Vorinstallierte Android/Joker Malware auf dem Mi 10T Pro?

[RassoRAMP]

Hallo liebe Android-Community!

Seit kurzem bin auch ich stolzer Besitzer eines Xiaomi Mi 10 Pro´s. Allerdings währte die Freude nur Kurz, denn ich habe flogendes Problem, welches mich ein wenig verzweifeln lässt:

Nachdem ich mein Handy eingerichtet habe (Einrichtung Benutzerkonten, Installation gängiger Apps aus dem PlayStore), habe ich zu guter letzt Mcafee Mobile Security installiert und direkt im Anschluss einen Anti-Malware-Scan durchgeführt. Leider hat der Scan festegellt, dass sich auf meinem Handy - warum auch immer - eine Malware (siehe angehängte Bilder) mit dem Bedrohungsnamen "Android/Joker.DW!ML" befindet.

Ich kann mir tatsächlich nicht erklären, wie diese Malware auf mein Handy gelangt ist da ich die Apps, die ich mir aus dem PlayStore heruntergeladen habe seit Jahren nutze und noch nie Probleme hatte. Außerdem sind die Apps, die ich nutze allesamt solche, die durch den PlayStore verifiziert wurden.

Nun kommt jedoch das Kurriose: Mcafee hat die Mailware zwar gefunden, jedoch konnte diese weder "isoliert", noch gelöscht werden. Ich habe daraufhin weitere Security Apps (Kaspersky Mobile Security, Eset Mobile Security und Norton Mobile Security) in der Hoffnung installiert, dass eine der genannten Security Apps vielleicht in der Lage ist, die Malware zu löschen. Aber: Weder Kaspersky, noch Eset noch Norton hat die Mailware überhaupt gefunden! Also habe ich anschließend wieder einen System-Scan mit Mcafee gemacht und wie sollte es auch anders sein, die Malware ist leider noch vorhanden.

Nachdem mich das Ganze nun etwas stutzig gemacht hat, habe ich natürlich sofort die Mcafee Community durchstöbert und tatsächlich jemanden gefunden, der das Gleiche Problem in der gleichen Konstellation (Gleiches Handy, Mcafee Mobile Security und gleicher Malware-Typ) hat. Natürlich hatte ich sowohl den betreffenden User, als auch den Mcafee Support kontaktiert, jedoch bisher keine Antwort zur gennannten Problematik erhalten).

Ich bin nun dahingehend etwas verzweifelt da es sich mir nicht erschließt, warum Mcafee Mobile Security die genannte Mailware gefunen hat aber die weiteren Big Player in der Branche wie Kasperksy, Eset und Norton nicht.

Nun stellen sich für mich folgende Fragen:

War bei dem Xiaomi MI 10T Pro bereits im Auslieferungszustand eine Bloatware oder diverse Xiaomi-Apps installiert, wovon eine durch Mcafee Security fälschlicherweise nur als Malware identifiziert wurde?

Scant Mcafee das System etwa gründlicher als oben genannte Referenz-Security-Apps?

Sollte sich die Mailware beim nachträglichen Herunterladen gängiger Apps tatsächlich auf meinem System eingschlichen haben, WIE bekomme ich diese wieder weg?

Der User aus dem Mcafee-Forum, der vor der selben Problematik steht/stand, hatte laut seinen Angaben sogar einen Factory Reset bei seinem Handy durchgeführt, anschließend umgehend Mcafee Mobile Security insalliert und einen System-Scan durchgeführt. Das Ergebnis war leider ernüchternd, denn die Malware war laut dem Mcafee Scan immer noch vorhanden. Daher würde ich von einem Factory Reset erstmal absehen. Hier der Link zu dem genannten Thread in der Mcafee Community: https://community.mcafee.com/t5/Mob...emove-a-Android-Joker-DW-ML-Virus/td-p/673673

Anbei noch eine Info und Auflistung meiner aus dem PlayStore heruntergeladen und verwendeten Apps:

Mi Fit, Renpho, Yazio, Instagram, Opera, VPN-Tile, iVMS-4500, ING Banking, Mcafee True Key, Speedtest, Norton VPN Security, Whats App, VLC, Synology DS file, Outlook, MIUI Mail, Mcafee Internet Security, Facebook

Anmerkung: Diese Apps nutze ich bereits seit Jahren in Konstellation mit Mcafee Internet Security, jedoch hatte ich bei meinen Vorgänger-Handys (Huawei, Samsung) nie Probleme bezüglich Malware etc.

Einen großen Dank schon mal an diejenigen, die die Mühe aufwenden um das hier zu lesen. Ich hoffe, dass mir der ein oder andere von euch vielleicht weiterhelfen kann!

