Was ist "Services Commander Android"?

[burgerohnealles]

Ja aber eine App die einen Bug im 'bösen Sinne' ausnutzt ist nun mal ein Exploit Und ja, ein Exploit ist kein Virus, aber ein Virus kann einen Exploit nutzen, um sich den Zugang zu verschaffen den es haben möchte, um sich dann zu verbreiten - so viel von mir noch als Schlusssatz dazu

 

[xminister]

Leutz! -> Topic

Ich habe natürlich auch mal ein wenig in der App geschnüffelt.
Das ganze wirkt auf mich noch nicht richtig "fertig".

Fakt ist aber wohl, das da etwas nicht mit rechten Dingen zu geht.
Zum einen "Tarnt" sich die App wie bereits bekannt als Google PlayStore, sie verlangt auch das Vorhandensein von GooglePlayServices.

Die Domain appsmartpush.com von der Daten nachgeladen werden sollen, wurde Anonym! über Godaddy.com registriert und ist aktuell (noch) nicht übers Netz erreichbar.

Vornehmlich scheint es sich um eine Werbeschleuder zu handeln, dennoch ist auch Code zum schreiben von Nachrichten (z.B. SMS) enthalten, jedoch fehlen hierzu (noch) die Berechtigungen.

Die eigentlich Frage, welche uns hier beschäftigen sollte ist aber, wie gelingt es der App, sich (ohne?) Nutzerinteraktion herunterzuladen und die Installation anzustossen?
Eigentlich kommt dafür ja fast nur eine andere App in Frage aber welche?

 

[Andy]

Die .apk enthält einen Keystore welches im BKS Format vorliegt. Der Keystore liegt nicht als Datei vor sonder wurde als Base64 codierter String direkt in den Quellcode übernommen. Der Keystore enthält ein X.509 Zertifikat welches seit 04.09.2014 gültig ist und zuletzt am 15.10.2014 bearbeitet wurde.
Lustigerweise ist das Passwort auch noch "123456". XD

 

[burgerohnealles]

Müsste es nicht irgendwie mit einem Xposed-Modul möglich sein, den "Starter" des Intents ausfindig zu machen? Oder eine App zu machen, die den entsprechenden Intent abfängt?

 

[Aaskereija]

sowas geht glaub ich nicht aufgrund des sandbox prinzips

 

[xminister]

Es wäre wohl einfacher, wenn die betroffenen ALLE zusätzlich installierten Apps hier auflisten würden. Der Code für den Download der App kann auch mit einem kürzlichen Update in eine App gelangt sein oder schon lange enthalten gewesen und durch ein bestimmtes Fixdatum aktiviert worden sein.

Falls ihr Apps auf dem Gerät habt, welche ihr hier nicht nennen dürft (oder wollt), dürft ihr die Liste gerne per PN an mich senden. Irgend eine Gemeinsamkeit muss es ja geben.

 

[burgerohnealles]

Es wäre wohl einfacher, wenn die betroffenen ALLE zusätzlich installierten Apps hier auflisten würden.

Also meine einzigste gemeinsame App mit basti_phantasti ist 'AnTuTu Benchmark' ...

 

[Matzek]

Ok, dann hier meine installierten Apps:

- Timely
- 1&1 Control Center
- Android-Hilfe.de
- AnTuTu Benchmark
- Geometrie Dash Lite
- Love Clock
- Web.de Mail
- Facebook Messenger
- Shazam
- AutoScout24
- OpenFM
- Farm Heroes Saga
- Radio.de
- Simple MP3

Die die wir eh alle gemeinsam schon vorinstalliert hatten, hab ich jetzt nicht erwähnt.

 

[burgerohnealles]

Hier mal meine Apps:

Spoiler

• 4 Bilder 1 Wort
• 7TV
• ActivityForceNewTask
• AdAway
• Amazon Kindle
• AndFTP
• Android-Tacho
• AnkiDroid
• AnTuTu Benchmark
• BatteryCalibration
• bcmon
• Bluetooth SPP Manager
• Bluetooth Terminal
• Boom Beach
• CatLog
• Chrome
• Clash of Clans
• Clean Master
• clever-tanken.de
• Code Generator
• ColorNote
• DB Navigator
• TT-Ergebnisse
• Device Control
• DexDump
• Doodle Jump
• eBay
• eBay Kleinanzeigen
• ES Datei Explorer
• FasterGPS
  
  
• Game Killer
• Gmail
• Google Now Launcher
• GPS Status
• Kalaydo
• Kleinanzeigen
• PDF Reader
• Piano Tiles (Don't tap the white tiles)
• Poweramp
• Quoka
• Shader Editor
• Simple Mp3 PRO
• Skat
• Smart Voice Recorder
• Snapchat
• SnapColors
• Sound Search für Google Play
• Speedtest
• Spotify
• Sygic
• TankenApp
• Tapatalk
• texdroider_dpi
• Titanium Backup
• VirusTotal
• VirusTotal Uploader
• Xposed Installer
• Youtube

Aber ich hatte vor kurzem noch zwei Apps installiert, die eine war irgendwas wie "Vanialla Music Player" und die andere kein Plan ...

 

[xminister]

Die Apps, über die wir hier aus bekannten Gründen nicht sprechen möchten, habe ich sicherheitshalber aus euren Listen entfernt.

Okay, dann mal eine erste Zusammenfassung:

Matzek und burgerohnealles haben beide folgende Apps installiert:
AnTuTu Benchmark
Simple MP3
WhatsApp (in der speziellen Version)

basti_phantasti gibt an (wobei er nur seine "kürzlich" installierten Apps auflistet):
AnTuTu Benchmark

 

[Matzek]

Muss noch dazusagen, dass diese mysteriöse App glaube bei mir aufgegeben hat. Habe heute so um die 5 Apps installiert um zu gucken ob mir wieder angeboten wird die o.g App zu installieren, negativ. Falls was kommt werde ich nochmal bescheid geben.

 

[burgerohnealles]

Bei mir kams übrigens auch mal beim deinstallieren einer App (aber auch nur manchmal)

 

[Matzek]

Okey, bei mir nur immer bei Installation und zwar kurz bevor das Icon von der App auf dem Hauptbildschirm hervor kam.

 

[burgerohnealles]

Hab heute auf die schnelle ne App gemacht, "mit der man eine APK-Datei installieren kann". Also ich mein, dass wenn man eine solche Datei installieren möchte, kann man meine App als Installer auswählen. Meine App installiert sie aber nicht, sondern zeigt lediglich den Package-Name der letzten App an. Beim Installieren einer App aus dem ES Datei Explorer hats funktioniert, obs bei der Installation von dem "Services Commander Android" geht weiß ich jedoch nicht, da die Installation aus dem Hintergrund gestartet wird. Ich könnte die App morgen (bzw heute in einigen Stunden) hier hochladen ..

 

[xminister]

Einen Versuch ist es wert.

 

[basti_phantasti]

Hab alle 3 apps installiert.

Ich tippe jetzt stark auf simple mp3

 

[burgerohnealles]

Ich auch vor allem weil die Virus Total App mit 10 Virenscannern ausschlägt: https://www.virustotal.com/de/file/df9bead0858555dbedd998093efa4530d4b19628/analysis/

 

[ml.android]

Ich tippe auch auf simple mp3. Nachdem ich es letzte Woche deinstalliert habe, kam die Installationsaufforderung nicht mehr.

 

[bvbsoccer]

Heißt es bleibt nur übrig simplemp3 zu löschen?

 

[Phineasss]

Hab simple mp3 jetzt auch deinstalliert. Schon war es weg. Mal eine woche gucken obs anhält.