Archos 50c Platinum - infiziertes Stock-ROM und Weiteres

[GeCk0]

Halli Hallo,

ich bin seit ein paar Wochen Besitzer des 50c Platinum ( SC7731 )
Nachdem es beim rooten zu einem Fehler kam, lud ich mir die Stock-ROM von NeedRom herunter.

Seither öffnet sich stets der Browser mit Werbeanzeigen, die sich kaum schließen lassen.
Das Antivirus sagt, die Einstellungen-App (system) sei infiziert.

Auf der offiziellen Seite von Archos gibt es kein Stock-ROM für das 50c Platinum

Daher hier meine Frage, hat jemand von Euch das passende Stock-ROM?

Gerne auch Pre-Rooted mit oder ohne custom-recovery

 

[antipadologe]

Hallo Gecko
Die Malware in dem ROM würde ich mal bestätigen, allerdings bin ich nicht völlig sicher ob da die Malware die ich ohnehin schon hatte irgendwie überlebt hatte:

Malwarebytes: Android/Trojan.Agent.PG
Avira: SPR/ANDR.Pipe.176
(Avira ist völlig naiv und prüft priv-apps gar nicht erst -- zur Erkennung muß man die Settings.apk z.B. nach Downloads kopieren.)

Meines Erachtens ist die infizierte Settings.apk nicht selbständig aktiv sondern kann nur bei Bedarf auf "fremde Installationsquellen zulassen" umgeschaltet werden -- und dann geht der Ärger los. Bis jetzt ist hier noch alles ruhig.

Btw, root ... ich hatte mir die Schadsoftware ursprünglich von einem in XDA verlinkten Download-Server eingefangen als ich nach root Möglichkeiten suchte ?!?
Gerootet habe ich gerade erfolgreich mit Kingroot.apk (unbedingt nur von der Originalseite laden) ... UND keinesfalls die Optimierungen laufen lassen. Geh mal auf den Kingroot-Thread bei XDA.

 

[antipadologe]

vergessen ... ich bin auf XDA: unknown droid

 

[antipadologe]

So, nochmal sorgfältig mit dem FactoryDownload geflasht, volles Programm -- selbst Seriennummer und IMEI-Nummern neu drauf. Die Settings.apk enthält einen Trojaner, der bestenfalls mit hoher Fachkenntnis zu entfernen ist.
Werde mal probieren, das ROM vom 55 Platinum zu flashen -- die zwei Modelle sollten abgesehen von der Bildschirmdiagonale technisch gleich sein.

 

[antipadologe]

Wieder was gelernt -- das ROM vom 55 Platinum geht nicht, Bildschirm bleibt schwarz.

Aber egal, auf needrom gibt es ein neues ROM fürs 50c Platinum ... Build 20160506. Hat nur ein kleines Problem BH70I_ServiceProvider.apk (com.android.jservice.provider) hat laut Malwarebytes und Eset eine PUP.Adware.Kemoge Infektion. Archos hat die apk aber schon genau so z.B. mit dem OTA Update fürs 55 Platinum verteilt.

Ich habe die apk sofort deaktiviert und später nach rooten mit der Kingroot.apk weggeworfen. Nachteile sind mir bisher nicht aufgefallen.

Was noch auffällt, es gibt kein Archos Fusion Storage mehr. Ich trauere dem aber nicht nach, hat für mich ohnehin nicht wie erwartet funktioniert.

Fazit: Empfehlung für jeden der wegen Viren oder Brick ein ROM braucht.

 

[antipadologe]

Update zum Post #5:
Achtung, das neue Rom ist auch verseucht -- nicht verwenden!

Die haben die Malware nur besser getarnt. Malwarebytes und Eset finden nichts, aber nach zwei Tagen kamen dann doch lästige Programme an. Die Einstellungen und der Schlüsselbund connecten irgendwelche chinesischen Server.

 

[antipadologe]

Ein Workaround, der bis jetzt für mich funktioniert:
-- rooten mit Kingroot, apk-Variante funktioniert Computer nicht erforderlich
-- Adaway installieren, gibt es nicht im Play Store. Von F-Droid holen.
-- ein paar Domains beim einem Japanischen Provider in Hongkong sperren, siehe Adaway-Export. Die Domain des Providers ist kddi.net.hk kann man vielleicht auch speren.
-- zur Sicherheit noch folgende IPs mit auf die Blacklist:
202.177.13.90
202.177.13.100
[doublepost=1467249336,1467249140][/doublepost]Der Adaway-Export ...
[doublepost=1467251361][/doublepost]Und wer es nur sehen will als Screenshot:

 

[antipadologe]

UPDATE: wenn mein Verdacht stimmen sollte, muß auch noch 202.177.13.101 geblockt werden. Gibt kurioserweise auch keine Whois-Info zu der IP.

