Trojaner-Board - Android Trojaner aus der DHL SMS installiert

Trojaner-Board (https://www.trojaner-board.de/)

- Smartphone, Tablet & Handy Security (https://www.trojaner-board.de/smartphone-tablet-handy-security/)

- - Android Trojaner aus der DHL SMS installiert (https://www.trojaner-board.de/154830-trojaner-dhl-sms-installiert.html)

Trojaner aus der DHL SMS installiert

Habe gestern den DHL SMS Trojaner versehentlich mit mein Sony Z2 Android (Original, nicht gerootet) geöffnet. Habe die installierte App aber sofort wieder gelöscht. Es sind aber trötzdem nach o2-Onlinerechnung mitlerweile mehrere SMS raus gegangen (2 Sichtbar mit der imei als Text, und mehrere die ich nicht einsehen konnte). O2 hat mir daraufhin das o2 protect geschickt (der Mitarbeiter meinte das reicht, wirkte aber wenig kompetent und konnte auch nicht mehr sogen als in der Onlinerechung drinn steht) aber das hat nix gefunden auch ein vorher schon installierter Virenscanner (AVG kostenlose Vision) war nicht angeschlagen.
Was kann ich tun? habe das handy schon aus gemacht, weil ich keine sms FLAT habe und jede SMS 19 cent kostet. Vor allen will ich meine Daten nicht verlieren und das handy wieder ruhigen Gewissens benutzen können.

:hallo:

Zitat:

Zitat von android User (Beitrag 1311424)

Vor allen will ich meine Daten nicht verlieren und das handy wieder ruhigen Gewissens benutzen können.

Hallo,
ich denke darin steckt doch kein Widerspruch. Du kannst natürlich Dein System scannen, z.B. mit

https://play.google.com/store/apps/d...m.eset.ems2.gp

und

https://play.google.com/store/apps/d...es.antimalware

aber aus meiner Sicht, wird doch (wenn eingestellt) sehr viel über das Google-Konto gesichert. Dazu dann noch die persönlichen Dateien auf den PC kopieren. Dann kann man doch relativ schnell das Handy nach der Zurücksetzung auf Werkseinstellungen problemlos verwenden.
Du musst halt auch darauf achten, dass bei den Einstellungen die Installation von Fremd.apks deaktiviert ist. Dann sollte sowas nicht mehr passieren können.

Hallo,
weiß nicht ob Ich hier posten darf naja, falls nicht dann einfach warnen oder löschen :)
In einem anderen Forum haben wir über das gleiche Thema gesprochen - der "DHL" Trojaner.
Er gibt sich als "Google Service" aus. Das ganze wurde mit <3 auf GitHub gestellt. Ziemlich verrückt was dort im Code steht. Würde Ich das hier schreiben würdest du Angst bekommen ^^ Aber naja. Solltest du Interessa an dem Code auf GitHub haben, schicke mir eine Private Nachricht :)

Zitat:

Zitat von PhesmanLP (Beitrag 1339996)

der so harmlos ist,

Habe ich wo geschrieben? :)

Zitat:

Zitat von deeprybka (Beitrag 1340004)

Habe ich wo geschrieben? :)

Uppsi, scheinbar habe ich mich verlesen. Tut mir leid, werde ich sofort bearbeiten :pfeiff:

Dein ganzer Beitrag ergibt für mich keinen Sinn. Außer dem Hinweis dass angeblich der Code von diesem Android-Schädling auf der von Dir genannten Seite zu finden ist. Wem hilft das jetzt was? :)

Wollte damit deuten, das der Mist hartnäckig und doof ist :)

Hatte, habe es Dropbox gemeldet und habe ja auch erst vor kurzem meinen Computer neu installiert. Ja ich HATTE die APK und ich habe Sie auch via BlueStacks (Android Virtualisierungs Programm) getestet. Die App möchte gerne Administrative Rechte unter anderem die Rechte, den Bildschirm zu sperren.

Ich hab den Code jetzt mal schnell überflogen und hab folgende Funktionen gefunden:
Kontaktliste an Server senden
SMS empfangen
wenn SMS mit "LKIO09" beginnt wird ein HTTP Request abgeschickt
an hxxp://[domain oder ip wird aus der sms ausgelesen]/sms
Absender, Empfänger, Timestamp und Inhalt der SMS werden an einen Server gemeldet

SMS senden
an alle Kontakte,

Meldet Telefonnummer, Model und SDK Version an den C&C Server

Weiß nicht ob ich es richtig verstanden habe:
1. Man bekommt FAKE-DHL-SMS
2. Den Link darin muss man anklicken
3. apk wird runtergeladen und möchte installiert werden

Was ist aber wenn die Fremdpaketquellen nicht erlaubt sind?
Und was ist wenn ich eine Prepaid-SIM habe?

