Android: Wo kommt der Trojaner her?

Smily

███▒▒▒▒▒▒▒
Moderator
Dabei seit
Apr. 2004
Beiträge
22.847
Hi,

ich verstehe es einfach nicht, ud brauche Denkanstöss.

Habe ein Galaxy Tab 2.10 vom Kollegen hier. Es ist mit dem BKA Trojaner infiziert, also es kommt eine Sperrseite, man soll bezahlen bla bla und nix geht mehr.
Tablet in den Sicheren Modus gefahren, nach langem Suchen (bin da auch nicht sofort drauf gekommen) ein "Security Update" gefunden, was auch als Geräteadministrator eingetragen war. Das Ding gelöscht und es ist Ruhe.

Problem also gelöst!

Was mich interessiert, wo kam das Ding her und wie kam es drauf?
Denn das Tablet ist eigentlich nackt!

  • Browserverlauf: Nichts drin, außer ein Link zu http://www.novasol.de, da hat er eine Reise nach Kroatien gebucht. Der Link war in einer Mail, aber ist sauber. Was seltsam ist, denn er sagt, er war auch auf ebay. Löscht der Trojaner vielleicht teilweise den Verlauf?
  • Samung Konto: Nicht vorhanden, er kann keine Apps laden, habs ausprobiert
  • Play Store: Gmail Konto nicht eingetragen, er kann keine Apps laden, habs ausprobiert
  • Downloadordner: Leer
  • Bei Geräte-Sicherheit: Installation von Unbekannte Quellen: Verboten
  • Bei Geräte-Sicherheit: Apps überprüfen: Ja

Durch seine Unwissenheit ist das Gerät doch komplett abgeschottet!

Hat irgendjemand eine Idee, wie es der Trojaner geschafft hat auf das Tablet zu kommen? Oder greifen die Einstellungen in Gerätesicherheit teilweise nicht?


Danke, ich bin ratlos!

Smily

PS: Er und seine Tochter haben "nichts gemacht". Und Spuren verwischen (Verkauf leeren usw.) geht ja nicht, das Tablet war gesperrt.
 
P

pixelfehler1996

Gast
Stagefright 1+2 noch bzw schon von Samsung gepatcht worden? Ich schätze mal nicht...
 

Saphirim

Lt. Junior Grade
Dabei seit
Feb. 2011
Beiträge
342
Hi,

spontan erscheint die Sachlage relativ interessant. Leider kann man nicht nachvollziehen, wann tatsächlich das letzte Mal mit dem Table gesurft wurde. Und es kann bsp gut sein, dass der Trojaner erst nach dem nächsten Boot aktiv wurde. (Dh, in der Zwischenzeit können sehr wohl Verläufe gelöscht worden sein).

Die Tatsache, dass du lediglich eine Seite im Verlauf findest ist verdächtig ;) Ein so leerer Verlauf ist manchmal sogar verdächtiger als ein normal gefüllter oder nicht ;)

Ob es jetzt der Anwender oder der Virus war, wirst du wsl nicht mehr herausfinden.

Zu einer weiteren Möglichkeit:
Auch wenn du keine Apps installierst, lädt das Table ja hin und wieder Updates nach. Samsung ist vor kurzem auch heftig in die Kritik geraten, weil die mitgelieferte Bildschirmtastatur dabei die Update-Pakete nicht auf deren Herkunft prüft. Siehe: http://www.giga.de/smartphones/sams...re-sicherheitsluecke-in-samsung-tastatur-app/

Die Lücke war bekannt und wurde nicht umgehend geschlossen. Es kann daher sein, dass findige Hacker das ausgenutzt haben (Auch wenn es in diesem Fall wirklich Können und Aufwand erfordert) und über das interne Update den Virus ausgeliefert haben. So kann der Trojaner auch direkt an Systemrechte kommen ;) damit läuft die Tastatur nämlich soweit ich weiß. (Was an sich auch schon wieder ein unnötiges Sicherheitsrisiko ist).

Ich will hier keine Verschwörungstheorien fördern. Aber evtl is mehr dran als man denkt ;) und der tatsächliche Ursprung des Trojaners lässt hier ja Spekulationen zu.

Mfg

Saphirim
 

Ltcrusher

Admiral
Dabei seit
März 2004
Beiträge
9.286
Bei Android muß man sich eigentlich schon sehr bemühen, um da einen Trojaner oder Virus zu bekommen. Ich gehe mal genau wie Ultra davon aus, daß da ggf. Freunde von der Tochter was gemacht haben, damit sie das so unbedingt benötigte Tool oder Spiel hat, damit man "mitreden" kann.

Nachdem dann das Kind in den Brunnen gefallen war, klar, schnell alles wieder runter und Einstellungen zurückgestellt, damit ja nicht auffällt.

Am besten du richtest mit deinem Kumpel zusammen ein Google Konto ein, ist doch nicht schwer. Dann zumindest mal den Avast runterziehen, der dann die Apps scannen kann.
 
Zuletzt bearbeitet:

Smily

███▒▒▒▒▒▒▒
Ersteller dieses Themas
Moderator
Dabei seit
Apr. 2004
Beiträge
22.847
Der Verlauf war, dass der Vater mit dem Tablet gesurft hat, und plötzlich war der Bildschirm da. Also nicht direkt nach Installation einer App. Und ohne den Sperrbildschirm ... gibt es eigentlich keinen Grund "Spuren" zu verwischen. Zumal Deinstallation und aus dem Downloadordner entfernt ... so genau kenne ich die Tochter nicht.

Da es kein GooglePlay gibt, kann die App ja nur aus fremder Quelle gekommen sein.

Sehe ich das eigentlich richtig, dass der abgesicherte Modus und der "normale Modus" gleich sind? Ich habe im abgesicherten Modus den Verlauf gecheckt, leer. Habe ihn dann geleert, weil ich gelesen habe, dass kann bei einer schwachen Variante helfen (hat es aber nicht). Aber Verlauf abgesicherter Modus und normaler Modus ist gleich, richtig?

Schon seltsam.

Das Witzige ist, das Selbe war vor ca. 4 Wochen schon einmal^^.

Ansonsten ist das Tablet leer, keine Apps installiert, nicht voll gemüllt, gar nix. Fast schon zu leer, das stimmt!
 
I

IRON67

Gast
Bei Android muß man sich eigentlich schon sehr bemühen, um da einen Trojaner oder Virus zu bekommen.
Ganz im Gegenteil. Android ist nach Windows und den dort laufenden Browsern der größte "Absatzmarkt" für Malware.

Der Verlauf war, dass der Vater mit dem Tablet gesurft hat, und plötzlich war der Bildschirm da. Also nicht direkt nach Installation einer App.
Nur mal so am Rande: Ebenso wie unter Windows gibts auch für Android einen Nachahmer des "echten" BKA-Trojaners namens Browlock, der nur den Browser mittels JavaScript zu sperren versucht, wenn dieser mies konfiguriert ist und sowas zulässt.
 
Zuletzt bearbeitet:

Smily

███▒▒▒▒▒▒▒
Ersteller dieses Themas
Moderator
Dabei seit
Apr. 2004
Beiträge
22.847
Aber einfach so im Drive-By als Administrator registrieren?
 

Smily

███▒▒▒▒▒▒▒
Ersteller dieses Themas
Moderator
Dabei seit
Apr. 2004
Beiträge
22.847
Das perfekte Alter dafür ... 14 glaube ich^^.
 
Top