 

[antipadologe]

Jepp ... komischerweise blockt Adaway 202.177.13.101 nicht. Als interessierter Laie kann ich das zwar nicht sicher beweisen, aber wenn die IP in den Logs auftaucht schalten auch die Einstellungen auch "Unbekannte Herkunft" um.

 

[antipadologe]

UPDATE: ich lerne dazu, die Hosts-Datei funktioniert nur für echte Domain-Names. Ich habe seit einigen Tagen folgende drei IP-Adressen zu Fuß via iptables geblockt und Ruhe ist:
202.177.13.90
202.177.13.100
202.177.13.101
das wohlgemerkt auf dem ursprünglichen ROM ohne Update. Für das Update gibt es wohl auch folgende Möglichkeit:
[doublepost=1467918590,1467918204][/doublepost]Pup.adware.kemoge and trojan.agent.pg - Malware on Archos phones?
[doublepost=1467919086][/doublepost]Das Problem ist aber bei beiden Methoden, eine für jedermann praktikable Methode zu finden die dann auch noch nach einem Reboot weiter funktioniert. Die wenigen Firewalls, die auch ein blocking von IP-Adressen ermöglichen, funktionierten in meinen Tests nicht. Bleibt wohl nur afwall+ mit custom-scripts ... sehr davon Ahnung hat bitte melden

 

[antipadologe]

Für mich gesicherte Erkenntniss -- drei oben genannte IPs sperren und Ruhe ist.
Daher rooten, Afwall+ (von GooglePlay) installieren.
Dann Custom-Script:

IP6TABLES=/system/bin/ip6tables
IPTABLES=/system/bin/iptables
$IPTABLES -A "afwall" -d 202.177.13.90 -j REJECT
$IPTABLES -A "afwall" -d 202.177.13.100 -j REJECT
$IPTABLES -A "afwall" -d 202.177.13.101 -j REJECT

Vorsicht mit cut&paste aus dem Browser, Zeilenende werden zerschossen.
[doublepost=1468448303,1468447551][/doublepost]So soll es aussehen:
[doublepost=1468448973][/doublepost]Thema damit für mich erledigt. Klar hätte ich auch gerne ein ROM ohne PuP/Adware usw. Noch viel wichtiger wäre für mich ein ROM mit den aktuellen Security-Patches ... das 5.1 von Archos erreicht ja nichtmals die Sicherheit von 5.0 auf Markengeräten vor 1 1/2 Jahren.
Die Firma kommt bei mir auf die "never-buy-again"-Liste. Bei der gebotenen "Qualität" kann ich mir auch gleich ein China-Phone zum halben Preis kaufen.

 

[tiransich]

Danke für die ausführliche Anleitung. Ich hoffe, auch bei mir ist das Problem nun behoben, wenn auch nicht komplett zufrieden stellend.

Ich kann bestätigen, dass bereits die ausgelieferte Einstellungen-App infiziert ist.
Habe gerade mein zweites Smartphone (Austausch in Garantiezeit) und habe extra darauf geachtet, den mitgelieferten Unsinn (Spiele etc.) nicht zu installieren. Nach ziemlich genau 14 Tagen fing der Spuk auch beim neu erhaltenen Modell an, beim vorherigen hat es auch so lange gedauert.

Folgende Symptome waren dann die Installation diverser Apps (unter anderem MyApps / Recents sowie ein Filemanager) und das ungebetene Aufrufen von Werbeseiten im Browser.

 

[mueckenviech]

Danke für diese Anleitung.

Ich habe jetzt seit einer Woche zumindest keine ungebetenen Download mehr. Das Teil ist zwar immer noch sch..... Aber für den Anfang geht es.

Merci.

 

[antipadologe]

@mueckenviech, danke fürs "Danke", und ich freue mich dass meine Posts mindestens einem Menschen geholfen haben )
Ist ja eher keine Anleitung sondern Selbstgespräch/Liveblog über meine Experimente. Ich bin nur so ein Normal-Android-User, allerdings helfen mir gut 15 Jahre Freizeit mit Linux.
[doublepost=1474251343,1474250245][/doublepost]@tiransich, vielen vielen Dank für Dein Feedback.
Bisher war ich unsicher, ob meine ROM-Quelle eventuell doch manipuliert sein könnte und die Verseuchung das System-Update übersteht (Ich habe fast zehn mal geflasht und von Null angefangen).
Immerhin haben wir jetzt mit Deiner Beobachtung den Indizienbeweis komplett. Werde den deutschen Archos-Support mal anmailen ;-p
Kurz noch zum Zeitablauf: dauert nach meiner Beobachtung 1 bis 28 Tage bis zum Kontaktversuch an die steuernden Server. Downloads vorzugsweise morgens gegen zwei Uhr.