Grüße, Marco

 

[Raz3r]

Hallo @RassoRAMP,

die ursprüngliche Joker-Malware macht, vereinfacht ausgedrückt, folgendes:
Sie meldet Dich bei kostenpflichtigen Abo-Diensten an, sodass Dir unwissend Guthaben abgebucht wird.

Dass Du sie nicht deinstallieren kannst, liegt vermutlich daran, dass Du sie versehentlich als Geräteadministrator eingerichtet hast. Hast Du folgende Apps installiert?

• All Good PDF Scanner
• Mint Leaf Message-Your Private Message
• Unique Keyboard - Fancy Fonts & Free Emoticons
• Tangram App Lock
• Direct Messenger
• Private SMS
• One Sentence Translator - Multifunctional Translator
• Style Photo Collage
• Meticulous Scanner
• Desire Translate
• Talent Photo Editor - Blur focus
• Care Message
• Part Message
• Paper Doc Scanner
• Blue Scanner
• Hummingbird PDF Converter - Photo to PDF
• Powerful Cleaner
• Take Your Story

Diese (die Liste ist aber nicht abschließend) bringen die Malware mit und sollten deinstalliert werden. Wenn Du das getan hast, kannst Du Dein Gerät noch einmal scannen.

Wichtig ist, dass Du Deine Handyrechnung und die Zahlungsmethode im PlayStore auf unberechtigte Verfügungen checkst.

Hast Du Apps außerhalb des PlayStores installiert? Normalerweise sollten zwischenzeitlich keine mit Joker infizierten Apps im Store zu finden sein.

Wenn Du ganz sicher gehen willst, solltest Du Dein Smartphone auf Werkseinstellungen zurücksetzen und neu einrichten.

 

[mblaster4711]

Das ist eine vorinstallierte App von Xiaomi und gehört zu dem Bollwerk an Bloatware, welche du kostenlos mit jedem Smartphone mit MIUI erhältst. MIUI ist extrem gegenüber Android „optimiert“, dass sogar Werbung integriert ist.

Bei „deiner“ App ist wohl die Chinesische BILD-Zeitung 好看视频_海量高清短视频APP hinzugekommen.

Ich persönlich hatte nach 4 Wochen MIUI die Schnauze voll von einem Android mit unzähligen „Optimierungen“ die Apps killen und ständig dein Speicher und RAM aufräumen wollen. Selbst nach deaktivieren der MIUI-Optimierung und einem gründlichen De-Bloat [Anleitung] deinstallieren von System Apps (Bloatware) ohne root (OMG was ist da alles vorinstalliert ) war mir dieses MIUI immer noch nicht geheuer.

Schau dir den verlinkten Thread zum Thema Systemapp deinstallieren genauer an, damit bekommst du den ziyou-Mist und anderen von deinem Schaumi

 

[Observer]

Das liest sich nicht gut☹.

Was mich stutzig macht:
a) hat @Raz3r Recht und es sind die von ihm genannten "Helferlein" installiert - dann ist die Auflistung vom TS unvollständig bzw. er übersieht bisher etwas > kann er selbst nun leicht prüfen und ändern
b) wenn dieser Joker gefährlich ist, warum finden ihn die anderen, ebenfalls leistungsfähigen Scanner nicht? Zumal
c) MIUI offensichtlich schon seit längerem einiges an "Ungefragtem" mit bringt (Post Nummer 3) und es daher für andere auch auffindbar sein sollte

 

[Raz3r]

@Observer
Im Idealfall hat @mblaster4711 Recht und ich unrecht. Joker ist eine fiese Geschichte und somit wäre hier ein False-Positive für den TE sicher wünschenswert. Deshalb auch meine Frage nach außerhalb des PlayStores installierten Apps. Ich meine gelesen zu haben, dass Google Joker innerhalb des PlayStores im Griff hat. Und dass MIUI, mal von ihrer eigenen Bloat- und Adware abgesehen, Derartiges mitliefert, wäre mir nicht bekannt. Ich denke auch, wir hätten hier im Forum auch bereits mehr davon gelesen.

Die AntivirenApps für Android sind leider relativ nutzlos, da sie, um wirklich effektiv funktionieren zu können, zu wenig Rechte im System haben. Sie können quasi nur sich selbst effizient überwachen, da sie außerhalb ihrer eigenen Sandbox nicht operieren können. Somit erkennen diese Apps "echte Schädlinge" die unter Umständen unbekannte oder ungepatchte Sicherheitslücken ausnutzen, meistens überhaupt nicht.

 

[RassoRAMP]

Hallo zusammen!

Viel Dank für die raschen Antworten!

