N9500 - Mit Trojaner ab Werk

Das Entfernen ist kaum ein Problem und geht so:

- Gerät Rooten
- App "Link2sd" installieren
- in der App nach System Apps filtern
- nach 2 Apps suchen die mit "uu... .apk" anfangen (die Namen der Apps lauten anders. Irgendwas mit Google Play Dienst und Data Service. Achtet daher auf den Namen der .apk Datei!!!)
- länger auf den App Eintrag drücken und im erscheinenden Menü auf Deinstallieren "klicken"
- Neu Starten

Danach wird von G Data kein Trojaner mehr gefunden!
 
Im Elephone P8 ist eine der genannten Dateien. die uuPlay.apk.
Hier der Virus-Scan-Befund: https://www.virustotal.com/de/file/...facca42a2da4a995703129b8/analysis/1402767223/


Ich habe die Datei mal "decompiliert" und mir alles angesehen.
Wenn man sich die Rechtervergabe ansieht, dann stellt man fest: Mh.. das sind die Rechte, die der Playstore haben will - oder aber auch BlackMarket oder Aptoide.
Also mal alle XML-Dateien angesehen und was ist mein Fazit?
Das Programm macht genau das, was der echte Play-Store macht (nur ohne Kreditkarten, Mail-Anmeldung etc.)
Man kann Programme herunterladen und installieren. Man kann Programme anderen empfehlen. Und man kann Programme hochladen.
Das Ganze kommt auf diesen Server.


So wie ich das sehe, wird nichts automatisch hochgeladen, es wird nicht die Cam oder das Mikrofon gestartet (dazu fehlen die Rechte))
Es wird nicht auf die Daten anderer Apps zugegriffen (dank KitKat fehlen hierzu die Rechte)


Ich behaupte mal ganz kühn: Die Antiviren-Betreiber haben nicht den chinesischen Text übersetzt - und sie haben Recht, es ist nicht im Sinne von Google, da es ein "Alternativ-Market" ist, da die Chinesen oft genug von Google einfach ausgesperrt wurden.


Bei CM oder MIUI muß man die GAPPs nachinstallieren - das kann sich ein chinesischer Verkäufer nicht erlauben - also wird "sowas" eben installiert, wenn der PlayStore gerade mal wieder blockiert...
 
  • Danke
Reaktionen: Radagast
Hab gerade ein Star S9500 zur Hand und direkt mal geprüft, ob die Datei(en)
sich auch drauf befinden. uuPlay.apk war vorhanden und ist nun gelöscht.
Paranoid wie ich bin habe ich mir direkt alle Verbindungen angeschaut die
das Handy nach außen tätigt. Da sind mir 3 Verbindungen (Eine besonders)
nach China aufgefallen, die von einem Systemdienst ausgehen.

Hier ein paar Screenshots :

http://s29.postimg.org/ah5iyyuvb/Screenshot_2014_06_14_22_06_18.png
http://s29.postimg.org/l599xt4uf/Screenshot_2014_06_14_22_06_54.png
http://s29.postimg.org/dqjy5fiyv/Screenshot_2014_06_14_22_08_05.png

Sollte man sich da Sorgen machen ?

//EDIT :

Wenn ich mir den Akkuverbrauch anschaue sehe ich auch, dass bei Ruhezustand stolze 30% stehen, was so nicht sein sollte, wenn ich mich nicht irre.

//EDIT2 :

Hab mal besage App dekompiliert (apk hieß CDS_INFO.apk) und mir die Manifest.xml angesehen.

http://s10.postimg.org/wwi2xswo9/Manifest.png

Was natürlich direkt auffällt ist die Permission für CAMERA...
Eine App, die nach China verbindet und Kamera-Rechte erhält finde ich schon sehr verdächtig.
Wenn jemand mehr weiß bitte paar Infos hierzu.
 
Zuletzt bearbeitet:
Ab Werk installiert... das muß nicht so gewesen sein.
Mein U658 kam in geöffneter Verpackung mit zwei nachträglich installierten Apps. Ich hatte dann gleich einen Werksreset gemacht.

Vor einigen Monaten konnte man lesen, daß auf einigen Rechnern deutscher Flugreisender Spionagesoftware installiert wurde: Auf Flughäfen wurden demnach Koffer geöffnet und Software installiert... so bleibt fraglich, wer es in diesem Fall war und zu welchem Zweck.
 
Hier ein sehr interessanter Link zum Thema:

https://www.securelist.com/en/blog/2..._pre_installed

Scheinbar ist die Software schon länger bekannt. Da hat sich G Data wohl zu früh auf die Schulter geklopft.

Ich bin selbst auch betroffen. Habe ich vor kurzem ein Timmy E82 gekauft. Auch hier sind die Apps vorinstalliert.
 
Auf meinem Star S7589 ist der Trojaner auch drauf. Habe es gerade geschafft den Trojaner mit ES Datei Explorer im Root Modus zu löschen. Die Dateien heisen "uuairpush.apk" und "uuplay.apk".
 
  • Danke
Reaktionen: jegamo
Moin, auch ich habe auf meinem Star-S9500 die uuplay.apk und die CDS_INFO.apk gefunden - diese haben wohl mit dem vorinst. Playstore zu tun.
Welche Empfehlung könnt Ihr mir den jetzt geben? Soll ich das Gerät rooten, die besagten apk entfernen und dann den Playstore neu installieren - bitte um Ratschläge....
Danke und Gruß

Gesendet von meinem Star-S9500
 
Du musst die uuplay.apk und die uuairpush.apk löschen. Dann reboot und das wars schon. Mit dem Playstore hat der Trojaner nichts zu tun. Er tarnt sich lediglich als Teil davon.
 
