Android BadBox 2.0 - offenbar infiziertes Gerät im Netzwerk

[chico-ist]

Heute kam bei mir eine Mail von Vodafone rein, dass über mein Netzwerk offenbar Verbindungen von Geräten die mit der infizierten Android-FW "BadBox 2.0" stattgefunden haben (siehe Anhang).

Ich dachte erst, es würde sich um Spam/Phishing handeln, aber die Kundennummer stimmt überein und offenbar ist das ganze tatsächlich eine groß angelegte Informationskampagne vom BSI.

https://kundensicherheit.vodafone.de/#bsi_news

Also bin ich dem Link gefolgt und es waren tatsächlich 8 Zugriffe gelistet, alle von gestern (vorher lief das Protokoll wahrscheinlich einfach gar nicht), in Abständen von einigen Minuten (siehe Anhang). Dabei wird immer auf irgendein Login zugegriffen (siehe Screenshot, GET /CLogin?key=........). Der key ist immer unterschiedlich, der genutzte Port auch, Die IP ist immer meine öffentliche IP, mal IPv4, mal IPv6.

Laut Meldung des BSI sind Android-betriebene Smartphones, Smart-TVs, generell IoTs betroffen. Ich habe eigentlich nur kein Gerät in meinem Netzwerk, das auf diese Beschreibung passen würde.

Alles, was eindeutig auf Android läuft, ist mein Epson-Beamer mit AndroidTV. Bei dem ist W-LAN schon seit Jahren abgeschaltet, da alles über den angeschlossenen AppleTV läuft. Der Hisense TV läuft mit deren eigener Software "Vidaa" (offenbar Linux-basiert). Der IKEA DIRIGERA Smarthub läuft wahrscheinlich mit einer proprietären Software. Ansonsten sind nur 2 iPhones, ein Windows-PC und ein Mac im Netzwerk. Die einzige "Unbekannte" ist der Silvercrest (LIDL Eigenmarke) Tuya-kompatible Hub, der meine Smart-Thermometer steuert. Und das ist nur irgendwelche für den deutschen Markt umgelabelte China-Ware, da bin ich mir relativ sicher.

Die Thermostate stammen tatsächlich aus China (Vale TV05), haben aber selber gar kein WLAN oder Netzwerkzugriff, sondern verbinden sich über das Silvercrest Hub. Dieses läuft scheinbar auf Linux, zumindest ist es in der Fritzbox-Übersicht als "tuya-linux" gekennzeichnet. Ich habe jetzt mal sicherheitshalber den Stecker gezogen.

Problem ist nur, dass ich keine Möglichkeit sehe, herauszufinden, ob das Gerät wirklich der Übeltäter gewesen ist. Das BSI hat offenbar zusammen mit den Providern den Zugang dieser Geräte bzw. deren Möglichkeit zu kommunizieren komplett geblockt. Das würde auch erklären, warum seit gestern Mittag kein einziger Zugriff mehr stattfandt.

Trotzdem ist mir natürlich nicht wohl dabei, nicht zu wissen, was vor sich geht bzw. vor sich ging. Also meine Fragen an die Netzwerkexperten: Irgendwelche Ideen?

 

[Luftgucker]

Fritzboxen und Speedports haben einen Packet Capture Treiber installiert. Mit diesem könnte man das Wlan Interface überwachen und mit Wireshark auswerten. Oder halt gleich eine Firewall.

 

[madmax2010]

Wetten auf es ist der tuya bzw der silvercrest hub

Die Teile haben gruselige Firmware und auch wenn die Endgerät selber bspw nur zigbee können, kann man noch immer über den hub routen

Poste mal bitte die volle URL aus dem Screenshot. Keine Lust abzutippen.

