AchtungTrojaner Uupay.D in Firmware eingebaut

[jammin]

Hallo,

aufgrund einer Heise Security Meldung

Vorinstallierte Spionagesoftware auf China-Smartphones - heise online

Habe ich mein aktuelles 4.4.2 auf dem Eelephone P8 mit der G Data Software gescannt und tatsächlich den Trojaner gefunden. G Data erkannte einen infizierten Google Dienst. Er lässt sich nur mit root Rechten entfernen. Ich gehe davon aus, dass auch die 4.2er Version betroffen ist. Vielleicht kann es jmd von euch überprüfen.

 

[thobaki]

In diesem Beitrag habe ich beschrieben wie man den Trojaner entfernen kann:

https://www.android-hilfe.de/showthread.php?p=7711995

 

[blutkatze]

jup, bei mir hab ich aber nur eine (nicht wie genannt 2) uu---.apk gefunden und gelöscht

zwar gibt es einen dataservice, der hat aber kein uu---- im Namen

 

[N2k1]

Stimmt, im Elephone P8 ist eine der genannten Dateien. die uuPlay.apk.
Hier der Virus-Scan-Befund: https://www.virustotal.com/de/file/...facca42a2da4a995703129b8/analysis/1402767223/


Ich habe die Datei mal "decompiliert" und mir alles angesehen.
Wenn man sich die Rechtervergabe ansieht, dann stellt man fest: Mh.. das sind die Rechte, die der Playstore haben will - oder aber auch BlackMarket oder Aptoide.
Also mal alle XML-Dateien angesehen und was ist mein Fazit?
Das Programm macht genau das, was der echte Play-Store macht (nur ohne Kreditkarten, Mail-Anmeldung etc.)
Man kann Programme herunterladen und installieren. Man kann Programme anderen empfehlen. Und man kann Programme hochladen.
Das Ganze kommt auf diesen Server.


So wie ich das sehe, wird nichts automatisch hochgeladen, es wird nicht die Cam oder das Mikrofon gestartet (dazu fehlen die Rechte))
Es wird nicht auf die Daten anderer Apps zugegriffen (dank KitKat fehlen hierzu die Rechte)


Ich behaupte mal ganz kühn: Die Antiviren-Betreiber haben nicht den chinesischen Text übersetzt - und sie haben Recht, es ist nicht im Sinne von Google, da es ein "Alternativ-Market" ist, da die Chinesen oft genug von Google einfach ausgesperrt wurden.


Bei CM oder MIUI muß man die GAPPs nachinstallieren - das kann sich ein chinesischer Verkäufer nicht erlauben - also wird "sowas" eben installiert, wenn der PlayStore gerade mal wieder blockiert...



Nachtrag: Wer sich den Market am PC ansehen will, der klickt einfach hier.

 

[blutkatze]

ich denke, der in der N9500 gefundene ist evtl ein anderer Dienst (da er dort anscheinend auch aus 2 Diensten besteht)

komischerweise hatte ich gestern mal meinen "Honeypot" (sandbox HTTP Server an Port 80 des Routers) gecheckt und Zugriff von 222.84.90.16 (Chinesische IP)

aber kann alles Zufall sein


Anmerkung: seit ich den Dienst entfernt hab hält der Akku seltsamerweise viel länger ....

 

[N2k1]

Ich habe nun nochmal gesucht.
Die App ist also seit mindestens August letzten Jahres bekannt.
Laut Virus-Total ist es genau die von mir gescannte.
Das ist weder ein Virus noch ein Trojaner - es ist maximal eine PUP.

Abhilfe: Einstellungen --> Apps --> bis nach ganz rechts scrollen., App mit Namen Play und chinesischen Zeichen suchen und auf "deaktivieren" gehen (oder eben das system rw mounten und App löschen)

 

[BIOTEC]

Ich hab eben gelesen, das der sich tief ins System eingräbt und problematisch entfernt werden könne!

Ansich sind diese Klone ja klasse, vorallem wegen dem Preis!

 

[N2k1]

Ich hab eben gelesen, das der sich tief ins System eingräbt und problematisch entfernt werden könne!

Das behauptet GData, um die eigene kostenpflichtige App besser zu vermarkten.
Totaler Quatsch!

Über das Programm wurde im August 2013 schon diskutiert --> Hat niemanden interessiert.
Kaspersky hat im März 2014 dazu etwas veröffentlicht --> Hat niemanden interessiert.
GData "findet das Programm zufällig" (wohl weil sie mal bei Kaspersky gelesen haben?!) und schon interessiert man sich in D,A,CH dafür brennend.
Sorry, das ist nur eine nette Verkaufsstrategie!

