Firewall ohne Root plötzlich als Malware erkannt!

[NebulaOne]

Hallo!

Seit Monaten bzw. schon über 2 Jahre liefen Firewall ohne Root und Intercept X von Sophos parallel - ohne Probleme / Gefahrenerkennung!
Gestern nun plötzlich der Hinweis von Intercept X, dass die schon ewig genutzte App Firewall ohne Root:

Spoiler: als Malware erkannt

wurde.
Hat sonst niemand irgendwelche Probleme mit der Firewall?

Alternativen gibt es ja nun scheinbar keine mehr, da netguard ja auch nur noch bedingt zu empfehlen ist, oder?
Macht es Sinn, netguard noch zu installieren und an M. B. zu spenden, wenn man alle Features nutzen will?

 

[orgshooter]

@NebulaOne Alternative: RethinkDNS oder Adguard!

Tipp: Antivirenapp auf Android verursacht häufig Probleme.

 

[teatimetom]

Warum sollte NetGuard nicht zu empfehlen sein? Funktioniert bei mir wunderbar.

 

[NebulaOne]

... oder Adguard!

Ich bin mir eigentlich ziemlich sicher, dass ich auf den Seiten von Adguard mal etwas zu einer Firewall - Lösung von denen gelesen habe. Das finde ich leider nicht mehr.
Und Adguard für Android & Adguard-dns etc. sind für mich halt keine einfach zu bedienende Firewall.

@teatimetom
Ich dachte eher in dieser Richtung: Extras noch bezahlen an den Entwickler, wo er doch nicht mehr weitermachen will mit seinen Anwendungen, macht wenig / weniger Sinn. Das die Firewall als solches noch funktioniert, ist nicht das Problem. Sie funktioniert ja weiterhin, auch wenn er nicht weiter dran entwickelt.

 

[orgshooter]

@NebulaOne kannst ja mal hier lesen zu RethinkDNS - Hilfe:

 

[MrT69]

@NebulaOne
Kannst du mir mal bitte das APK-File zur Verfügung stellen, mit dem du die "Malware Erkennung" bekommen hast?

 

[NebulaOne]

@MrT69
Hmmm... es geht um diese App:
NoRoot Firewall - Apps on Google Play aus dem Playstore.
Und ich hab sie (vielleicht voreilig) schon deinstalliert. Aber ich schau noch mal, ob ich die letzte Version 4.0.2 von Anfang 2020 noch irgendwo gesichert habe.

 

[MrT69]

Wäre genial. Die App hat 10 Mio Downloads und immer dran denken, diese Scanner können gar nicht 100% fehlerfrei arbeiten, von dem her würde ich vom Bauchgefühl sagen, das war f/p was da kam.

Allerdings wäre es auch nicht das erste Mal das irgendwelche Investoren so ne App kaufen und die App mit Malware/Spyware bestücken.

 

[SirMarc]

Na einfach mal warten auf update beider Software, wird den wider weg sein.
Norton ist manchmal auch so wie aus heiterem Himmel eine app als böse Bitte Löschen ein Norton Update weiter ist wider Grün die App. Google play Schutz das selbe Monate lang sagt er nix zu Es File Explorer den auf einmal bitte Löschen, es file Explorer gelöscht wider installiert alles oki bis jetzt.
Oder Sorbo hat ein eigener Firewall und will Konkurenz loswerden.
Freu mich so auf Mein Laptop mit Windows entlich wider der beste Software Firewall der Welt Norton Firewall.

Beiträge automatisch zusammengeführt: 25.04.2023

@NebulaOne apkmirror.com da bekommst alles. NoRoot Firewall 4.0.2 APK Download by Grey Shirts - APKMirror

 

[NebulaOne]

@MrT69
Leider nur über Umwege und ich hoffe, als Zip ist es hier jetzt möglich (und ok?)!

Beiträge automatisch zusammengeführt: 25.04.2023

@SirMarc
Hinweise zu Norton , ES Fileexplorer und deine weiterhin /wiederholt nicht brauchbaren nicht zu verstehenden Texte sind hier grad nicht erforderlich!
Danke für die Berücksichtigung dieser Hinweise!

Anlage (die Zip) nun entfernt, da durch @MrT69 analysiert!

 

[MrT69]

@NebulaOne
Also ich würde die App nicht nutzen Und das aus mehreren Gründen:

1. Die App "telefoniert" mit ein paar IP-Adressen. Zum einen intern mit der IP "192.168.1.216" auf Port "8000" (sieht aus wie ein Proxy) und zum anderen mit zig Adressen von Google aus dem 1e100.net Netzwerk.