Ansonsten halt was @Luftgucker sagt.
Ich würde dem Teil Zugang zu einem Router, der nur DNS durchlässt geben und allen traffic mitschneiden
Ich wette der key in der URL ist base64 oder ähnliches. Den etwas kompletter und kopierbar zu haben kann helfen ihn zu decoden

Hisense und Co sind auch nicht für gute Software bekannt. Fernseher sollten ohnehin kein Internet haben, bei der Pflege die die hersteller da in die Sicherheit stecken

 

[chico-ist]

Habe gerade mal den Paketmitschnitt getestet. Soweit ich das sehe, läuft das ganze nicht autark und wird auf dem internen Speicher der Box abgelegt o.Ä., sprich ich muss das Fenster/Download der .eth laufen lassen. Ich mache das gleich mal und schließe anschließend den Tuya Hub wieder per LAN an die fritzbox an.

@Madmax: Ich weiß natürlich nicht, was in diesem key drinsteht, insofern wäre mir unwohl dabei, das hier mit allen zu teilen. Aber ich schicke dir mal einen per DM, ggf. kannst du daraus ja etwas lesen. ChatGPT konnte mir auch mit denm Hinweis auf base64 jetzt nichts nützliches bereitstellen.

Ich würde dem Teil Zugang zu einem Router, der nur DNS durchlässt geben und allen traffic mitschneiden

Das geht über mein Wissen hinaus.. ich mache es dann mal ganz stumpf und schneide einfach den gesamten Traffic im Heimnetz, so wie oben beschrieben, mit.

Ergänzung (6. Juni 2025)

So.. ich habe jetzt mal 10 min. lang den Traffic mitgeschnitten (fritzbox > Hilfe und Info > FRITZ!Box Support > Paketmitschnitt) und kurz nach Start den Tuya Hub wieder ans LAN angeschlossen. Auch mal währenddessen die Tuya App geöffnet.

Habe hier "1. Internetverbindung" und "3. Internetverbindung" laufen lassen, da ich nicht wusste, welches richtig ist.



Anschließend die .eth-Dateien in .pcap umbenannt und mit Wireshark geöffnet.

Habe nach der Mac-Adresse vom Tuya Hub gefiltert (eth.addr == xx:xx:xx:xx:xx:xx), nach den laut Vodafone-Log genutzten Ports (tcp.port == 59311, 54345, 53330, 55113, 52746, 52406, 51252, 51124) und nach der im Heimnetzwerk genutzten IP-Adresse (ip.addr == 192.168.178.63). Auch dieser Filter hier zeigt kein Ergebnis:

http.request.method == "GET" && http.request.uri contains "CLogin"

Ergebnis: Beide logs zeigen unter den genannten Filtern absolut gar nichts. Null Komma Null.

Mir ist gerade noch eingefallen, dass auch ein Xiaomi Airfryer einmal im Netz hing (aber 100% nicht gestern, auch nicht eingeschaltet). Und auch ein HP-Drucker den ich alle paar Wochen mal nutze und der Internetzugang hat, aber den schließe ich auch erstmal aus.

Ganz abwegig: Bei Internet über Kabelanschluss weiß ich, dass ein Anschluss ja quasi ganze Straßenzüge bzw. Häuser versorgt, statt wie bei normalem DSL jeder seinen eigenen Anschluss hat. So ungefähr jedenfalls, ihr wisst, was ich meine. Ich weiß, dass bei uns im Haus eine Familie ist, die ständig von Temu bestellt und auch Vodafone Kabel nutzt.. wäre es völlig abwegig zu glauben, dass Vodafone den Zugriff gar nicht tatsächlich meinem Anschluss, sondern generell dem Hausanschluss zugewiesen hat..?

