell aufs Handy gegangen und siehe da, in /data/data/com.android.systemui liegt der kleine Kerl doch endlich mal in unverschlüsselter Form rum und freut sich seines Lebens.
Es ist tatsächlich eine APK/ZIP Datei namen spende.zip, machdem ich diese nun unverschlüsselt hatte ging erstmal ab zu Virustotal... und siehe da 29/57 Scannern erkennen das Ding plötzlich als Trojaner, wo es bei der verschlüsselten nur einer war.
Antivirus scan for c7a64d77bb33c902cb977f5062370d9c11a99ae0a008ad66c8a40a71582dd12d at 2017-01-26 23:30:20 UTC - VirusTotal
Habe die Dateien nun erstmal weggesichert und mach mich morgen oder am Wochenende mal an die genauere Analyse mal schauen was der kleine Kerl so alles macht.
Bis dahin kann ich nur warnen das Umi Diamond ist von hause aus mit einem Trojaner infiziert! Aus China werden wir wohl bis 6 Februar nix hören weil da jetzt Neujahr gefeiert wird.
Es ist eine Frechheit sondergleichen was sich die Jungs da leisten!!
 
  • Danke
Reaktionen: cenca und Miss Montage
Gefunden hatte ich die auch schon - aber wenn man z.B. mit 7zip die apk öffnet und die spende.zip löscht und dann die apk zurückspielt, funktionert die systemui (also Benachrichtigungsleiste) nicht mehr. Da muss es noch ne andere Lösung geben. Ich habe derzeit die erwähnte Tasker / shell-Befehl Variante am laufen.
Kannst du kurz sagen, ob über AFWall nur der eventuelle Traffic entzogen wird, oder schalten sich dadurch die unbekannte quellen wirklich nicht mehr ein?
 
Naja AFWall ist ja nix anderes als ein Frontend für iptables von daher wird faktisch nur der traffic geblockt. Das hat hier allerdings dazu geführt das sich die Quellen nicht mehr einschalten. Ich vermute der Trojaner prüft ob eine Verbindung da ist und falls ja schaltet er. Würde ich an Deiner Stelle noch zusätzlich machen denn das an/ausknipsen der Quellen ist die eine Sache wichtiger imho ist aber das der Trojaner nicht mehr so leicht Daten von Deinem Handy senden/empfangen kann, was ja bei Deiner Lösung weiterhin der Fall ist.
 
  • Danke
Reaktionen: Bug1303 und Miss Montage
Ist jetzt das Problem mit dem neuem Update behoben Thyrio?
 
Angeblich, kann ich aber nicht sagen, da ich die Firmware nicht verwende. Auf dem Diamond, das ich betreue und auch nicht ständig im Zugriff habe, ist Ziggy815s Kleenex Edition (allerdings auch noch die alte).
 
Soweit ich weiß hatte dein Kumpel das handy oder?
wenn ja was sagt er denn?
 
Das zweite Diamond in meinem Umfeld habe ich leider bei einem Versuch, das durch einen Sturz gesprungene Glas zu ersetzen, völlig geschrottet. Das war noch vor dem Update.

Sorry :crying:
 
Das tuht mir leid :crying::sad::crying:
Weil heute das handy bei mir ankommen sollte aber seit Sonntag sagt dhl nur das es heute ankommt und das sie das paket bei amazon abholen müssen:cursing:

Naja dann werde ich das testen.

Nochmals danke und das mit deinem handy tuht mir leid:(:crying:
 

Ähnliche Themen

M
Antworten
1
Aufrufe
543
Thyrion
Thyrion
H
  • hardyy
Antworten
6
Aufrufe
1.473
Ziggy815
Ziggy815
Ziggy815
  • Gesperrt
  • Ziggy815
Antworten
12
Aufrufe
1.813
Miss Montage
Miss Montage
Zurück
Oben Unten