Android: Wo kommt der Trojaner her?

[Smily]

Hi,

ich verstehe es einfach nicht, ud brauche Denkanstöss.

Habe ein Galaxy Tab 2.10 vom Kollegen hier. Es ist mit dem BKA Trojaner infiziert, also es kommt eine Sperrseite, man soll bezahlen bla bla und nix geht mehr.
Tablet in den Sicheren Modus gefahren, nach langem Suchen (bin da auch nicht sofort drauf gekommen) ein "Security Update" gefunden, was auch als Geräteadministrator eingetragen war. Das Ding gelöscht und es ist Ruhe.

Problem also gelöst!

Was mich interessiert, wo kam das Ding her und wie kam es drauf?
Denn das Tablet ist eigentlich nackt!

• Browserverlauf: Nichts drin, außer ein Link zu http://www.novasol.de, da hat er eine Reise nach Kroatien gebucht. Der Link war in einer Mail, aber ist sauber. Was seltsam ist, denn er sagt, er war auch auf ebay. Löscht der Trojaner vielleicht teilweise den Verlauf?
• Samung Konto: Nicht vorhanden, er kann keine Apps laden, habs ausprobiert
• Play Store: Gmail Konto nicht eingetragen, er kann keine Apps laden, habs ausprobiert
• Downloadordner: Leer
• Bei Geräte-Sicherheit: Installation von Unbekannte Quellen: Verboten
• Bei Geräte-Sicherheit: Apps überprüfen: Ja

Durch seine Unwissenheit ist das Gerät doch komplett abgeschottet!

Hat irgendjemand eine Idee, wie es der Trojaner geschafft hat auf das Tablet zu kommen? Oder greifen die Einstellungen in Gerätesicherheit teilweise nicht?


Danke, ich bin ratlos!

Smily

PS: Er und seine Tochter haben "nichts gemacht". Und Spuren verwischen (Verkauf leeren usw.) geht ja nicht, das Tablet war gesperrt.

 

[pixelfehler1996]

Stagefright 1+2 noch bzw schon von Samsung gepatcht worden? Ich schätze mal nicht...

 

[U-L-T-R-A]

Er und seine Tochter haben "nichts gemacht"

Natüüüüüürlich

Wäre ja möglich das die Einstellungen anders waren und das Töchterchen oder Dein Bekannter apps aus ner Fremdquelle installiert und danach die Einstellungen geändert haben.

Sonst vll ne Sicherheitslücke im Android?

 

[Saphirim]

Hi,

spontan erscheint die Sachlage relativ interessant. Leider kann man nicht nachvollziehen, wann tatsächlich das letzte Mal mit dem Table gesurft wurde. Und es kann bsp gut sein, dass der Trojaner erst nach dem nächsten Boot aktiv wurde. (Dh, in der Zwischenzeit können sehr wohl Verläufe gelöscht worden sein).

Die Tatsache, dass du lediglich eine Seite im Verlauf findest ist verdächtig Ein so leerer Verlauf ist manchmal sogar verdächtiger als ein normal gefüllter oder nicht

Ob es jetzt der Anwender oder der Virus war, wirst du wsl nicht mehr herausfinden.

Zu einer weiteren Möglichkeit:
Auch wenn du keine Apps installierst, lädt das Table ja hin und wieder Updates nach. Samsung ist vor kurzem auch heftig in die Kritik geraten, weil die mitgelieferte Bildschirmtastatur dabei die Update-Pakete nicht auf deren Herkunft prüft. Siehe: http://www.giga.de/smartphones/sams...re-sicherheitsluecke-in-samsung-tastatur-app/

Die Lücke war bekannt und wurde nicht umgehend geschlossen. Es kann daher sein, dass findige Hacker das ausgenutzt haben (Auch wenn es in diesem Fall wirklich Können und Aufwand erfordert) und über das interne Update den Virus ausgeliefert haben. So kann der Trojaner auch direkt an Systemrechte kommen damit läuft die Tastatur nämlich soweit ich weiß. (Was an sich auch schon wieder ein unnötiges Sicherheitsrisiko ist).

Ich will hier keine Verschwörungstheorien fördern. Aber evtl is mehr dran als man denkt und der tatsächliche Ursprung des Trojaners lässt hier ja Spekulationen zu.

Mfg

Saphirim

 

[Ltcrusher]

Bei Android muß man sich eigentlich schon sehr bemühen, um da einen Trojaner oder Virus zu bekommen. Ich gehe mal genau wie Ultra davon aus, daß da ggf. Freunde von der Tochter was gemacht haben, damit sie das so unbedingt benötigte Tool oder Spiel hat, damit man "mitreden" kann.

Nachdem dann das Kind in den Brunnen gefallen war, klar, schnell alles wieder runter und Einstellungen zurückgestellt, damit ja nicht auffällt.

Am besten du richtest mit deinem Kumpel zusammen ein Google Konto ein, ist doch nicht schwer. Dann zumindest mal den Avast runterziehen, der dann die Apps scannen kann.

 

[Smily]

Der Verlauf war, dass der Vater mit dem Tablet gesurft hat, und plötzlich war der Bildschirm da. Also nicht direkt nach Installation einer App. Und ohne den Sperrbildschirm ... gibt es eigentlich keinen Grund "Spuren" zu verwischen. Zumal Deinstallation und aus dem Downloadordner entfernt ... so genau kenne ich die Tochter nicht.

Da es kein GooglePlay gibt, kann die App ja nur aus fremder Quelle gekommen sein.

Sehe ich das eigentlich richtig, dass der abgesicherte Modus und der "normale Modus" gleich sind? Ich habe im abgesicherten Modus den Verlauf gecheckt, leer. Habe ihn dann geleert, weil ich gelesen habe, dass kann bei einer schwachen Variante helfen (hat es aber nicht). Aber Verlauf abgesicherter Modus und normaler Modus ist gleich, richtig?

Schon seltsam.

Das Witzige ist, das Selbe war vor ca. 4 Wochen schon einmal^^.

Ansonsten ist das Tablet leer, keine Apps installiert, nicht voll gemüllt, gar nix. Fast schon zu leer, das stimmt!

 

[IRON67]

Bei Android muß man sich eigentlich schon sehr bemühen, um da einen Trojaner oder Virus zu bekommen.

Ganz im Gegenteil. Android ist nach Windows und den dort laufenden Browsern der größte "Absatzmarkt" für Malware.

Der Verlauf war, dass der Vater mit dem Tablet gesurft hat, und plötzlich war der Bildschirm da. Also nicht direkt nach Installation einer App.

Nur mal so am Rande: Ebenso wie unter Windows gibts auch für Android einen Nachahmer des "echten" BKA-Trojaners namens Browlock, der nur den Browser mittels JavaScript zu sperren versucht, wenn dieser mies konfiguriert ist und sowas zulässt.

 

[Smily]

Aber einfach so im Drive-By als Administrator registrieren?

 

[Ltcrusher]

Das Witzige ist, das Selbe war vor ca. 4 Wochen schon einmal^^.

Tja, dann wird es wahrscheinlich mal Zeit für ein 6-Augen-Gespräch. Wie alt ist denn die Tochter?

 

[Smily]

Das perfekte Alter dafür ... 14 glaube ich^^.