2. IP Adress Übersicht

Spoiler: IP Addressen in der App

3. In der App ist ein RootCA Zertifikat verbaut, das aber mal ganz komisch ist.

Spoiler: Hidden RootCA Info

Wenn ich als Entwickler sowas einbaue, dann schreib ich zumindest eine Info in das Zertifikat von wem das ist und warum das drin ist. Also, das würde ich machen. Das Zertifikat selbst ist bisher noch nicht negativ aufgefallen, was aber an sich nichts zu sagen hat, auch wenn es schon fast 10 Jahre lang im Netz ist. Da allerdings nichts - also null - in dem Zertifikat drinsteht, dass macht das ganze definitiv suspekt.

4. Als ich die App bei VirusTotal und deren Links analysieren wollte, hab ich mein API Tageslimit erreicht. Und das in weniger als 2 Sekunden.

Spoiler: Link Analyse der App

5. Ich kenn die App nicht, aber anhand der Logs würde ich persönlich sagen, das ist keine Firewall, das ist ein Google Proxy mit LinkAnalytics. Wie gesagt, dass ist das was zu sehen ist. Gut sieht das nicht aus, was auch täuschen kann, aber da sollte man mal den Entwickler fragen was das alles bedeutet und sein soll.

6. Leider schlägt die App positiv bei "Google AntiVirus" und "Sophos" an. Beide einzeln, na ja - kann man drüber nachdenken. Beide zusammen, das ist allerdings eine recht hohe Gewichtung.
VirusTotal

 

[NebulaOne]

@MrT69
Oha!
Ganz herzlichen Dank für die Analyse und deine ausführliche Rückmeldung!
Ich werd die App nicht wieder installieren und versuche mich als Alternative an Netguard!

Ist echt schon heftig, wenn man mal überlegt, wieviele installierte Versionen bei 10 Millionen Gesamtdownlads wohl noch aktiv sind / aktiv genutzt werden.
Der Witz schlechthin ist aber die Tatsache, dass erst jetzt durch die Sophos - App die Firewall ohne Root als Malware /bösartiges Tool erkannt wird.

... aber da sollte man mal den Entwickler fragen was das alles bedeutet und sein soll.

Hab ich vor drei Jahren oder so mal versucht. Keine Reaktion. Das hätte mir eigentlich schon zu denken geben sollen...

 

[juni]

Bei der oben verlinkten Version keine Virustreffer. Vielleicht gibt's die nur in der Playstore Edition. VirusTotal

 

[KalleMerkt]

Alternativen gibt es ja nun scheinbar keine mehr, da netguard ja auch nur noch bedingt zu empfehlen ist, oder?

Ich nutze Netguard weil es das beste ist. Auch wenn es kaum/nicht weiterentwickelt wird, es funktioniert doch. Und ist ausreichend erprobt. Auf was neues wie RethinkDNS möchte ich mich nicht einlassen.
Als Alternative gibt es noch Karma. Die ist sehr einfach zu bedienen und für einfache Benutzer besser als Netguard. Aber sie hat deutlich weniger Möglichkeiten als Netguard.

Karma Firewall | F-Droid - Free and Open Source Android App Repository

 

[NebulaOne]

Vielleicht gibt's die nur in der Playstore Edition.

Nö! Auch die Version bringt bei Sophos direkt nach Download

Spoiler: diese Warnung!

Warum Virustotal solche unterschiedlichen Ergebnisse ergibt? Das wäre ja mal interessant zu wissen!

 

[orgshooter]

Auf was neues wie RethinkDNS möchte ich mich nicht einlassen

M. E. ist die App übersichtlicher als Netguard mit ein paar mehr Einstellmöglichkeiten und schnelleren DNS-Anbieterwechseln.
Die Einarbeitung geht schneller, vor allem wenn Netguardkenntnisse vorhanden sind.

Aber Netguard hat mich bis jetzt auch immer ohne Probleme begleitet.

 

[KalleMerkt]

Bei sicherheitsrelevanten Apps bin ich sehr konservativ.
Netguard gibt es lange, wurde schon kräftig unter die Lupe genommen und so "frech" wie Marc bisweilen ist hätten viele Leute ihm gerne einen Fehler nachgewiesen.
Rethink ist einfach zu neu und wenig erprobt.
Also lieber das "bewährte".

 

[orgshooter]

so "frech" wie Marc bisweilen ist

Er heißt Marcel

 

[KalleMerkt]

Stimmt

 

[cska133]

habe dieses Thema gerade endeckt.
ich habe die letzten Versionen von Firewall No Root als APK extrahiert. Bräuchtet ihr sie , um erneut die apk zu analysieren?