@Raz3r Ich kann ausschließen, dass ich aus Versehen eine der von dir genannten Apps installierte habe - explizit nicht als Geräteadministrator. Das Zürcksetzen via laden der Werkseinstellungen wollte ich eigentlich vermeiden um nicht wieder alles konfigurieren zu müssen. Desweitern soll dieses Prozedere scheinbar keine Abhilfe schaffen ( https://community.mcafee.com/t5/Mob...emove-a-Android-Joker-DW-ML-Virus/td-p/673673 ), da ein Foren-User - wie oben von mir beschrieben - das gleiche Problem hat/hatte. Außerhalb des PlayStores habe ich keine "Apk-App-Datei" manuell per Funktion "Installation von externen Quellen zulassen" vorgenommen. Auf meinem Xiaomi Mi 10t Pro befinden sich exakt die gleichen Apps, wie auf meinem Vorgänger-Smartphone (Samsung Galaxy S20). Lasse ich hier einen Scan durch Mcafee durchführen, ist alles in Ordnung.

@mblaster4711 Sollte die von Mcafee erkannte Joker Malware auf eine von Xiaomi vorinstallierte App oder Anwendung zurückzuführen sein, wäre das nicht weniger schlimm, jedoch müsste ich mir weniger Gedanken machen, dass ich beispielsweise durch diese Malware einen finanziellen Schaden erleide.

Die Frage, die ich mir stelle ist dann tatsächlich jene, warum NUR Mcafee diese Malware erkennt und Kaspersky, Norton und ESET nicht. Bzw. erkennen die genannten Security-Apps die Malware vielleicht sogar, stufen diese aber als "unbedenklich" ein und schlagen deswegen keinen Alarm?

Mcafee erkennt die Malware sogar mit der kostenlosen Version insofern wäre es mal interessant, wenn sich die Situation durch einen User nachstellen liese, indem er auf seinem Xiaomi mi 10t Pro Mcafee testweise installiert, einen Systemscan hierdruch vornehmen lässt und von seinem Resultat bericht. (In der Hoffnung, dass die Mailware tatsächlich in einer vorinstallierten Xiaomi Standard-Anwendung integriert ist)

 

[Observer]

Danke, hier lernt man wieder mal dazu!! (Leider zur Zeit auf Kosten/Erfahrung eines Users, das ist schlecht ☹)


Dennoch eine Frage zu

. . .
Die AntivirenApps für Android sind leider relativ nutzlos, da sie, um wirklich effektiv funktionieren zu können, zu wenig Rechte im System haben. Sie können quasi nur sich selbst effizient überwachen, da sie außerhalb ihrer eigenen Sandbox nicht operieren können. Somit erkennen diese Apps "echte Schädlinge" die unter Umständen unbekannte oder ungepatchte Sicherheitslücken ausnutzen, meistens überhaupt nicht.

Wieso findet McAfee etwas und die anderen nicht? Würde bedeuten, dass McAfee mehr Rechte sich genehmigt bzw. (wie auch immer) eingeräumt bekommt? Oder ist einfach ihre Signaturendatenbank (heisst doch so, oder?) umfangreicher?


Wäre toll, wenn die Bitte vom TS erfüllt wird, denn dann hätte man etwas mehr Abgleichsmaterial.

 

[Kokus2109]

Bei mir genau das gleiche.
McAfee findet genau die gleiche Bedrohung auf meinem Mi 10t Pro. Bitdefender findet nichts.

 

[netsrac67]

Hilft zwar nur bedingt, aber auf dem 10T lite wird nichts gefunden.

 

[hmm...egal]

Bei mir genau das gleiche.

Hast du deins auch von der 397,- Telekom Aktion?

 

[Kokus2109]

@hmm...egal
Ja. Habe auch schon überlegt ob es an der Version 12.0.11 liegt.

 

[mblaster4711]

Installiert euch die Xiaomi ADB/Fastboot Tools und schaut ob ihr diese App löschen könnt, damit wäre die Bedrohung aus der Welt.

 

[hmm...egal]

@hmm...egal
Ja. Habe auch schon überlegt ob es an der Version 12.0.11 liegt.

Genau darauf wollte ich hinaus.

Jetzt müssten noch Leute den Test durchlaufen lassen, die nicht bei der Telekom gekauft bzw bei denen kein 12.0.11 beim Kauf drauf war.

 

[RassoRAMP]

Hallo nochmal!

Nachdem ich nun all euer Feedback gelesen habe denke ich, dass es sich bei der genannten Joker/Malware wohl tatächlich um ein Xiaomi-"Mitbringsel" handelt, welches bereits im Auslieferungszustand im System enthalten ist, sowie es @mblaster4711 schon vermutet hatte. Sollte dem so sein, ist das tatsächlich eine bodenlose Frechheit von Xiaomi! Ich möchte damit nicht sagen, dass andere Hersteller wie Samsung etc. diesbezüglich "besser" sind, jedoch musste ich mich bei anderen Herstellern nicht mit derartigen Dingen beschäftigen.

