1. Mitglieder surfen ohne Werbung auf Android-Hilfe.de! ✔ Jetzt kostenlos Mitglied in unserer Community werden.
  1. peterfarge, 08.09.2018 #1
    peterfarge

    peterfarge Threadstarter Junior Mitglied

    Hallo Forum,

    ich hatte vor einiger Zeit auf meinen altem Doogee Smartphone Werbung die sich nicht entfernen ließ. Auch nicht durch einen Factory Reset. Das Doogee Spyware schon im Rom drin hat habe ich bereits in den News gelesen. Ich habe dann das Hersteller Rom neu drauf gespielt und einen Virenscanner installiert. Seitdem ist die Werbung verschwunden. Ich habe an diesem Wochenende etwas den Netzverkehr aufgezeichnet und folgende ungewöhnliche Kontaktaufnahmen festgestellt:

    AppName:root AppPackage:root nimmt Kontakt zu reacheng.com auf Port Tcp 81 auf.
    Es wird nur eine http Anfragte gestellt: GET /service/wlans?action=push&uid=12345678901234567890123456789
    Antwort: HTTP/1.1 200 OK Continuation
    Die 29 stellige uid habe ich ersetzt um nicht erkannt zu werden. Es wird immer die gleiche uid einmal pro Android Start übertragen. Reacheng scheint etwas mit der Smartphone Entwicklung zu tun haben, aber ich finde keinen Zusammenhang zu Doogee. Nach der HTTP Antwort wird die Verbindung sofort wieder geschlossen. Die Anfrage wird scheinbar immer ~20 Minuten nach dem Wlan Verbindungsaufbau bzw Android Start gestellt.

    AppName:Telefon AppPackage:com.android.phone versucht d.zqlx.com Port Tcp 8100 zu erreichen.
    Es werden nur TCP Syn Pakete verschickt, es gibt aber keine Antwort. Als wenn der Server abgeschaltet ist.
    d.zqlx.com hat als Registrar Alibaba Cloud Computing. Es könnte also ein angemieteter Server von Sonstwem sein.


    Kann sich jemand einen Reim auf dieses Verhalten machen?
    Das Doogee ist nur ein Ersatzphone mit Prepaid Karte für mich. Ich bin technisch interessiert.


    Vielen Dank

    Peter
     
  2. cptechnik, 09.09.2018 #2
    cptechnik

    cptechnik Senior-Moderator Team-Mitglied

    Ist das vielleicht die berühmte Überprüfung des Internet?
    ...Nicht nur Hörensagen, sondern irgendwo habe ich gelesen, dass Durch einen kleinen Seitenaufruf bei Google festgestellt wird, ob Internet vorhanden ist... vielleicht ist das dieser Aufruf. Wenn Du ihn durch eine Firewall sperrst, und ich recht habe, müsste das x im WLAN-Zeichen nicht weggehen, und in der WLAN-Übersicht dann nach "IP-Adresse abfragen", "kein Internet" stehen...
     
  3. cad, 09.09.2018 #3
    cad

    cad Android-Guru

    @peterfarge Sieht so aus, als sei reaching ein Mithersteller/Zulieferer für dein Handy (mal nur aus der Firmenbeschreibung interpretiert).

    Und da würde ich die genannte Verbindung als Tracking sehen. Gibt es ja massig, und leider wie du sagst auch bereits ab Werk eingebaut.

    Ich würde den "Virenscanner" runterwerfen, bringt meist nix. Stattdessen einen guten Tracking/Werbeblocker/Firewall installieren und halt noch manuell solche Sachen blocken lassen, wenn nicht automatisch erfasst.
     
  4. peterfarge, 10.09.2018 #4
    peterfarge

    peterfarge Threadstarter Junior Mitglied

    McAfee
    Der McAfee Virenscanner hat ueber die letzten Monate immer mal wieder Schadsoftware gefunden. Ich habe sie sofort entfernen lassen, ich weiss nicht mehr was es war und wie lange es schon drauf war. Ich hatte damals wenig Zeit um mich zu kuemmern. Deshalb bleibe ich bei McAfee. Fuer mich ist die App sinnvoll. Das sie Updates aus der Amazon Cloud holt und so die Logfiles mit Eintraegen zumuellt die ich erstmal nicht zuordnen kann (zB. m-prd-app-elb-wifi-10071226.us-west-2.elb.amazonaws.com) ist aergerlich. Und das sie Pakete installiert die ins Internet wollen und nicht MacAfee im Package Namen haben nervt natuerlich auch. :(

    AppName:root AppPackage:root nimmt Kontakt zu reacheng.com auf
    Android4 testet die Internet Konnectivitaet bei meinem Doogee mit dieser Adresse clients3.google.com (Siehe auch). In meinen Logs kann ich Request+Answer auf diese url finden.

    Laut Internet kann man ueber ADB die Einstellung des Internet Konnectivitaets Checks einsehen:
    adb shell settings get global captive_portal_detection_enabled
    adb shell settings get global captive_portal_server
    Beide Einstellungen stehen bei mir auf Null. Spasshalber habe ich mit dem Set Befehl den Android5 Server connectivitycheck.gstatic.com bei meinem Android4 eingetragen. Neustart. Siehe da: In den Logfiles taucht nicht mehr clients3.google.com auf sondern connectivitycheck.gstatic.com. Ich habe beide Einstellungen wieder auf null gesetzt, Neustart, nun ist wieder clients3.google.com in den Logfiles.

