Android BadBox 2.0 - offenbar infiziertes Gerät im Netzwerk

[norKoeri]

Welches integrierte Android:

a) Nutzt Du ein Google Cromebook? Oder​

b) bist Du Software-Entwickler und nutzt den Android-Emulator? Oder​

c) hast Du noch das „Windows Subsystem for Android“ (WSA)?​

Dazu taugt dann immer die IP meines Laptops auf.

Auch die MAC, also wenn Du unten aufklappst, siehst Du dann die MAC Deines Computers?

 

[chico-ist]

Wie @breckofresh richtig anmerkt, hast Du das WAN mitgeschnitten. Dort siehst Du bei IPv4 keine MAC aus Deinem Heimnetz sondern nur noch die FRITZ!Box selbst. Stattdessen würde ich erstmal „lan“ mitschneiden, das sollte alles im Heimnetz sein, also auch WLAN aber auch der Verkehr Richtung WAN.

Wenn Du dann Datenverkehr siehst, aber die MAC immer noch nicht zuordnen kannst: eth0 sind alle LAN-Schnittstellen. ath0 (oben) ist WLAN, aber nur das 2,4-GHz-Frequenzband. Entsprechend ist ath1 dann nur das 5-GHz-Frequenzband. Du musst „oben“ die Schnittstellen wählen, denn unten die WLAN-Schnittstellen sind im Rohformat, das hilft Dir bei Anderem (Fehler auf Ebene WLAN) aber nicht bei Deiner Suche auf der Ebene IP.

Sorry für die lange Stille, hatte das Thema etwas aus den Augen verloren. Habe aber natürlich kontinuierlich weiter Mails von Vodafone bekommen und in der Zwischenzeit einfach mal das LAN von dem in Verdacht stehenden Tuya-Hub gezogen und geschaut, ob sich was in dem Vodafone-Protokoll ändert.

Das Merkwürdige: Zwar sind seitdem keine Meldungen mehr im Vodafone-Log aufgetaucht, aber: Um 2 Tage zeitversetzt. Ich habe das Kabel am 27.08 gezogen, laut Log wurden gingen aber bis zum 29.08 weiter Reports ein, bis sie anschließend komplett auf 0 gingen. Ich vermute aber mal, dass die Zeitstempel bei den Reports nicht die eigentlichen Zugriffs-Zeitpunkte, sondern nur wann diese Reports ausgegeben wurden, widerspiegeln.

Macht das Sinn? Oder ist es wirklich nur Zufall, dass die Reports aufgehört haben und der Silvercrest Tuya-Hub ist doch nicht der Verursacher? Fun Fact: Der Hub stand in der fritz!box-Übersicht immer mit "Linux" angegeben - offenbar lief dann doch Android drauf.

Nachtrag: 20 min. nachdem ich den Post abgesetzt habe bekomme ich wieder Mail von Vodafone. Siehe da: Laut Protokoll gab es gestern wieder 2 Vorfälle! Obwohl die Tage davor komplett Funkstille war - das erste Mal, nachdem ich den Tuya Hub abgeklemmt hatte.

Heißt wohl also, dass der Tuya-Hub doch nicht das Problem gewesen ist - oder zumindest nicht das alleinige. Das einzige was jetzt noch in Frage käme sind der SmartTV (VIDAA von Hisense, also eigentlich kein Android) oder der Amazon fireTV-Stick. Aber da habe ich nie irgendeine andere App draufgeladen. Habe zwar noch einen Xiaomi Airfryer, das WLAN davon habe ich aber nie eingerichtet.

 

[Engaged]

Android Unterbau ist Linux! 😅

 

[chico-ist]

@Engaged Ja, Linux-Kernel. Und MacOS basiert auf Unix. Aber trotzdem ungewöhnlich "runs on Linux" hinzuschreiben, wenn Android darauf läuft. Verstehst du was ich meine?

 

[breckofresh]

@norKoeri

Antwort c): Ich hatte mal WSA installiert. Heute dann direkt deinstalliert. Reicht das? Oder muss man noch etwas tun?

Ja, die MAC passt mit der vom Laptop überein

 

[Wumbaba]

Habe auch immer noch das Problem. Habe festgestellt, dass es "nur" der Samsung TV ist, nicht eine App davon, denn ich habe den Fernseher zurückgesetzt auf Werkseinstellungen. Da war es eine Weile gut, aber seit einiger Zeit (über ein Update?) bekomme ich wiedert die Nachricht über eine Infizierung. Frage mich mittlerweile, ob Vodafone nicht irgendeinen Fehler da macht. Denn was sie dazu veranlasst eine Infizierung zu melden (als Provider) wird ja technisch nicht genau gesagt.

 

[JumpingCat]

Der Fernseher hat aber keine " Aliexpress Android TV Box mit Maleware" angeschlossen?