 

[dothedew]

Ich habe versucht die APP zu deinstallieren, aber sowohl "root app delete" als auch "link2sd" bleiben dabei hängen.
Andere APPs konnte ich immer ohne Probleme deinstallieren.

Jetzt läuft mein Handy total langsam und ich habe plötzlich keine Root-Rechte mehr o.0

 

[N2k1]

Und in der ADB Shell?
adb remount
adb shell
#rm /system/app/uuplay.apk
#exit
(Die # nicht mit eingeben - # = root, $ = normaler User)

 

[dothedew]

Ich kenne mich mit dem ADB kein bisschen aus, muss mich da erstmal einlesen.
Aber da ich jetzt keine Root-Rechte mehr hab wird das ja eh nicht klappen, oder :/ ?

 

[N2k1]

Wenn Du das Boot-Image von mir installiert hast, hast Du in der Shell noch immer Root-Rechte.

 

[dothedew]

Ja, ich habe direkt als ich das Handy bekommen habe deine prerooted Kitkat Rom aufgespielt.
Bis ich eben versucht habe dieses scheiss uuplay zu deinstallieren ging auch alles ohne Probleme.
Ich weiß nicht was diese App bei der deinstallation angestellt hat, aber da mein System jetzt viel langsamer ist werde ich es doch wsl. Eh neu aufspielen müssen (auch wenn ich uuplay auf dem von dir geschilderten Weg los werde)?

Edit: Habe im Carliv ein Backup des Systems aufgespielt und jetzt ist alles wieder beim alten
Die Deinstallation von uupay mittels Link2SD hat jetzt auch geklappt..
Strange das ganze^^

 

[peties]

Hier ein sehr interessanter Link zum Thema:

https://www.securelist.com/en/blog/208213028/Caution_Malware_pre_installed

Scheinbar ist die Software schon länger bekannt. Da hat sich G Data wohl zu früh auf die Schulter geklopft.

Ich bin selbst auch betroffen. Habe ich vor kurzem ein Timmy E82 gekauft. Auch hier sind die Apps vorinstalliert.

 

[Muri85]

Hallo zusammen,

habe ein Star S9500 und ein Star S7189 in Betrieb und bin auch betroffen.

Bisher sind beide Geräte (noch) nicht gerootet. Aktuell habe ich den genannten Dienst (Play mit chinesischen Schriftzeichen) lediglich in den Einstellungen deaktiviert. Vermute aber, dass dies nicht reichen wird?

Also sollte ich die Geräte doch lieber rooten und den "Schädling" per Link2SD entfernen?

Aktuell gibt es ja einige unterschiedliche Meinungen zu dem Thema. Deshalb bin ich etwas ratlos.

 

[N2k1]

1. Ja, die Sache wurde schon im August auf XDA gepostet, dann im März von Kaspersky - und nun von GData.
2. Es ist eher ein BlackMarket als ein Spionage-Programm
3. Weder Mikro noch Cam kann man damit aktivieren (jedenfalls nicht unter KitKat auf dem Elephone P8 / sesonn N9000+)
4. Wenn Ihr eine Firmware zum Installieren per FlashTool habt, kann ich Euch das gern im System entfernen - für das P8 lade ich das heute oder morgen hoch - ohne, daß Ihr das gerät rooten müsstet.
5. Zu dem Link: Leider ist die Auflösung der Bilder zu schlecht, als daß man das übersetzen könnte - ist das gewollt?!
Man bräuchte also jemanden, der das wirklich lesen kann.

 

[N2k1]

Elephone hat reagiert: Attention! Modified android 4.4.2 system for P8 - Anouncement - Elephone forum,Elephone service,P10,P7Mini,P9,P8,P7
Ich habe die Firmware aber nicht getestet!

 

[KDM4379]

Hallo,
Ich habe GT H9500 via EFOX erworben, Andriod Version 4.2.1, Kernel 3.4.5
Build-NR. ALPS.JB2.MP.V1.2. und habe auch den Uupay.D.
Paket-Name : com.uucun4470.android.cms
/system/app/uuairpush.apk

Ich bin Ahnungsloser Andriod Anfänger und war bisher wohl der einzige Windowsphon user. Meine Frage wie bekomme ich den Trojaner Kram los. Welche tools brauche ich zum "rooten" Über Hilfe step by Step bin ich Dankbar.

Danke

 

[N2k1]

Einfachste Variante: Per SPFT das Boot-Image sichern (und das Recovery).
Dann per MTK Droidtools bearbeiten und zurückflashen.
Nun hast Du root -Rrechte in der Shell und Dir stehen alle Türen offen.

Nun adb remount, dann adb shell rm /system/app/uuairpush.apk
Fertig.

 

[KDM4379]

Danke