robur

Trotzt Emsisoft&Co seltsame Malware gefangen, Tablet wahrscheinlich Schrott

Recommended Posts

Hallo, liebe Entwickler,

für die Studienreise nach Seoul habe ich meiner Tochter ein YUNTAB gekauft und eingerichtet, zwischen anderen mit Emsisoft Mobile Security. Außerdem war auf dem Tablet CleanMaster installiert, der auch die Malwareschutz Funktion beinhaltet.

Vor Ort in Seoul hat meine Tochter das Tablet fast ausschließlich für die Mailabfrage (mit GMX-App) und Kommunikationsinfos für die Stadt benutzt, immer über überall vorhandene Hotspots (Südkorea behauptet über das schnellste Internet der Welt zu verfügen).

Nach ca. zwei Wochen hat sie mir von Problemen mit dem Tablet gemailt, nach jedem Start wird es immer eine Malware gemeldet, die sie deinstallieren muss, diese kommt aber immer wieder.

Nach der Rückkehr habe ich das Tablet eingeschaltet und folgendes gesehen:

Der Start erfolgte mit aktiviertem WLAN. Sofort nach dem ich versucht habe zu irgendeiner App zu zugreifen, meldeten sofort sowohl Emsisoft Mobile Security als auch der CleanMaster eine gefährliche Malware -Trojaner „MediaService“ mit Android-Logo und verlangten sofortige Deinstallation der Malware. Nachdem ich das gemacht habe und ließ das Tablet scannen, fanden die keine Malware mehr. Nach dem Neustart passierte aber der gleiche Zirkus, also die Malware war wieder da!

Des Weiteren habe ich erfahren, dass möglicher Weise die deinstallierte Malware immer wieder vom Internet nachinstalliert werden könnte, weil beim deaktivierten WLAN wurde die weder von Emsisoft noch vom CleanMaster gemeldet. Dafür kann aber auch die spezifische Arbeit beider Schtzprogramme zuständig sein, die ohne Internetverbindung keine solche Meldungen erzeugen. Übrigens, auch MalwareBytes Mobile, das ich vorläufig installierte, reagierte genauso auf diese Malware.

Ich habe das Gerät gerootet und Titanium Backup Pro und auch SystemAppEntferner installiert.

Zuerst startete ich dann das Gerät, übliche Malware-Deinstallation Aufforderungen von Emsisoft Mobile und CleanMaster ignoriert, und ein vollständiges Systembackup auf der externen Karte gemacht.

Danach habe ich sowohl mit Titanium als auch mit SystemAppEntferner nach "MediaService" gesucht. Beide Programme fanden es in Systemapps.

Also, zuerst angeblich „erfolgreich" mit Titanium gelöscht und das Tablet neugestartet

Die Malware wurde wieder von beiden Schutzprogrammen gemeldet, als ob die nicht deinstalliert wurde.

Also, diesmal mit SystemAppEntferner nach MediaService gesucht: Überraschend hat sich diesmal die App in den User-Apps angeniestet !

Diesmal mit SystemAppEntferner (kann auch die User-Apps löschen) deinstalliert, Tablet neugestartet, Malwer wieder da !

Diese Prozeduren habe ich mehrfach, ohne Erfolg durchgeführt.

Besonders seltsam war die „Wanderei“ der Malware-App, die sich einmal im Sytem- und dann in User-Apps wechselweise annistete.

Also, dass die Deinstallation der Malware-App unmöglich schien, habe ich das Gerät mit dem „Hardreset“ in den ursprünglichen Zustand zurückgesetzt.

Leider, scheint es das die Malware die Systemapp „Einstellungen“ beschädigt hat, so dass Einstellungen permanent beim Menüpunkt „Languages&Input“ abstürzen.

Es scheint, dass das Tablet zum Schrott geworden ist, es sei den finde ich irgendwo eine Firmware, die ich von SD, über ADB oder mit MKT-Flaschtool (das musste eine Scatter-File sein) flashen könnte. Dies scheint es aber für China-Produkte fast unmöglich zu sein.

Zu der Malware: Von allen drei Programmen (Emsisoft, CleanMaster und MBAM) wurde die als Trojaner, MediaService-Android-App (Logo!) erkannt.

Jetzt nach dem Hardreset ist bei mir die Malware weg, das einzige, was ich vom alten Zustand habe wäre das Systembackup. Dort kann ich aber nichts mit Bezeichnung „MediaService“ finden.

