Malware im Rom vom X5 max pro

[elektroschmidt]

Habe mich schön länger gewundert, das mein X5 nicht richtig in den DeepSleep geht.
Mein X5 hat die Romversion vom 29.8.2016 ( von der Needrom Seite ), ist gerootet und hat TWRP.
Konnte trotz BBS und WLD nicht feststellen, warum das X5 nur ein Deepsleep von 50 bis 70 % erreicht.
Habe dann in einen Eintrag bei NeedRom gelesen das das Rom unter /system/app/com.gangyun.beautysnap/com.gangyun.beautysnap.apk Malware hat.
App Malwarebytes hat dieses bestätigt.
Habe mit dem TotalComander die App gelöscht .
Komme jetzt nach 1,5 Stunden standby auf 90% DeepSleep.

 

[N2k1]

Dann installiere mal BeautySnap – Android-Apps auf Google Play (aus dem Playstore) und teste, ob hier auch Malware angezeigt wird.

 

[elektroschmidt]

Die 90 % Deepsleep waren nur ohne Wlan und Mobilfunk. Leider erst zu spät gemerkt.
Mit beiden erreiche ich im Ruhezustand max 75 bis 80 %.

 

[ironsteve666]

@elektroschmidt Hi, wie hast Du es denn gerootet?
Und ab wann nach Kauf, fing es mit der Malware an?

 

[spectral]

Ich kann per Total Commander die app leider nicht löschen. Total Commander hat SuperUser Rechte.

Geht das auch anders? Hab auch son remover tool drauf, aber das findet es nicht.

Handy ist gerooted.

 

[ironsteve666]

@spectral

Mich hat es seit gestern leider auch mit der Malware erwischt! :-(
7 Wochen blieb ich verschont.
Wie hast Du es denn gerootet bekommen? Ich finde die Beschreibung sehr kompliziert.
Welche App löst das denn aus?

 

[spectral]

So einfach ist das nicht mit "welche App löst das aus"... das ganze OS scheint irgendwie infiziert. Im anderen Thread hab ich ein paar Sachen aufgelistet die man defintiv (aber MIT root, sonst geht das eh nicht) deinstallieren sollte, und andere die man mit Firewall verbieten sollte.

Stimme aber zu, fand es am anfang auch etwas kompliziert, hab auch gelesen das Doogee soll so mitunter eines der am schwierigsten zu rootenden Handys sein. Bei vielen kannst wohl angeblch oft nur ein File downloaden und starten und der macht das von alleine.

Ich werd eventuell auch noch ein Tutorial mit Screenshots und so schreiben, mit all dem was ich so zusammengetragen und rausgefunden habe. Hab nämlich dabei relativ viele gemacht. Und die tutorials die ich gefunden habe sind alle OK aber gerade am anfang kennt man sich nicht aus, und würde dann probieren das so einfach und verständlich wie möglich zu schreiben. Vieles musste ich mir nämlich mitunter selbst zusammen reimen (gerade wieso ich was mache)

 

[spectral]

Hab mal (ein hoffentlich verständliches) Tutorial geschrieben:

Tutorial: Doogee X5 MAX PRO – Malware entfernen durch rooten

Habe mir mühe gegeben zu erklären was man da macht und wieso und wofür das alles ist und wohin man die Dateien entpacken sollte und so weiter.

 

[spectral]

Seit der Malware (wie auch schon @founder mal meinte) war der Akkuverbrauch bei meinem Doogee X5 MAX PRO deutlich höher. Ist ja auch logisch, weil ganz viel kram läuft, der eigentlich ja nicht laufen würde, und die Malware ja einfach irgendwelche Apps downloaded.

Ich hab ja das Handy jetzt gerooted, muss aber irgendwie sagen, das mein Akkuvebrauch trotzdem irgendwie immer noch ziemlich hoch ist. Hab mir auch mal sone art Taskmanager fürs Android geholt, kann aber keine unnötigen Sachen erkennen. Und hab ja auch all die Malware entfernt.

