Trojan op Android...hoe krijg ik die eraf? - Privacy en beveiliging

zondag 4 april 2021 12:50

Acties:

0 Henk 'm!

Topicstarter

Trojan.downloader en Trojan.agent zittenop mijn Android. Met MBAM eraf gegooid, maar blijven terugkomen. Al 5x naar fabrieksinstelling teruggezet, en en niet via Google-account opnieuw geinstalleerd maar alles 'nieuw' via Play Store gedownload.

Nu vraagt ie al voor het opstarten naar mijn pin (schermvergrendeling), en na het opstarten staan bij Apparaatbeheerders "Vind mijn apparaat' (nooit geinstalleerd) en Screen Lock Service aangevinkt. Beide schakel ik steeds uit, maar kan ze niet in de lijst met apps vinden om ze daar ook te verwijderen. Na opstarten zijn beide weer aangevinkt.

In bestandsbeheer komen dan ML.Android, OP.Android en de map Idlepub.
MBAM signaleert vervolgens apps gem, xiocan en smart die zich proberen te installeren (trojan.downloader). Ook de app tayase wordt gezien, trojan.agent. Gooi ze er allemaal af, en reboot, maar ze zijn hardnekkig.

Als ik ze erop laat, overschrijven ze mijn geluidsinstellingen en installeren apps als Happy Jump en bbq browser. Vervolgens loopt de telefoon vast, sluit ie af en blijft daarna loopen van opstartscherm naar uitscherm. Alleen een factory reboot waarbij ik de Emcc opschoon helpt dan om hem opnieuw aan de praat te krijgen.

Enig idee?

zondag 4 april 2021 22:13

Acties:

0 Henk 'm!

Itrme

Toevallig een SD kaartje in je telefoon zitten waar wat op blijft staan? Zo ja, verwijder deze eerst voor je je telefoon weer probeert te wissen. Echter lijkt me sterk dat het zo persistent is, al heb ik 0 ervaring met troep op de telefoon.

Vertel anders eerst even om wat voor telefoon, android versie etc het gaat.

Edit: je bent zo te zien niet de enige https://forums.malwarebyt...ware-in-system-partition/

[ Voor 15% gewijzigd door Itrme op 04-04-2021 22:21 . Reden: malwarebytes link ]

maandag 5 april 2021 11:24

Acties:

0 Henk 'm!

Thralas

Itrme schreef op zondag 4 april 2021 @ 22:13:
Echter lijkt me sterk dat het zo persistent is, al heb ik 0 ervaring met troep op de telefoon.

You and me, maar blijkbaar is het toch wel een ding:

Unkillable xHelper and a Trojan matryoshka
Pig in a poke: smartphone adware

Lijkt me vrij sterk dat dit soort truuks (lang) in de Play Store terechtkomen. Zou dus óók nog even afvragen hoe je eraan komt. Of je hebt een Chinese rommeltelefoon, of apps buiten de Play Store om geïnstalleerd..

Voor wat betreft verwijderen: als een factory reset niet helpt dan zit het er dik in dat het iets is zoals bovenstaande artikelen beschrijven en dan zit het dus inderdaad in je system partition. De handigste manier om dat op te schonen is door deze opnieuw te flashen (en dat is verder toestelafhankelijk).

maandag 5 april 2021 18:42

Acties:

0 Henk 'm!

torare

Ik heb nu 3 telefoons met system dexed spyware (gezien 'subtiele' aanwijzingen), kan voor geen van de 3 rom flashes vinden die veilig lijkt, bovendien zal het er zo weer opstaan waarschijnlijk.
Wat zouden jullie aanraden om veilig een telefoon te gebruiken? Zo'n simpel ding met alleen telefoon/sms? Zijn die custom roms wel veilig genoeg? Of beter richting linux (Pinephone oid)?

dinsdag 6 april 2021 10:41

Acties:

+2 Henk 'm!

jurroen

Security en privacy geek

torare schreef op maandag 5 april 2021 @ 18:42:
Wat zouden jullie aanraden om veilig een telefoon te gebruiken? Zo'n simpel ding met alleen telefoon/sms? Zijn die custom roms wel veilig genoeg? Of beter richting linux (Pinephone oid)?

Hoe veilig wil je het hebben? Veiligheid is een continu proces, geen magische oplossing die je een keer uitvoert en daarmee goed zit. Het is enerzijds een technische aangelegenheid, anderzijds heeft het een procesmatig karakter. Even een gekke vergelijking: als je een super veilige kluis hebt, maar die niet verankert of gelijk aan criminelen geeft, gaat die kluis het ook niet bijster lang volhouden.

Hetzelfde met telefoons. Het is zo veilig als de zwakste schakel, wat meestal de mens is. Kijk alleen al naar de ontwikkeling van custom roms, ontwikkelaars zetten maar wat vaak security-features uit omdat het in de weg zit van snelle ontwikkeling. Een basaal voorbeeldje daarvan is SELinux, die wil je op enforcing hebben - niet op permissive. Plus is het geen binaire aangelegenheid, hoe SELinux geconfigureerd is, is ook belangrijk.

Smartphones bestaan, softwarematig gezien uit twee delen (misschien wat kort door de bocht): het OS en de firmware. Android distributies zoals LineageOS voeren in de officiele versies wel de monthlies door op OS niveau, maar tegelijk ondersteunen ze devices die al lang EOL zijn - die dus geen firmware updates meer krijgen. Hierdoor kun je de beschikking hebben over een telefoon met de nieuwste Android versie, inclusief recente monthly patch, maar met een gapende vulnerability in de baseband SoC of chipset die RCE (Remote Code Execution) mogelijk maakt.

Veruit de meest veilige optie is GrapheneOS. Het vereist (ironisch genoeg) een Pixel, mede door de uitgebreide hardware-assisted security features, zoals full verified boot, sterke versleuteling, reguliere updates en bijvoorbeeld een secure enclave (Titan M).

Een smartphone met GrapheneOS kun je zien als de meest veilige fundering. Het is verder aan jou om te zorgen dat de rest veilig is. Dus bij voorkeur zo weinig mogelijk apps, degene die je gebruikt kun je het beste van F-Droid halen, omdat die betere en diepere controles uitvoeren op de apps.

Maar: is dat een consessie die je bereid bent te doen? Puur kijkende naar de veiligheid, op plek nummer twee staat iOS, redelijk snel gevolgt door een "stock Pixel" (ofwel, een reguliere Pixel met het Google supplied OS).

En ook hiermee: veiligheid en privacy zijn twee losse begrippen. Ze kunnen complimentair zijn aan elkaar, maar dat hoeft niet het geval te zijn. De Librem 5 en/of Pinephone zijn qua privacy vrij sterk, maar laten veel liggen op security gebied.

Ongevraagde verzoeken per DM beantwoord ik niet, sorry