Interessant ist nun noch zu wissen, ob diese Malware erst in der Version 12.0.11 auftaucht und warum eben Mcafee diese erkennt und andere Security-Apps nicht?

Edit: Ich habe den Rat von @mblaster4711 befolgt und wollte die schadhafte apk.-Datei mittels des Xiaomi ADB/Fastboot Tools löschen, jedoch stehe ich hier leider auch vor einer Barriere. Ich habe im File-Explorer die Datei gefunden, diese markiert und wollte diese anschließend per Delete-Button löschen, jedoch weigert sich das Xiaomi ADB/Fastboot Tool die apk.-Datei zu löschen. Der Delete-Befehl wird zwar mit "Done!" bestätigt (siehe Bild Anhang), jedoch befindet sich die schadhafte Malware weiterhin im System.

Ich hatte mein Smartphone nach dem Delete-Befehl neu gestartet und gleiches nochmal mit aktiver OEM-Entsperrung versucht. Leider ohne Erfolg. Scheinbar ist diese Art Malware sehr hartnäckig...

Aber vielleicht gibt es auch hier eine Hintertür, um diese Malware/Joker-apk.-Datei endlich zu entfernen?

Für weitere Feedbacks bin ich weiterhin sehr dankbar!

 

[Raz3r]

@RassoRAMP
Ich würde noch nicht einmal sagen, dass es sich gesichert um die Joker-Malware handelt. Es wäre durchaus möglich, dass McAffee die Schädlichkeit anhand des Paketnamens und nicht anhand anderer Parameter ermittelt. Dann würde jede App, welche im Paketnamen wie hier zB. "ziyou.haokan" enthält, als Malware deklariert.

Ich will damit keineswegs sagen, dass die Meldung falsch ist. Ich will nur sagen, dass es nicht klar ist, ob hier tatsächlich die Joker-Malware installiert ist oder eben eine andere App mit zum Teil gleicher Bezeichnung.

 

[Slayer77]

Ich persönlich hatte nach 4 Wochen MIUI die Schnauze voll von einem Android mit unzähligen „Optimierungen“ die Apps killen und ständig dein Speicher und RAM aufräumen wollen. Selbst nach deaktivieren der MIUI-Optimierung und einem gründlichen De-Bloat [Anleitung] deinstallieren von System Apps (Bloatware) ohne root (OMG was ist da alles vorinstalliert ) war mir dieses MIUI immer noch nicht geheuer.

Das ist übrigens auch mein größtes Ärgernis mit MIUI. Dieses aggressive Ram Management ist extremst übertrieben. Hatte vorher das Poco F2 Pro und spielt halt einfach keine Rolle ob man bei Xiaomi 6,8 oder 12GB Ram hat. Nach ein paar Stunden fliegt das meiste wieder raus. Das Mi10T Pro wird auch mein letztes Xiaomi sein.

 

[mblaster4711]

Nach ein paar Stunden fliegt das meiste wieder raus

Bei meinem RN7 hat das deaktivieren der „MIUI Optimierung“ in den Entwickleroptionen, dabei geholfen, dass sich diese MIUI wie ein normales Android verhalten hat und die Apps im Speicher blieben. Aber Xiaomi bekommt auch den Bug nicht unter Kontrolle, dass WLAN und BT sich beeinflussen

 

[hmm...egal]

Das Mi10T Pro wird auch mein letztes Xiaomi sein.

Das habe ich beim Mi Note 10 auch gesagt, aber bei den vielen Geräten und Angeboten die Xiaomi raushaut, kommt man irgendwie nicht drum rum. Aber eins steht für mich fest, kein Mittelklasse Xiaomi mehr als Hauptgerät.

, dass WLAN und BT sich beeinflussen

Ganz kurz, was passiert denn bei diesen Bug?

 

[Raz3r]

Hallo zusammen,

wenn über das Threadthema hinaus Redebedarf zu anderen Aspekten besteht, können hierfür gerne die bestehenden Threads genutzt oder natürlich auch neue eröffnet werden. Hier nun bitte zurück zum Thema.

Danke und Grüße
Raz3r

 

[RassoRAMP]

Erst mal Danke an alle, die sich mit dem Threadthema auseinandergesetzt haben.

Wenn dem so ist, dass diese "Malware" evtl. gar keine ist und Mcafee diese vielleicht nur als solche interpretiert, kann ich erstmal damit leben. Es scheint sich ja bestätigt zu haben, dass bei mehreren (ich vermute mal dann allen) Xiaomi Mi 10T Pro´s mit der MIUI-Version 12.0.11, die apk mit der Bezeichnung "partner-com.ziyou.haokan_107.apk" vorinstalliert ist, auch wenn keiner so recht weiß wofür die eigentlich da ist oder was diese bezwecken soll. Von da her habe ich hierzu erstmal keine Fragen mehr.

Grüße, Marco