Vorher hab ich über Nacht nichtmal 15% Akku verloren, inzwischen sind das über Nacht ca. 30 - 40 % .... Versteh ich ehrlich gesagt nicht ... Und auch so ist gefühlt der Akkuverbrauch unnötig hoch (das war vor dem Malwarebefall DEUTLICH besser)

Die Performance ist auch deutlich schlechter geworden seit del Malware. Ich spiel ab und an so ein blödes Handyspiel, und das lief vorher PERFEKT und ohne Ruckeln. Richtig sauber sogar. Inzwischen ruckelt das eigentlich jedesmal total hart vor sich hin, manchmal fast in richtung Unspielbar.

Ich hatte mal den Verdacht, das das zumindest mit der Performance, an zu wenig Speicherplatz liegen könnte. Aber so richtig kann das eigentlich auch nicht sein. Auf jedenn fall hab ich auch oft kaum noch Speicherplatz drauf. Das nervt total, irgendwie ist auch der Cache ziemlich schnell mit VIELEN Daten voll. Aber auch wenn ordentlich Platz ist, ist die Performance, man könnte fast schon sagen sehr schlecht.

Zu diesem beautysnap ding: Habe gemerkt das ich das gar nicht mehr drauf habe. Nur die Verzeichnisse sind noch da. Und die kann ich nicht löschen. Eventuell war das auch "ein Teil" von der anderen Malware. Bei mir scheint das (leider) also nix damit zu tun zu haben.

 

[founder]

Bei mir sind es 7% in 8 Stunden Nacht.
Ich würde empfehlen "Email" zu löschen.
Da ist ein Bug drinnen, der hat nichts mit Malware sondern nur mit Programmierfehlern zu tun.

Hast Du schon alle Apps laut meiner Liste entfernt
und den Rest mit AF-Wall geblockt?

Installier mal Kernel-Toolkit und Berichte über die CPU Aktivitäten.
Bei mir sind jetzt über 10 Tage seit dem letzen Neustart 43,5% Tiefschlaf.

 

[spectral]

Na 7% ist ja ein sehr deutlicher unterschied. Das hab ich auf jeden Fall nicht

Na hast ja mein tutorial evtl gelesen. Das was ich da alles erwähnt habe, habe ich auch gelöscht bzw in der firewall verboten. Wo kann ich denn deine Liste finden?

HM das mit E-Mail werd ich mal überlegen. Muss aber sagen ich nutzte die APP ganz gerne und muss mich dann wohl mal nach einer alternative umsehen. Was ist das denn für ein Bug den du meinst?

Kernel toolkit werd ich mir auch mal ansehen. Danke.

 

[founder]

Habe davon am 22. Dezember geschrieben.

Als ich im April gerootet habe, hatte ich schon drauf vergessen und bekam das gleiche Problem.
Gibt viele Email Apps, also kein Problem diese zu ersetzen.

 

[spectral]

So hab mal Email runtergeschmissen und TypeApp raufgemacht. Das war die, mein für mein empfinden, beste (kosten- und werbefrei) Mail App die ich nach einigem suchen und lesen so finden konnte.

Bin ich mal gespannt ob das jetzt besser wird. Mein Ersteindruck ist aber gut, mal weitesehen Ich werd berichten!

Danke!

 

[spectral]

So über den Akuuverbrauch bei Nacht kann ich jetzt erstmal noch nix sagen.

Aber ich hab das Handy jetzt schon ca 4 Stunden im Gebrauch inklusive über eine Stunde Musik (!) hören oder so und habe gerade 10-15 % Akku weg. Das ist doch sehr freulich, denn das ist ja tatsächlich nicht so viel.

Das ist auf jeden fall wieder so wie "früher", wenn nicht eventuell sogar noch besser.

Also eventuell ist an der E-Mail App tatsächlich etwas seltsam. Werde das eventuell auch nur in das Tutorial das ich hier geschrieben habe "aufnehmen" ...

 

[ironsteve666]

@spectral Ich werde mir das gleich mal anschauen. Danke schon mal für die Mühe. Ich hatte mein Doogee nach die Malware auftrat zurück geschickt. Man wollte mir ein Cubote Note S dafür schicken. Ratet mal was im Karton war?! Wieder ein Doogee x5 max Pro!
Ich hatte es über Amazon, der Händler ist Deal Wagons ursrprünglich bestellt. So nach dem ich gestern wieder das Doogee bekam habe ich alles wieder installiert. Das Virenprogramm hat die Android Snap Datei erkannt, und erstmal deaktiviert.
Ich denke ich warte erstmal bis es wieder mit der Werbung/Malware los geht. Oder was meint Ihr? Vorher schon rooten?