Danke für die Info - die uuairpush.apk habe ich nicht, nur die von mir o.g. - also roote ich das Teil und entferne die Beiden - Neustart und fertig - oder muss ich noch etwas beachten?
Und wenn ich schon mal dabei bin - kann ich die vorinst. Wetterapp dann bedenkenlos entfernen?
Danke und Gruß
Jens

Gesendet von meinem 2206_jbla768_f mit der Android-Hilfe.de App
 
Mach am besten danach noch einmal einen Scan um sicher zu gehen, dass auch wirklich alles weg ist. Ansonsten war es das dann. Wetter App kann man normal problemlos löschen. Nur in Einzelfällen geht da was kaputt (habe schon erlebt, dass dann der Launcher nicht mehr ging).
 
OK und Danke - ich habe mir anfangs schon gleich den Zeam-Laucher (braucht nicht so viel Platz und ist schnell) zusätzlich inst. - dürfte dann ja keine Probleme geben...
Gruß Jens

Gesendet von meinem Star-S9500 mit der Android-Hilfe.de App
 
Die CDS_Info.apk solltet Ihr besser nicht löschen - sonst habt Ihr keine Verbindung mehr.
Leider habt Ihr nämlich nicht verstanden, wofür diese Datei da ist.
Sie benötigt auch die genannten Rechte - aber egal.
Zu der oben verlinkten Seite: Ich habe mir mal den Text in den Bildern übersetzen lassen..
Das ist ein "Baukasten" für eine Cloud (Punkt!).

Ihr solltet ohnehin die Sachen erst mal nur deaktivieren (im System unter Apps ganz nach rechts scrollen und die App deaktivieren)

@Rebootix: Wie genau bist Du denn auf dei CDS_info.apk gekommen?
 
  • Danke
Reaktionen: jegamo
Danke für die Aufklärung - dass wäre in die Hose gegangen :eek: aber die uu*** kann/muss doch gelöscht werden, oder habe ich jetzt alles falsch verstanden.. :confused::eek::mad:

Gesendet von meinem 10BPEOH mit der Android-Hilfe.de App
 
Zuletzt bearbeitet:
jegamo schrieb:
aber die uu*** kann/muss doch gelöscht werden, oder habe ich jetzt alles falsch verstanden.. :confused::eek::mad:

Gesendet von meinem 10BPEOH mit der Android-Hilfe.de App

Ja die kannst/solltest du löschen ;)
 
N2k1 schrieb:
Die CDS_Info.apk solltet Ihr besser nicht löschen - sonst habt Ihr keine Verbindung mehr.
Leider habt Ihr nämlich nicht verstanden, wofür diese Datei da ist.
Sie benötigt auch die genannten Rechte - aber egal.
Zu der oben verlinkten Seite: Ich habe mir mal den Text in den Bildern übersetzen lassen..
Das ist ein "Baukasten" für eine Cloud (Punkt!).

Ihr solltet ohnehin die Sachen erst mal nur deaktivieren (im System unter Apps ganz nach rechts scrollen und die App deaktivieren)

@Rebootix: Wie genau bist Du denn auf dei CDS_info.apk gekommen?


Habe eine App runtergeladen mit der ich mir alle Verbindungen nach außen
anzeigen lassen kann. Dort werden die apk's angezeigt die Verbindungen
aufbauen und wenn man einen Eintrag anklickt kommt das Detail Fenster
das auf den Screenshots zu sehen ist. Falls du weißt warum der Dienst
nach China verbindet , klär mich bitte auf, da ich zurzeit nicht weiß
ob ein Trojaner aktiv ist oder nicht. In letzter Zeit kommen ständig
Parsingfehler mitten im Betrieb.
 
N9599T hat auch den Trojaner Uupay.D an Board

Hi Cummunity. Bin neu hier und hab´ mir mit meinem STAR N9599T ebenfalls (unwissentlich) den Trojaner Uupay.D "eingefangen". Frage: ist das Prozedere zum Loswerden das gleiche, wie beim N9500? - oder muß hier evtl. wg. anderer Hardware od. Firmware (Andriod 4.2) anders vorgegangen werden? Wäre Euch echt dankbar um einen Hinweis, wie ich den Trojaner Uupay.D bei meinem N9599T loswerde, da das Teil seit dem G-DATA Artikel nur noch im Schrank liegt.
 
Ist für alle Geräte genau die selbe Prozedur. Im übrigen würde ich nicht zu viel Panik schieben wegen des Trojaners. Der ist ja nun schon seit über einem Jahr im Umlauf, und bisher ist keinem was passiert. Mittlerweile sagen ja auch viele, dass es sich gar nicht um einen richtigen Trojaner handelt, sondern nur um eine Komponente für einen Chinesischen App Store (Google Play ist in China ja gesperrt) der für die Geräte in China zum Einsatz kommt und bei den internationalen Geräten mit PlayStore als Überbleibsel vorhanden ist.
 
Rebootix schrieb:
Habe eine App runtergeladen mit der ich mir alle Verbindungen nach außen
anzeigen lassen kann.

Welche App ist das denn?
Dann kann ich Dir vielleicht mehr sagen.
Wo hast Du es denn gekauft?
Es gibt Geräte, die ein Push-System für Mails haben, welches als überholt gilt, da hier der Provider immer "angefunkt" wurde.
Vielleicht stellt das Gerät ja nur eine Verbindung zu einem dortigen Provider her?!
 
Zuletzt bearbeitet:

Ähnliche Themen

F
  • Famkrech
Antworten
3
Aufrufe
1.214
N2k1
N2k1
R
  • Ronaldinhogaucho
Antworten
1
Aufrufe
1.326
AP756
A
Highwaydesigner
  • Highwaydesigner
Antworten
2
Aufrufe
1.674
Highwaydesigner
Highwaydesigner
Zurück
Oben Unten