 

[madmax2010]

Nach base64 dekodierung gibt's nen Haufen binärdaten
756 byte.
Schaut für mich nach einer block / stream Chiffre aus, die Entropieverteilung deutet auch darauf hin (Shannon Entropie von fast 6.5)
AES-ECB würde ich ausschließen, da 756byte erst mal nicht zur block große passen.
Hardware im iot Umfeld kann meist eher AES-CTR/GCM
Ich habe eben mal die ersten 1-16 byte als xor key genommen, jeweils die Header angesehen und finde nichts mir bekanntes.
Aber ey, kein Plan welches soc die Box hat
Die Keys sind Vermutlich in der Firmware hinterlegt.
Da hilft nur rooten oder löten


Einerseits habe ich Bock das anzugreifen, andererseits steht darin vermutlich deine Geräte ID, ein pubkey und ein 'hallo controll server, gib aufgaben' und das BSI ist garantiert eh schon dran
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Falls noch jemand Lust hat



Und nur um den Seitenhieb zu bringen.
Genau deshalb schützen internet Anbieter einen besser als jede antiviren Software. Straßen-VPN wäre hier schädlich gewesen.

Ergänzung (6. Juni 2025)

dass auch ein Xiaomi Airfryer einmal im Netz hing (aber 100% nicht gestern, auch nicht eingeschaltet). U

Stromlos? Die Dinger sind auch bekannt dafür Mikros zu haben und Kram nach Hause zu schicken

Ergänzung (6. Juni 2025)

Log genutzten Ports (tcp.port == 59311, 54345, 53330, 55113, 52746, 52406, 51252, 51124) u

Die werden randomisiert.
Schaut nach zwischen 50000 und 60000 aus

 

[MindSolve]

Du hast doch geschrieben, dass auch eine IPv6-Adresse genannt wurde, oder? Normalerweise ist diese ja direkt einem Gerät zugewiesen, und nicht wie bei IPv4 deinem Modem, das NAT macht.
Wenn sich die Adresse noch nicht geändert hat (ein Gerät generiert sich üblicherweise alle paar Stunden eine neue), kannst du mit der IPv6-Adresse das Gerät in deinem Heimnetz finden.

 

[chico-ist]

@madmax2010 ich habe evtl. 5% von dem verstanden, was du da geschrieben hast - aber ich danke dir für deine Mühe!

Zum Airfryer: Ja, hängt an einer intelligenten Steckdose, die per Siri an/abgeschaltet wird.

@MindSolve: Interessant. Aber habe bei dem Tuya Hub direkt nach der Mail das LAN-Kabel gezogen und erst später beim Mitschneiden wieder angesteckt. Demnach gehe ich davon aus, dass er dabei auch eine neue IP zugewiesen bekommen hat.

 

[BFF]

Diese smarte Steckdose ist auch ein IoT. @chico-ist

 

[redjack1000]

Demnach gehe ich davon aus, dass er dabei auch eine neue IP zugewiesen bekommen hat.

Das ist möglich, Antwort dazu gibt dir dein DHCP Server.

Cu
redjack

 

[chico-ist]

Diese smarte Steckdose ist auch ein IoT. @chico-ist

Stimmt natürlich. Ebenfalls von IKEA - was nicht heißt, dass es automatisch sicher wäre.

 

[JumpingCat]

Ebenfalls von IKEA - was nicht heißt, dass es automatisch sicher wäre.

Das ist doch alles Zigbee, oder?

Das ist möglich, Antwort dazu gibt dir dein DHCP Server

Wir haben doch einen Netzwerkmitschnitt. Da ist dann auch die MAC vom Absender mit drin. Darüber kann man den Hersteller ermitteln. Interessant wäre aber auch das Ziel wohin die Daten gingen und ob die Ziele die normale Tuya Cloud ist oder irgendeine IP die schon auf bekannten Blocklisten steht.

 

[chico-ist]

@JumpingCat

Ja, alles ZigBee.

Naja, in dem Netzwerkmitschnitt war ja keinerlei Aktivität vom verdächtigten Gerät.

Habe aber gerade nochmal in das Log von Vodafone reingeschaut und da sind einige Einträge hinzugekommen. Problem ist, dass sie zu ganz unterschiedlichen Uhrzeiten passieren. Vielleicht lasse ich heute Abend den Mitschnitt einfach mal ein paar Stunden im Hintergrund laufen und hoffen, dass genau in der Zeit Kommunikation stattfindet.