 

[mueckenviech]

Moin,

nachdem ich nun ein paar tage ruhe hatte ging es Vorgestern wieder los.
Ich habe aber heute eine interessante Entdeckung gemacht.
Ich habe mir ein neues Phone geholt und die Sim aus dem Archos entfernt. Nun war aber noch meine komplette Musik darauf. Also auf dem Rückweg Archos wieder an um Musik zu hören. Als ich dann zuhause auf Telefon geschaut habe musst ich feststellen das verschiedene Apps wieder installiert waren. Ohne Sim und ohne WLAN:
Folgende Apps wurden installiert.
Daily Ring
Internet Browser
Super File Manager
Super Locker
Superb Cleaner
und dann noch eine
com.whatsapp.messenger.service
Und Whatsapp ist noch einmal normal aufgeführt.

Also Ende vom Lied scheinen die Apps schon auf dem Telefon gespeichert zu sein.

Vielleicht hilft das ja weiter.
Ich bin aus der Archos Nummer raus.
Danke für die mühen.

 

[antipadologe]

@mueckenviech,
Hilft leider eher nicht und stiftet nur Verwirrung .... ich hatte ja die ROMs und das Update unzipped und untersucht, die von Dir genannten Apps sind definitiv nicht drin bzw. müssten schon ausgezeichnet gut versteckt sein. Zumal ich die gar nicht kenne -- Du hattest wohl bereits eine Infektion im fortgeschrittenen Stadium.

Aber oh Wunder kommt ein neues Update rein, 2016-09-21. Eset findet da nichts verdächtiges drin, mit Malwarebytes (geht nicht in die ZIPs rein) könnte ich es noch nicht untersuchen. Kann natürlich auch sein, daß der Trojaner sich hier besser versteckt hat so wie bei dem neueren ROM auf needrom. Wird also noch bis zu einem Monat dauern um was genaues zu sagen.

 

[antipadologe]

OTA 20160921.122227 für 50c Platinum

Arrrgh ... mein Download war noch nicht abgeschlossen und Eset hat es nicht wirklich untersucht. Heute folgendes Scan-Ergebnis:

-- Eset Mobile Security: Agent.PG (Variante) in system/priv-apps/Settings.apk
-- Malwarebytes Antimalware: PuP.Adware.Kemoge in system/app/BH70I_ServiceProvider/BH70I_ServiceProvider.apk

Also Viren-technisch alles beim Alten und mir reicht es jetzt endgültig, Phone geht zurück direkt an Archos Deutschland. Das Geschwafel von Europäischer Qualität ist ja echt lächerlich.

 

[mueckenviech]

@antipadologe
Sorry wollte mit meinem Beitrag niemanden verwirren. War eben nur dass. was ich beobachtet habe.
Bin halt nur ein DAU.

Was mich am meisten ärgert ist, dass ich jetzt hier nen 109€ teuren Briefbeschwerer habe. Verkaufen kannst du das Teil auch nicht wirklich.

Wenn es so ist wie Du schreibst, dass die von Archos ein Update raus geben welches schon infiziert ist, müsste man mal mit einem Anwalt abklären ob sowas nicht den Tatbestand des Betruges erfüllt.

 

[antipadologe]

Kein Problem, mueckenviech!

Bei sei einem Einsteiger-Gerät ist man über jegliche Beteiligung in Foren froh. Inzwischen bestätigen ja unzählige Wertungen im Play-Store (Archos System Update) dass wenigstens einige Archos ROMs verseucht sind. Ich hatte anfangs echt Bedenken meine Erkenntnisse zu veröffentlichen -- ich bin kein Programmierer, und es gibt genug Anwälte die nur darauf warten eine Rufschädigung abmahnen zu können. Dünnes Eis ;-) jetzt weiß ich aber dass ich mit meinen Beobachtungen richtig liege.

PS, die Euros ärgern mich auch, viel ärgerlicher ist aber die entgangene Lebensfreude. Anwalt kannst du vergessen a) wegen der geringen Summe b) mangels Vorsatz: die Programmierer sind selbst Opfer, die können das Rad nicht immer neu erfinden und müssen deshalb Toolkits nutzen. Über ebendiese kommen dann die Trojaner in die Firmware. Übrigens hat schon jemand berichtet er habe wegen den Trojanern sein Archos kurzerhand beim Händler (Saturn) zurückgegeben.

 

[tiransich]

Bei mir gibt es Neuigkeiten

Nachdem es mir gelungen ist, das Firmware-Update zu installieren (vorher muss Fusion Storage deaktiviert werden ->da der Hinweis hierzu nur bei den Kommentaren zur Playstore-Bewertung zufinden ist, hat es die ersten Male nicht funktioniert und ich wollte aufgeben), wird die Settings.apk nicht mehr als Trojaner gefunden. Ich habe Hoffnung, dass das Problem nun endlich behoben ist.

Dafür wurde eine App ungefragt mitinstalliert... Mal sehen, was das schon wieder soll.

Die vorherige Lösung hat leider nur zeitweise funktioniert, weil das Archos aus mir unbekannten Gründen plötzlich nicht mehr gerootet war.