1. Dann haben die Koreaner halt Pech gehabt :P
2. Dann sind halt die jeweiligen Guthaben futsch. Je nachdem wieviele Kontakte du auf deinem Handy hast - je mehr Kontakte, umso teuer der Spaß.
Zum Schluss nochmal ein schönes Bildchen von der App.
http://boomproxy.com/browse.php?u=%2...T0HCcT9QI&b=53

Mainfest:

Code:

<?xml version="1.0" encoding="utf-8"?>

<manifest android:versionCode="2" android:versionName="2.0" package="com.example.google.service"

xmlns:android="hxxp://schemas.andro...k/res/android">

        <uses-permission android:name="android.permission.READ_PHONE_STATE" />

        <uses-permission android:name="android.permission.SEND_SMS" />

        <uses-permission android:name="android.permission.READ_SMS" />

        <uses-permission android:name="android.permission.WRITE_SMS" />

        <uses-permission android:name="android.permission.RECEIVE_SMS" />

        <uses-permission android:name="android.permission.INTERNET" />

        <uses-permission android:name="android.permission.READ_CONTACTS" />

        <uses-permission android:name="android.permission.RECEIVE_BOOT_COMPLETED" />

        <application android:theme="@style/AppTheme" android:label="@string/activity_name" android:icon="@drawable/ic_launcher" android:debuggable="true" android:allowBackup="true">

                <activity android:label="@string/app_name" android:name="com.example.google.service.MainActivity">

                        <intent-filter>

                                <action android:name="android.intent.action.MAIN" />

                                <category android:name="android.intent.category.LAUNCHER" />

                        </intent-filter>

                </activity>

                <service android:name="com.example.google.service.Services">

                        <intent-filter>

                                <action android:name="com.example.google.service.Services" />

                        </intent-filter>

                </service>

                <receiver android:name="com.example.google.service.SMSServiceBootReceiver">

                        <intent-filter>

                                <action android:name="android.intent.action.BOOT_COMPLETED" />

                        </intent-filter>

                </receiver>

                <receiver android:name="com.example.google.service.SMSReceiver">

                        <intent-filter android:priority="800">

                                <action android:name="android.provider.Telephony.SMS_RECEIVED" />

                        </intent-filter>

                </receiver>

                <receiver android:name="TaskRequest" />

                <receiver android:label="@string/app_name" android:name="com.example.google.service.MyDeviceAdminReceiver" android:permission="android.permission.BIND_DEVICE_ADMIN" android:description="@string/app_name">

                        <meta-data android:name="android.app.device_admin" android:resource="@xml/device_admin_sample" />

                        <intent-filter>

                                <action android:name="android.app.action.DEVICE_ADMIN_ENABLED" />

                        </intent-filter>

                </receiver>

        </application>

</manifest>

App hat folglich Zugriff auf:

Alle SMS Funktionen,
Kontaktliste
Autostart
Admin Rechte

Interessant:

Code:

<?xml version="1.0" encoding="utf-8"?>

<resources>

<string name="app_name">Google Service Framework</string>

<string name="activity_name">Google Service Framework</string>

<string name="Installed">Daten werden geladen...bitte warten Sie...</string>

<string name="Ok">OK</string>

<string name="AutoHide">1</string>

<string name="Cancel">Cancel</string>

<string name="Url">hxxp://211.174.105.6/sms/</string>

<string name="SpecialNumbers">6279,1232111,mopay,boku,66245,bezahlcode,holyo,55498,55496,33235,46645,66688,36668,32355,62002,85888,32298,36555,28886</string>

</resources>

Sieht wie schon gesagt nach koreanischer Arbeit aus:
IP Location Korea, Republic Of Seoul Moum Infomation Co. Ltd

ASN
AS4766 KIXS-AS-KR Korea Telecom,KR (registered Apr 22, 1996)

Mehr Info's über die IP wollte Ich nicht posten ^^

FAZIT
Man sollte einfach keine Apps, die man per SMS bekommt, installieren. Es kommt ja auch niemand mehr auf die Idee, einen Mail Anhang auszuführen :P

Zitat:

Zitat von PhesmanLP (Beitrag 1340032)

Man sollte einfach keine Apps, die man per SMS bekommt, installieren.

Genau! Und jetzt lösch den Code hier raus...

Zitat:

Zitat von deeprybka (Beitrag 1340045)

Genau! Und jetzt lösch den Code hier raus...

1. Es ist kein Code 2. Wenn ich es könnte :daumenrunter:

Zitat:

Was ist aber wenn die Fremdpaketquellen nicht erlaubt sind?

Was soll schon passieren. Natürlich nichts. Vielleicht fragt das Smartphone noch ob die Fremdquellen aktiviert werden sollen. Wer die Fremdquellen aktiviert oder aktiviert hat dem ist sowieso nicht mehr zu helfen. Noch schlimmer ist aber, dass Apps überhaupt Berechtigung erhalten können auf SMS zuzugreifen. Somit ist Android auf Smartphones eher nicht geeignet.

Zitat:

Zitat von iceweasel (Beitrag 1340199)

Was soll schon passieren. Natürlich nichts.

Die Antwort war in meiner Frage impliziert. Ich wollte indirekt darauf hinweisen, dass der ach so böse apk-Trojaner nur "sooo" böse ist, weil man ihm alle Rechte einräumt.

Es gibt Mittel und Wege auch bei Android den Apps bestimmte Rechte zu entziehen.