 

[Wumbaba]

@JumpingCat Nein, hat er nicht. Ich hatte den FireTV-Stick von Amazon dran. Den hatte ich erst im Verdacht. Durch Ausschlussverfahren aller Geräte (was durch die Verzögerung der 2 Tage durch Vodafone echt nervig ist) habe ich aber den Samsung TV identifizieren können. Den hab ich auf Werkseinstellung zurück gesetzt. Da war es eine Weile gut, nun hab ich wieder das Problem. Das lässt mich drei Möglichkeiten vermuten:

1. Samsung ist der Schuldige.

2. Eine Infizierung durch eine infizierte App auf dem FireTV-Stick hat den Fernseher infiziert.

3. Vodafones Meldungen sind falscher Alarm, ausgelöst durch die Änderung einer neuen Messmethode.

Da ja die Meldungen von Vodafone keinerlei verwertbare Infos geben, warum sie von einer Infizierung ausgehen, kann ich nur weiterhin im Dunkeln tappen und den Fernseher nach Gebrauch vom Stromnetz nehmen. Dann hören auch die Meldungen auf.

Werde mal die Tage den Samsung Kundendienst kontaktieren. Zwar ist der Fernseher außerhalb der Garantie, aber sie sollten eigentlich ein Interesse daran haben, dass man mit ihren Geräten keinen Unfug treiben kann. Es sei denn, sie stecken selbst mit drin.

 

[BFF]

Werde mal die Tage den Samsung Kundendienst kontaktieren. Zwar ist der Fernseher außerhalb der Garantie, aber sie sollten eigentlich ein Interesse daran haben

Das Ergebnis würde mich interessieren.

Ich hatte Samsung vor einiger Zeit mal gefragt zu welchen Adressen ihr Produkt telefoniert. Hab nie eine Antwort erhalten. Am Ende hab ich dem TV damals das Internet entzogen.

 

[JumpingCat]

Werde mal die Tage den Samsung Kundendienst kontaktieren.

Viel Erfolg. Das funktioniert für andere Artikel wie Smartphones und Tablets nicht mal ansatzweise. Die verstehen nicht mal simple Fragen nach Zubehör und Antworten in einer Endlosschleife immer wieder falsch,

2. Eine Infizierung durch eine infizierte App auf dem FireTV-Stick hat den Fernseher infiziert.

Wie soll das technich funktionieren?

Aber der FireTV - Das ist ein aktuelles Modell mit Sicherheitsupdates und du hast da nicht selbst per Sideloading was drauf gebracht?

3. Vodafones Meldungen sind falscher Alarm, ausgelöst durch die Änderung einer neuen Messmethode.

Na das BSI guckt schon wer Daten zu einem Botnet schickt. Da wird kein Gerät per random Traffik hin erzeugen.

1. Samsung ist der Schuldige.

Liefer mal ein paar Details. Das ist ein aktuelles Gerät mit allen Sicherheitsupdates sowie aktuellem Android so das sich dort keine Maleware einnisten kann?

 

[Wumbaba]

Wie soll das technich funktionieren?

Aber der FireTV - Das ist ein aktuelles Modell mit Sicherheitsupdates und du hast da nicht selbst per Sideloading was drauf gebracht?

Ja, ich habe zwei Player-Apps installiert, die nicht im Store waren, weil es diese dort nicht gibt, bzw. die es dort gibt, für mich zu unkomfortabel waren in der Bedienung.

Viel Erfolg. Das funktioniert für andere Artikel wie Smartphones und Tablets nicht mal ansatzweise. Die verstehen nicht mal simple Fragen nach Zubehör und Antworten in einer Endlosschleife immer wieder falsch,

Ich persönlich habe bislang mit dem Samsung-Kundendienst immer sehr gute Erfahrung gemacht. Kurze Wartezeiten in der Schleife und sehr hilfsbereite Menschen. Ist sogar der einzige Kundendienst, den ich empfehlen würde. Einmal haben sie mir bei meinem Handy nach einem fehlerhaften Update geholfen. Und das andere Mal haben sie nach einem Fernseher-Neukauf (der, um den es hier geht) die Platine ausgetauscht, obwohl sich der Fehler beim Vorführen (wie so oft) gar nicht mehr gezeigt hat. Dazu sind sie kostenlos zu mir nach Hause gekommen. Also ich kann da nur Gutes berichten.

Liefer mal ein paar Details. Das ist ein aktuelles Gerät mit allen Sicherheitsupdates sowie aktuellem Android so das sich dort keine Maleware einnisten kann?

Der TV ist schon ein paar Jahre alt (Samsung UE43RU7179U), wird aber immer (automatisch) upgedatet. Hat als Betriebssystem aber Tizen, was ein Linux-basiertes Betriebssystem ist. BadBox soll ja Android -Geräte treffen. Bei mir ist es aber definitiv der Fernseher. Denn dieser "funkt" auch, wenn der Fire-TV-Stick abgezogen ist. Und die Meldungen von Vodafone hören erst auf, wenn der TV (ohne Stick!) vom Stromnetz getrennt wird.