    Bei der reacheng.com Kontaktaufnahme koennte es sich um einen vom Herrsteller im Android System implementierten Internet Check handeln. Nur komisch das er nicht wie der Google Test sofort nach dem Verbinden zum WLan stattfindet sondern erst 10-20 Minuten danach. Die 29 stellige dezimal UID die uebertragen wird entspricht auch nicht den bekannten IDs: Google WerbeID, Android Device ID, Google Service Framework ID, IMEI1, IMEI2, Hardware Serial, SIM Card Serial ID, SIM Subscriber ID. Auch dann nicht wenn ich sie nach dezimal umrechne.
    Ich denke Doogee will mit dieser UID herausfinden welche Smartphones noch draussen in Betrieb sind. Im Gutfall. Im Schlechtfall ist der Webauftritt von reacheng.com nur eine Fassade zum Schadsoftware Verteilen.

    AppName:Telefon AppPackage:com.android.phone versucht d.zqlx.com Port Tcp 8100 zu erreichen.
    Server scheint noch immer tot zu sein.

    AppName: download-Manager AppPackage:android.providers.downloads nimmt Kontakt zu hshh.org auf
    Ausserdem nimmt com.android.providers.downloads alle 3 Minuten Kontakt zu hshh.org (China) auf. Es werden nur ntp Pakete versendet. Die Pakete sind lesbar, also vordergruendig korrekt. Der chinesische Server antwortet jedoch nicht. Das Android-System holt sich die Zeit jedoch zusaetzlich auch von android.pool.ntp.org. Das sind auch die offiziellen Zeitserver. Die die normalerweise von Android benutzt werden denke ich. Der Ntp Zeitstempel besteht laut Definition aus den Sekunden die seit dem Jahr 1900 vergangen sind und 4 Bytes fuer den Sekundenbruchteil. Die Zeitangabe ist im Logverlauf der Pakete stimmig, bloss den Sekundenbruchteil kann ich natuerlich nicht ueberpruefen. Mit 4 Byte alle 3 Minuten kann man schon gut Malware steuern und Infos abgreifen. Auf der anderen Seite scheinen WhatsApp und ein paar andere Anwendungen auch eigene Ntp Server zu betreiben und diese abzufragen. Vielleicht bin ich hier auch zu paranoid.

    Ich habe jetzt ein paar Firewall Regeln auf dem gerooteten Smartphone erstellt um DNS Abfragen nach den verdaechtigen Domains zu verwerfen:
    iptables -I OUTPUT -p 17 -m udp --dport 53 -m string --hex-string "|08|reacheng|03|com|0000ff|" --algo bm -j REJECT
    iptables -I OUTPUT -p 17 -m udp --dport 53 -m string --hex-string "|04|zqlx|03|com|0000ff|" --algo bm -j REJECT
    iptables -I OUTPUT -p 17 -m udp --dport 53 -m string --hex-string "|04|hshh|03|org|0000ff|" --algo bm -j REJECT

    iptables -I OUTPUT -p 6 -m tcp --dport 53 -m string --hex-string "|08|reacheng|03|com|0000ff|" --algo bm -j REJECT
    iptables -I OUTPUT -p 6 -m tcp --dport 53 -m string --hex-string "|04|zqlx|03|com|0000ff|" --algo bm -j REJECT
    iptables -I OUTPUT -p 6 -m tcp --dport 53 -m string --hex-string "|04|hshh|03|org|0000ff|" --algo bm -j REJECT
    Die Logs sind jetzt wieder sauber. Mein Problem ist somit vorerst geloest.

    Was WhatsApp oder Google mit meinen Daten machen, naja, das Profiling fuer Werbung ist mir nicht so wichtig. Das das Smartphone zu irgendwelchen Servern im Internet Kontakt aufnimmt wo ich nicht weiss wer dahinter steht. Das gefaellt mir ueberhaupt nicht. Ich lese gerade euren Guide zur Android Absicherung. Parallel dazu den Kuketz-blog, zB dieses Manual und die anderen Themen aus der Reihe. Es ist ein Zeit fressendes Thema....
     
    Zuletzt bearbeitet: 10.09.2018
Die Seite wird geladen...
Ähnliche Themen Forum Datum
App Starts und Hintergrundausführung Android Allgemein Mittwoch um 17:06 Uhr
Backup einer Tagebuch-App crasht die SD-Karte Android Allgemein Montag um 11:26 Uhr
Fehlerhafte Symbole in der App Android Allgemein 04.09.2018
Verknüpfung zu Standard-App aufheben und ersetzen Android Allgemein 20.08.2018
App löschen Android Allgemein 12.07.2018
App verbraucht Akku obwohl garnicht geöffnet?! Android Allgemein 05.07.2018
Galileo app contest unter ESA trainees Android Allgemein 17.06.2018
App auf SD Karte verschieben dann werksreset Android Allgemein 10.05.2018
App mit USB Gerät nicht automatisch starten Android Allgemein 02.05.2018
Android Telephone APP Android Allgemein 26.04.2018
Du betrachtest das Thema "Netzverkehr mitgeschnitten, App Verhalten." im Forum "Android Allgemein",
  1. Android-Hilfe.de verwendet Cookies um Inhalte zu personalisieren und dir den bestmöglichen Service zu gewährleisten. Wenn du auf der Seite weitersurfst stimmst du der Cookie-Nutzung zu.  Ich stimme zu.