Meine Frage:

Wie könnten alle drei Schutzprogramme das Annisten dieser Malware erlauben und diese erst bei einer Aktivität gemeldet haben?

Grüße - robur

P.S. Anbei die Speziffikation des Tablets

 

tabletdata.pdf

Share this post


Link to post
Share on other sites

Guten Tag,

 

könnten Sie mir eventuell einen Screenshot der erkannten App zukommen lassen? Leider ist es bei den chinesischen Herstellern häufig so, dass die Tablets mit vorinstallierten "potenziell unerwünschten Programmen" kommen, die sich auch nicht deinstallieren lassen. Ich vermute dass das auch hier der Fall ist. Die interessante Frage ist in dem Fall wieso die Sicherheitsprogramme nicht von Anfang an Alarm geschlagen haben.


Diese Programme befinden sich in dem "Originalzustand" des Tablets, sodass ein zurücksetzen diese nicht entfernt. In solchen Fällen würde leider nur das aufspielen eines anderen Betriebssystem das Problem lösen.

 

Mit freundlichen Grüßen

Kathrin

Share this post


Link to post
Share on other sites

Danke für Ihre Antwort.

Dass, was Sie meinen mit "preinstalliertem PUP" kann eher nicht stimmen, weil das Problem erst nach ca. 3 Wochen korrekter Arbeit ufgetretten ist. Eine Vermutung, dass die Chinese hierher auch in diesem PUP einen Zähler eingebaut haben, das es erst nach drei Wochen aktiviert hat, scheint mir eher unwahrscheinlich.

Des Weiteren, der "Hardreset", nur die User-Daten, Einstellungen und vom User installierten Apps entfernt. Die vorinstallierten Systemapps und auch eventuelle im System eimgebauten  PUPs werden davon nicht betroffen. Im Gegenteil zum Windows-PC existiert im Android keine "read-only" Recovery-Partition. Dies kann man leicht erkennen, indem man eine Systemdatei extern sichert, danach löscht und Hardreset dürchführt. Dann stellt man fest, dass die gelöschte Datei nicht mehr sich im System(Root) Verzeichnis befindet und, wenn man die braucht, vom Backup mit entsprechendem Tool neuinstallieren bzw. einführen muss (Titanium Backup. adb usw.).

Weiterhin, die "regulären" Apps, egal, ob die sich im User- oder Systemverzeichnis befinden lassen sich mit Titanium oder SystemappEntferner immer löschen. Dieses "MediaService" Programm hat sich leider anders verhalten, was eher an seine Bösartigkeit zeigen würde.

Aber jetzt Schluß damit. Ich bin kein Androidentwickler, besitze ich aber Ingenieurausbildung alter Art, die mir erlaubt, sich ziemlich schnell in ein ganz neues Problem einarbeiten, wenn ich das unbedingt muss.

So habe ich das Tablet zum Laufen gekriegt. Zwar die teilweise korrupte App "Settings" könnte ich nicht reparieren, die Spracheinstellungen habe ich auf dem Umweg auch gängig gemacht, der rest von "Langusges&Input" ist für mich uninteressant.

Ein Screenshot der Malware habe ich damals leider nicht gemacht, von allen Schutzprogrammen wuede die aber als "MediaService, Trojaner" erkannt. Und, wie ich bereits geschrieben habe,  ist die jezt weder im User-, noch Systemverzeichnis zu finden (das Tablet ist wieder gerootet, so das ich beide Verzeichniusse untersuchen kann). 

Meine Frage:

Das Tablett läuft wieder genauso wie früher, das Scannen mit Emsisoft, Malwarebytes,  CleanMaster und HiSecurity findet im Momente keine Malware. Kann ich es aber für SICHER halten, oder kann drinn immer noch eine "Zeitbombe" sitzen ?

Ein Stockrom für chinesische Produkte zu kriegen ist hoffnunglos  Also, ist das Tablet SICHER oder lieber verschrotten weden soll ?

Grüße - robur

P.S. Entschuldigung für eventuelle Tipfehler, ich muss sehr schnell schreiben.

 

Share this post


Link to post
Share on other sites

Guten Tag,

Ein "Hardreset" stellt die ursprüngliche Form des Betriebssystem, wie es vom Hersteller installiert wurde wieder her. In der Regel sind alle Apps, die der Hersteller installiert hat dann auch weiterhin vorhanden. Es ist in der Regel auch schwer Software zu entfernen, die sich selbst als Geräteadministrator eingetragen hat. Wobei ich nicht herausfinden konnte ob das der Fall ist für MediaService.

