Netzverkehr mitgeschnitten, App Verhalten.

P

peterfarge

Ambitioniertes Mitglied
9
Hallo Forum,

ich hatte vor einiger Zeit auf meinen altem Doogee Smartphone Werbung die sich nicht entfernen ließ. Auch nicht durch einen Factory Reset. Das Doogee Spyware schon im Rom drin hat habe ich bereits in den News gelesen. Ich habe dann das Hersteller Rom neu drauf gespielt und einen Virenscanner installiert. Seitdem ist die Werbung verschwunden. Ich habe an diesem Wochenende etwas den Netzverkehr aufgezeichnet und folgende ungewöhnliche Kontaktaufnahmen festgestellt:

AppName:root AppPackage:root nimmt Kontakt zu reacheng.com auf Port Tcp 81 auf.
Es wird nur eine http Anfragte gestellt: GET /service/wlans?action=push&uid=12345678901234567890123456789
Antwort: HTTP/1.1 200 OK Continuation
Die 29 stellige uid habe ich ersetzt um nicht erkannt zu werden. Es wird immer die gleiche uid einmal pro Android Start übertragen. Reacheng scheint etwas mit der Smartphone Entwicklung zu tun haben, aber ich finde keinen Zusammenhang zu Doogee. Nach der HTTP Antwort wird die Verbindung sofort wieder geschlossen. Die Anfrage wird scheinbar immer ~20 Minuten nach dem Wlan Verbindungsaufbau bzw Android Start gestellt.

AppName:Telefon AppPackage:com.android.phone versucht d.zqlx.com Port Tcp 8100 zu erreichen.
Es werden nur TCP Syn Pakete verschickt, es gibt aber keine Antwort. Als wenn der Server abgeschaltet ist.
d.zqlx.com hat als Registrar Alibaba Cloud Computing. Es könnte also ein angemieteter Server von Sonstwem sein.


Kann sich jemand einen Reim auf dieses Verhalten machen?
Das Doogee ist nur ein Ersatzphone mit Prepaid Karte für mich. Ich bin technisch interessiert.


Vielen Dank

Peter
 
Ist das vielleicht die berühmte Überprüfung des Internet?
...Nicht nur Hörensagen, sondern irgendwo habe ich gelesen, dass Durch einen kleinen Seitenaufruf bei Google festgestellt wird, ob Internet vorhanden ist... vielleicht ist das dieser Aufruf. Wenn Du ihn durch eine Firewall sperrst, und ich recht habe, müsste das x im WLAN-Zeichen nicht weggehen, und in der WLAN-Übersicht dann nach "IP-Adresse abfragen", "kein Internet" stehen...
 
@peterfarge Sieht so aus, als sei reaching ein Mithersteller/Zulieferer für dein Handy (mal nur aus der Firmenbeschreibung interpretiert).

Und da würde ich die genannte Verbindung als Tracking sehen. Gibt es ja massig, und leider wie du sagst auch bereits ab Werk eingebaut.

Ich würde den "Virenscanner" runterwerfen, bringt meist nix. Stattdessen einen guten Tracking/Werbeblocker/Firewall installieren und halt noch manuell solche Sachen blocken lassen, wenn nicht automatisch erfasst.
 
McAfee
Der McAfee Virenscanner hat ueber die letzten Monate immer mal wieder Schadsoftware gefunden. Ich habe sie sofort entfernen lassen, ich weiss nicht mehr was es war und wie lange es schon drauf war. Ich hatte damals wenig Zeit um mich zu kuemmern. Deshalb bleibe ich bei McAfee. Fuer mich ist die App sinnvoll. Das sie Updates aus der Amazon Cloud holt und so die Logfiles mit Eintraegen zumuellt die ich erstmal nicht zuordnen kann (zB. m-prd-app-elb-wifi-10071226.us-west-2.elb.amazonaws.com) ist aergerlich. Und das sie Pakete installiert die ins Internet wollen und nicht MacAfee im Package Namen haben nervt natuerlich auch. :(

AppName:root AppPackage:root nimmt Kontakt zu reacheng.com auf
Android4 testet die Internet Konnectivitaet bei meinem Doogee mit dieser Adresse clients3.google.com (Siehe auch). In meinen Logs kann ich Request+Answer auf diese url finden.

Laut Internet kann man ueber ADB die Einstellung des Internet Konnectivitaets Checks einsehen:
adb shell settings get global captive_portal_detection_enabled
adb shell settings get global captive_portal_server
Beide Einstellungen stehen bei mir auf Null. Spasshalber habe ich mit dem Set Befehl den Android5 Server connectivitycheck.gstatic.com bei meinem Android4 eingetragen. Neustart. Siehe da: In den Logfiles taucht nicht mehr clients3.google.com auf sondern connectivitycheck.gstatic.com. Ich habe beide Einstellungen wieder auf null gesetzt, Neustart, nun ist wieder clients3.google.com in den Logfiles.