 

[spectral]

@founder und all: Ja also über Nacht hab ich jetzt 10% Akku verloren oder so. Yippi, ist also alles wieder wie vorher bzw eventuell fast noch besser.

gestern hatte ich schon wieder eine Malwareähnliche Meldung die

"Begin Downloading Township"

eingeblendet hat. Also der wollte offensichtlich schon wieder probieren etwas einfach so zu downloaden. Aber irgendwie hat er das nicht. Hab es also auch NICHT in meiner Appliste gefunden (erfreulicherweise). Vorher hat er ja auch schon immer einfach irgendwas geladen.

ALSO IRGENDWAS scheint immernoch da zu sein, was es zumindest hin und wieder probiert noch was zu Laden. Werbung ist aber Weg und das Laden scheint ja auch nicht zu klappen. Was das jetzt aber noch ist was das macht würd mich schonmal intressieren.


@ironsteve666: HM jo das ist ja nen Ding Ich hatte auch überlegt meins zurückzuschicken aber muss schon sagen: Das Doogee ist (wenn Malware frei und gerooted) für das Geld schon ein sehr sehr gutes Handy.

Glaub das mit dem Virenprogramm wird im endeffekt nicht viel helfen. Ich hatte auch, bevor ich es gerooted habe, diverse solche Programme drauf die hin und wieder auch was gefunden haben, gebracht hat es aber nix. Auch diese China App hatte ich vor dem Ausbruch schon deaktiviert, das hat leider auch nicht den Malwareausbruch verhindert. Das Problem ist einfach, das die Malware fest mit dem OS verknüpft scheint bzw. sich in Systemrelevanten Anwendungen "versteckt" ... Die kriegst du halt nicht weg ohne Root und auch der Eingriff von anderen Programmen, die das verhindern könnte, ist dann ohne root so gut wie nicht möglich ...

Ob du es jetzt schon rooten solltest: Weiss ich nicht, das ist wohl deine Entscheidung. Ich kann nur sagen das NACH dem Malwarebefall mein Handy nicht mehr gut lief und auch der Akkuverbrauch unverhältnismässig hoch war. Schaden kann es wohl nicht den Malwareausbruch direkt zu verhindern. Ist vielleicht sogar besser. Aber auch wenn du es nicht machst: Kannst wohl damit rechnen dasses eh wieder in 6-8 wochen losgeht damit :/ ... und jedesmal umtauschen und neu einrichten ist auch nicht zu empfehlen ...

Ich denk, mit der Erfahrung die ich inzwischen gesammelt habe, würd ich es warscheinlich direkt erstmal rooten und den ganzen Schrott entfernen um von Anfang an meine ruhe zu haben und zu wissen das dann da auch nix mehr kommt. Aber wie ich meinte: Das ist wohl deine Entscheidung.

 

[ironsteve666]

@ spectral Ich warte erstmal noch mit den rooten. Ich fliege in 2,5 Wochen erstmal in den Urlaub, und bis ich wieder komme, hoffe ich auf NO MALWARE! ;-)
Natürlich wäre es totaler Mist, wenn es dann gerade im Urlaub beginnt. Ok, vielleicht könnte ich mich Anfangs noch mit "no root firewall" über Wasser halten.
Ich hoffe Du findest jetzt auch noch die App die bei Dir gestern wohl noch erst etwas runterladen wollte.

 

[founder]

Außer Deaktivieren einiger Apps und "no root firewall" als zusätzliche Maßnahme bei der Firmware 2017-02-17 noch Chrome deaktivieren und Chrome Beta nehmen.

 

[ironsteve666]

@ Founder; ich hab die Firmware 2016-11-02 drauf. Soll ich die auf 2017-02-17 updaten ?
Chrome habe ich derzeit gar nicht drauf. Komisch, oder ?
Danke

 

[founder]

Nein, auf keinen Fall! Die von 2017-02-17 ist viel schlimmer. Lass die alte drauf!
Die 2016-11-02 sollte recht brauchbar sein.