[4.4.4] Trojandropper (Xerox Corporation) AP ?

UPDATE: https://code.google.com/p...hanks=74517&ts=1407245514

Heren en dames,

De situatie is als volgt:
Op een Moto E is zo nu en dan een AP met de naam "Trojandropper" voorzien van WPA2 te vinden. Omliggende devices tonen dit AP niet, de locatie is niet van invloed op het voorkomen van dit AP. Dit AP heeft een adapter MAC van 00:00:00....

Dit doet duidelijk malware vermoeden.

De volgende Android scanners hebben geen problemen kunnen detecteren:
- Malwarebytes
- Eset
- AVG
- Kaspersky

Verder:
- er staat geen rare applicaties op de telefoon
- de telefoon is niet geroot
- een herstar van de telefoon doet doet het AP verdwijnen, het komt at random terug

Heeft iemand een suggestie? Meerdere google tochten hebben geen oplossing gebracht.

Screenshots van Wifi Analyzer en Android's eigen Wifi overzicht:




Als dit niet het juiste subforum is, mijn excuses

[ Voor 15% gewijzigd door Steef op 20-12-2014 20:11 ]

Ploink schreef op zaterdag 20 december 2014 @ 18:53:
De naam "Xerox corporation" is hier niet relevant. De wifi analyzer app zoekt dit op in de officiele lijst van IEEE
http://www.ieee.org/netstorage/standards/oui.txt
Hier zie je dat 00:00:00 is toegewezen aan Xerox.

Wel is het duidelijk dat er iets raars aan de hand is.

[...]

Dus als je 100m de straat uit loopt of kilometers verderop, dan zie je nog steeds dit wifi device met dezelfde -82dBm? We moeten eerst zeker zijn waar het vandaan komt. Als de signaalsterkte varieert, probeer de bron dan te zoeken. Dat het wifi device soms verdwijnt kan liggen aan de lage signaal sterkte.

Misschien is het een gehackte router die een extra SSID heef aangemaakt. In dat geval is het kanaal en de signaalsterkte (ongeveer) hetzelfde, de Airport Express en vooral de Sitecom zijn dan verdacht.

Sterker nog, ditzelfde "Trojandropper" AP is 30 Km vanaf de huidige locatie ook gevonden. De -82 dB is stabiel en verandert in het geheel niet.

2 Telefoons (waarvan 1 van exact hetzelfde model), 2 laptops en 1 tv vinden dit AP niet.

hcQd schreef op zaterdag 20 december 2014 @ 19:13:
Op mijn telefoon ook wel eens gehad dat een SSID dat niet meer binnen bereik was in de lijst bleef staan met MAC 00:00:00:00:00:00. Ik denk gewoon dat iemand een grappige naam aan z'n netwerk wil geven.

Leuk idee, maar dit verklaart niet waarom het AP soms terug komt terwijl de telefoon op dezelfde locatie ligt als andere hardware, waaronder een telefoon van exact hetzelfde model.

Bij het in en uit schakelen van Wi-Fi op te telefoon verdwijnt het AP ook, niet alleen bij het herstarten van de telefoon.

Ik krijg sterk de indruk dat dit on-device is.

NSG schreef op zaterdag 20 december 2014 @ 19:25:
Bekende bug: https://code.google.com/p...hanks=74517&ts=1407245514


[...]


Komt er dus op neer dat jouw telefoon ooit dat netwerk heeft gevonden en het door een bug niet meer verloopt uit de scanresultaten.

...This explains why such an entry will remain in the Wi-Fi framework until such time that WLAN gets disabled and restarted in a way that restarts the wpa_supplicant process.

Maar een device herstart foceert een reload van het wpa_supplicant proces?

*edit*

bug comments nog eens goed gelezen:

Update from comment #2, Nexus 5, Android 5.0 stock, still happening, no change noticed. Bugged APs are temporarily cleared by reboot or airplane mode but more will return. SSID is not consistent although the same ones often appear and several common ones (home and school) have not appeared as bugged APs that I've noticed. Maybe an interaction with buggy AP behavior?

I've had this same issue for months on a Nexus 4. Tried a factory restore and still came back. Thought Lollipop may clear it up but no such luck.

Bedankt, dit lijkt het te verklaren - ik houd het in de gaten.

[ Voor 35% gewijzigd door Steef op 20-12-2014 20:03 ]