 

[JumpingCat]

Was steht denn unter Details?

 

[chico-ist]

Wie auch vorher schon, bei HTTP URL: GET /CLogin?key=........) und dann eben ein ellenlanger, willkürlicher/verschlüsselter Key. Ansonsten halt meine öffentliche IP, der genutzte Port, ASN, TCP, das wars.

 

[Wumbaba]

Hallo zusammen,

hat sich bei dir noch Weiteres gezeigt? Habe exakt die gleiche Nachricht von Vodafone bekommen, mit exakt der gleichen unbefriedigenden Aussagekraft. Ich selbst konnte wenigstens mittlerweile feststellen, welches Gerät infiziert ist: der Amazon FireTV-Stick. Ich vermute, dass es dort eine runtergeladene Playersoftware für IP-TV ist, denn die Probleme hab ich, seit ich dort von dieser ein Update runter geladen habe. Wenn ich den Stick vom Fernseher trenne, dann hören die Meldungen von Vodafone auf.

Kann es bei dir auch ein Stick oder Ähnliches sein?

 

[breckofresh]

Hallo,

ich bekomme auch, seit kurzem auch die Meldung von Vodafone.

Anfangs habe ich, nach und nach, potenziell betroffene Geräte vom Netz genommen.

Allerdings ist die Meldung geblieben und viel bleibt nicht mehr über.

Jetzt bin ich hier auf den Thread gestoßen und würde gerne auch über die Fritzbox die Pakete mitschneiden.

Menü-Punkt etc alles gefunden.

Mir ist aber nicht klar, welche Schnittstelle ich mitschneiden sollte.

Wenn ich die Internetverbindung mitschneide, sehe ich keine lokalen IPs. Diese bräuchte ich ja aber um das Gerät identifizieren zu können.

 

[BFF]

Wie das geht steht im Post#4 @breckofresh

 

[breckofresh]

@BFF Danke für den Hinweis.

Den hatte ich aber tatsächlich schon gelesen.

Bei meiner Fritzbox gibt es nur 1. Internetverbindung und das Protokoll dazu, zeigt keine internen IP-Adressen an.

Vielleicht habe ich auch einen Gedankenfehler, aber ich muss doch die Pakete mitschneiden, aus denen ersichtlich wird, welche interne IP mit einen Port zwischen 50000 - 60000 mit dem Netz kommuniziert oder?

Daher meine Frage, welche Schnittstelle die richtige ist

 

[norKoeri]

„1. Internetverbindung […]“ nach der Mac-Adresse vom Tuya Hub gefiltert (eth.addr == xx:xx:xx:xx:xx:xx)

Wie @breckofresh richtig anmerkt, hast Du das WAN mitgeschnitten. Dort siehst Du bei IPv4 keine MAC aus Deinem Heimnetz sondern nur noch die FRITZ!Box selbst. Stattdessen würde ich erstmal „lan“ mitschneiden, das sollte alles im Heimnetz sein, also auch WLAN aber auch der Verkehr Richtung WAN.

Wenn Du dann Datenverkehr siehst, aber die MAC immer noch nicht zuordnen kannst: eth0 sind alle LAN-Schnittstellen. ath0 (oben) ist WLAN, aber nur das 2,4-GHz-Frequenzband. Entsprechend ist ath1 dann nur das 5-GHz-Frequenzband. Du musst „oben“ die Schnittstellen wählen, denn unten die WLAN-Schnittstellen sind im Rohformat, das hilft Dir bei Anderem (Fehler auf Ebene WLAN) aber nicht bei Deiner Suche auf der Ebene IP.

 

[breckofresh]

Ich hab jetzt mal die Lan-Schnittstelle mitgeschnitten und dann nach den Ziel-Adressen, die Vodafone in ihren Meldungen nennt, gesucht.

Dazu taugt dann immer die IP meines Laptops auf.

Kann der durch die "integrierte" Android-Funktion betroffen sein oder ist das völlig ausgeschlossen?