Der MediaService ist letztendlich 'nur' eine Potenziell Unerwünschte Applikation. Das heißt es wird auch von vielen bewusst (zB als Teil einer weiteren gewollten App oder als Teil des Betriebssystem) installiert und wir stufen selber nicht als so bedenklich ein, dass wir sie zwingend löschen wollen.

Bei Tablets aus China besteht immer eine gewisse Sorge, dass diese mit unerwünschten Apps bestückt sind. In der Regel zeigen diese jedoch 'nur' Werbung.

Was ich online gefunden habe zu der App MediaService deutet darauf hin, dass die App sich erst nach ein paar Wochen aktiviert. Sie könnten also erstmal das Tablett wie gewohnt nutzen und schauen ob es sich nach 2-3 Wochen wieder aktiviert und versucht für Werbung auf das Internet zuzugreifen (was in der Regel der Moment ist wo die Apps es als bedenklich melden).

 

Mit freundlichen Grüßen

Kathrin

 

Share this post


Link to post
Share on other sites

Danke, ich werde es tun, so wie Sie empfehlen.

Nur, das was Sie zu dem "Hardreset" schreiben stimmt in der Praxis nicht.

Ich habe dies experimentel getestet. So wie ich bereits geschrieben habe, eine beim gerooteten Gerät entfernte Systemapp ist auch nach dem Hardreset nicht mehr im System da.

Auch kann ich mit einem Tool eine Systemapp gezielt manipulieren  und nach dem Hardreset bleibt die weiterhin manipuliert, also wird nicht in den ursprünglichen Zustand gesetzt. Wie Sie den "Hardreset" beschreiben, war vielleicht wünschenswert, stimmt aber eindeutig nicht.

Übrigens, beruflich (in meinem Ingenieursbüro) validiere ich auch ab und zu die Sicherheitssoftware verschiedener Industrie-Hersteller. Ich bin selbst kein Programmierer, ich betrachte diese Software als "BlackBox" und teste experimental (Simmulation) die Input-Output Vectoren. Dabei, den Input-Vector, den sich der Softwarehersteller ausdachte, betrug in meiner Praxis zur Zeit nicht mehr als 40% von dem, was ich getestet habe. Die Softwarehersteller zeigen leider zu viel Routine, was manchmal todlich sein köönte.

Des Weirteren das MediaService-PUP, was Sie im Internet gefunden haben und das von Emsisoft  für unbedenklich eingestuft wird musste nich das gleiche sein, was sich auf dem Tablet meiner Tochter eingenistet, hat, weil es sowohl von Emsisoft als auch von zwei anderen von mir geprüften Malwareschutz-Programmen als "gefährlicher Trojaner" gemelder. der sofort deinstalliert werden kann.

Selbst wenn das ein PUP wäre, könnte man nich beim jeden Neustart des Gerätes und Einspringen der Schutzsoftware permanent diese PUP  deinstallieren müssen - dieses Mist muss einfach und für immer weg!

Ich gebe das Tablet meiner Tochter zurück, weil sie darauf nicht für PC vorhandene Apps hat, die sie für ihre Master-Arbeit (Übersetzung koreanisch-deutch-englich) braucht, die nur von einer Uni in Seoul zu bekommen sind. Vorsichthalber wird sie aber weder eine persönliche Mailapp noch zugangs VPN zu Ihrer Uni auf dem Tablett installieren.

Sollte sich wieder "MediaDervice" melden, werde ich Ihnen das melden und am besten schicke ich Ihnen das Tablet zur Untersuchung zu.

Grüße - robur 

Share this post


Link to post
Share on other sites

Guten Tag,

Ich würde Sie in dem Fall an unsere Analysten weiter verweisen, ich weiß nicht inwiefern ein einsenden notwendig ist, eventuell reicht dann auch die Datei, beziehungsweise ein Abbild.

 

MIt freundlichen Grüßen

Kathrin

Share this post


Link to post
Share on other sites

Hallo, Kathrin,

Ich habe das Tablet am 23.08. abgeschaltet. Vor dem Abschalten wurde von keinem  Antivir-Programm eine Malware gemeldet und auch von keinem FileManager die App "MediaService" gesehen.