Bei der reacheng.com Kontaktaufnahme koennte es sich um einen vom Herrsteller im Android System implementierten Internet Check handeln. Nur komisch das er nicht wie der Google Test sofort nach dem Verbinden zum WLan stattfindet sondern erst 10-20 Minuten danach. Die 29 stellige dezimal UID die uebertragen wird entspricht auch nicht den bekannten IDs: Google WerbeID, Android Device ID, Google Service Framework ID, IMEI1, IMEI2, Hardware Serial, SIM Card Serial ID, SIM Subscriber ID. Auch dann nicht wenn ich sie nach dezimal umrechne.
Ich denke Doogee will mit dieser UID herausfinden welche Smartphones noch draussen in Betrieb sind. Im Gutfall. Im Schlechtfall ist der Webauftritt von reacheng.com nur eine Fassade zum Schadsoftware Verteilen.

AppName:Telefon AppPackage:com.android.phone versucht d.zqlx.com Port Tcp 8100 zu erreichen.
Server scheint noch immer tot zu sein.

AppName: download-Manager AppPackage:android.providers.downloads nimmt Kontakt zu hshh.org auf
Ausserdem nimmt com.android.providers.downloads alle 3 Minuten Kontakt zu hshh.org (China) auf. Es werden nur ntp Pakete versendet. Die Pakete sind lesbar, also vordergruendig korrekt. Der chinesische Server antwortet jedoch nicht. Das Android-System holt sich die Zeit jedoch zusaetzlich auch von android.pool.ntp.org. Das sind auch die offiziellen Zeitserver. Die die normalerweise von Android benutzt werden denke ich. Der Ntp Zeitstempel besteht laut Definition aus den Sekunden die seit dem Jahr 1900 vergangen sind und 4 Bytes fuer den Sekundenbruchteil. Die Zeitangabe ist im Logverlauf der Pakete stimmig, bloss den Sekundenbruchteil kann ich natuerlich nicht ueberpruefen. Mit 4 Byte alle 3 Minuten kann man schon gut Malware steuern und Infos abgreifen. Auf der anderen Seite scheinen WhatsApp und ein paar andere Anwendungen auch eigene Ntp Server zu betreiben und diese abzufragen. Vielleicht bin ich hier auch zu paranoid.

Ich habe jetzt ein paar Firewall Regeln auf dem gerooteten Smartphone erstellt um DNS Abfragen nach den verdaechtigen Domains zu verwerfen:
iptables -I OUTPUT -p 17 -m udp --dport 53 -m string --hex-string "|08|reacheng|03|com|0000ff|" --algo bm -j REJECT
iptables -I OUTPUT -p 17 -m udp --dport 53 -m string --hex-string "|04|zqlx|03|com|0000ff|" --algo bm -j REJECT
iptables -I OUTPUT -p 17 -m udp --dport 53 -m string --hex-string "|04|hshh|03|org|0000ff|" --algo bm -j REJECT

iptables -I OUTPUT -p 6 -m tcp --dport 53 -m string --hex-string "|08|reacheng|03|com|0000ff|" --algo bm -j REJECT
iptables -I OUTPUT -p 6 -m tcp --dport 53 -m string --hex-string "|04|zqlx|03|com|0000ff|" --algo bm -j REJECT
iptables -I OUTPUT -p 6 -m tcp --dport 53 -m string --hex-string "|04|hshh|03|org|0000ff|" --algo bm -j REJECT
Die Logs sind jetzt wieder sauber. Mein Problem ist somit vorerst geloest.

Was WhatsApp oder Google mit meinen Daten machen, naja, das Profiling fuer Werbung ist mir nicht so wichtig. Das das Smartphone zu irgendwelchen Servern im Internet Kontakt aufnimmt wo ich nicht weiss wer dahinter steht. Das gefaellt mir ueberhaupt nicht. Ich lese gerade euren Guide zur Android Absicherung. Parallel dazu den Kuketz-blog, zB dieses Manual und die anderen Themen aus der Reihe. Es ist ein Zeit fressendes Thema....
 
Zuletzt bearbeitet:

Ähnliche Themen

c0rtez
Antworten
0
Aufrufe
360
c0rtez
c0rtez
K
2
Antworten
24
Aufrufe
1.970
HandyMic
HandyMic
Archie Leach
  • Archie Leach
Antworten
7
Aufrufe
1.088
KalleMerkt
K
Zurück
Oben Unten