Heute aber sofort nach dem Start passiert wieder das Gleiche, mit einer Ergänzung: Jetz wird von allen nicht nur "MediaService" sondern auch "Settings" als gefährliche Malware gemeldet.

Diesmal ist es mir gelungen sowohl die Screenshots (Emsisoft&CleanMaster-Antivirus) von den Meldungen, (Emsisoft meldet jetzt die Malware nicht nur nach dem Scannen, sondern auch permanent bei jedem Zugrif zu einer beliebigen Aplication), sondern auch die beiden verdächtigen Apps mittels TotalCommander(Root) zu kopieren.

Mit MediaService passiert übrigens der gleiche Zirkus: Gelöscht vom System, beim nächsten Start erscheint bei "normalen" Apps und so wechselweise.

Es scheint mir, dass diese App nicht das Hauptproblem wäre, sondern eine andere App, die MediaService immer wieder nachinstalliert, und dies wahrscheinlich "von Außen", weil beim deaktivierten WLAN  scheint es nicht zu passieren.

Die Screenshots und beide Apps habe ich in zwei gezippten Ordner untergebracht, die ich jetzt versuche hochzuladen

Grüße - robur

 

Screenshots.zip

APKs.zip

Share this post


Link to post
Share on other sites

Hallo Robur,

vielen Dank für die Screenshots und Samples.

Ich werde die Informationen gerne an unsere Malware-Analysten weitergeben und mich hier wieder melden wenn sich mehr dazu sagen lässt.

 

Share this post


Link to post
Share on other sites

Vielen Dank, Herr Ott für Ihre Schnelle Reaktion.

Falls Sie sich es wünschen würden, kann ich Ihnen auch das Tablet zuschicken.

Es wäre gut zu klären, was die Chinesen in dieser Customer-Android Version gebastellt haben, weil diese im Momente massenweise in Deutschland verkauft werden

Schönen Sonntag noch und Grüße - Robur

Share this post


Link to post
Share on other sites

Hallo Robur,

ich konnte die Situation mittlerweile mit unseren Entwicklern besprechen.

Diese konnten mir nur bestätigen dass es sich in der Tat um ein kniffliges Problem handelt da das Mobilgerät wie schon befürchtet mit "bloatware" vorinstalliert ausgeliefert wird. Das ist auch der Grund dafür warum selbst nach der Entfernung der Malware nach einiger Zeit eine der Apps die vorinstalliert mit dem Gerät kommt die Malware bzw. das PUP erneut herunterlädt.

Eine dauerhafte Lösung wäre laut Aussage unserer Entwickler nur wenn Sie das Gerät rooten und eine "saubere" Version des Betriebssystems installieren, die Vorgehensweise kann aber definitiv nicht von uns empfohlen werden. Unabhängig davon dass es sich wohl sehr schwierig gestalltet das OS für Ihr Gerät aufzutreiben.

Eine Lösung bzw. vielleicht eher ein Workaround könnte sein:

 - Internetverbindung des Geräts unterbrechen

 - In die Einstellungen des Geräts wechseln

 - Dort jegliche Apps deaktivieren welche vorinstalliert mit dem Gerät kommen (aufgrund fehlender Berechtigung kann unsere App vorinstallierte Apps nicht entfernen)

 - Internetverbindung wiederherstellen

Wichtig, nach einem Factory Reset werden die vorinstallierten aber deaktivierten Apps wieder aktiviert, nach dem Vorgang müssen also die Aktionen natürlich erneut ausgeführt werden.

Es tut mir Leid dass ich in dem Fall mit keinen besseren Nachrichten oder genaueren Informationen dienen kann.

Für weitere Fragen stehe ich aber trotzdem gerne zur Verfügung.

 

Share this post


Link to post
Share on other sites

Danke Herr Ott für Ihre Antwort.

Im Momente bleibt mir njichts anders übrig, als den Händler und Amazon, bei dem ich ich das Tablet gekauft habe über das Problem zu informieren und das Gerät zurückzusenden.

Herzliche Grüße, Robur

Share this post


Link to post
Share on other sites

Hallo Robur und vielen Dank für die Rückmeldung.

Ja, ich denke in dem Fall bleibt leider nicht viel anderes übrig.

Es tut mir Leid dass wir nicht von großer Hilfe sein konnten.

Ich wünsche trotzdem einen schönen Tag!

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.