Malware of niet besmet.op Android telefoon

zaterdag 16 augustus 2025 17:38

Acties:

0 Henk 'm!

Topicstarter

Beste mensen

Mijn Samsung A52-5G wilde contact leggen met "customer.thewayofmoney.us" maar de AirProtection van mijn Router (RT-AX86U Merlin firmware 3004_388.9_2) heeft dat voorkomen (hoera).
Nu lees ik dat dit een C&C Server en blacklisted is omdat deze server malware rondstrooid, malware alias: FakeUpdate, GhoLoader, SocGholish en het Confidence level is high (100%).

Nu is mijn vraag of mijn telefoon besmet is met malware of dat de router (AirProtection) dit voorkomen heeft?
Sophos Intercept X meld dat er geen malware op de telefoon aanwezig is, threats en PUAs 0 em low reputation apps 0.

Alvast bedank voor het meedenken.
Ronnie 020

[ Voor 1% gewijzigd door Ronnie_020 op 16-08-2025 17:38 . Reden: foutje in tekst. ]

zaterdag 16 augustus 2025 17:55

Acties:

0 Henk 'm!

Leaplasher

Installeer eens Malwarebytes op je telefoon en kijk wat daar uitkomt?

Anders een full factory reset draaien om het zeker te weten en dan optioneel alleen je foto's/videos en andere bestand terugzetten uit een backup?

zaterdag 16 augustus 2025 18:35

Acties:

+1 Henk 'm!

mrmrmr

Misschien kan PCAPdroid helpen om te zien welke app bepaalde traffic veroorzaakt.

Deze netwerktool werkt blijkbaar door zich voor te doen als VPN. Ik weet niet of het ook TCP SYN (eerste pakket) registreert of alleen volledige verbindingen. Als je de verbinding blokkeert zou je het niet zien als het alleen connecties registreert. Misschien kun je wel op je router redirecten (bv. met pf) naar je eigen webserver? Dan kun je in de log ook zien welke URL het is.

zaterdag 16 augustus 2025 21:33

Acties:

0 Henk 'm!

Ronnie_020

Topicstarter

Scan met Malwarebytes levert geen positieve op net als Sophos Intercept X en een full factory reset draaien is een optie waar ik al aandacht heb, maar wacht daar nog even mee.

Op het moment draait Pcapdroid en die laat een tijdje lopen of er een connectie naar "customer.thewayofmoney.us" wordt gemaakt.

Ik meld me weer met het resultaat.

maandag 18 augustus 2025 02:38

Acties:

0 Henk 'm!

ongekend41

Division Brabant

Kan je achterhalen wat je deed toen de AirProtection ingreep? Nieuwe websites bezocht, of extensies of app geüpgrade? Of een foute ad op vertrouwde sites. Zou mooi zijn als je het kan reproduceren.
Ik heb niet het idee dat die url een C2 is maar zuivere koffie is het zeker niet. Ik denk dat je veilig zit. Maar bij twijfel: Beter safe than sorry.

nope

maandag 18 augustus 2025 03:26

Acties:

0 Henk 'm!

JKP

Ik heb de website door VirusTotal gehaald: https://www.virustotal.co...b58c86eaeb840b1657ebe297d Sommigen classificeren de website inderdaad als 'malware'. Anderen als phishing of verdacht. Verder vermeldt https://sitecheck.sucuri....customer.thewayofmoney.us dat de website gehackt is.

Ik zie bij een zoektocht naar meer informatie, dat je de vraag ook elders hebt gedropt. Deze reactie is wat ik ook wilde schrijven.

Verder kwam ik op GitHub nog een pagina tegen. Mogelijk kan deze nog helpen om de bron/oorzaak te achterhalen. Op genoemde pagina wordt Cheq UPI genoemd. Heb je toevallig hun website chequpi.com (link verwijst t.b.v. veiligheid naar localhost) bezocht? Of de app/dienst van dat bedrijf gebruikt? Hetzij direct of via een andere app.

[ Voor 10% gewijzigd door JKP op 18-08-2025 04:38 ]

vrijdag 22 augustus 2025 21:06

Acties:

0 Henk 'm!

Ronnie_020

Topicstarter

Ik heb een fabrieks reset gedaan op de telefoon en de niet system aps handmatig geinstalleerd.
De "customer.thewayofmoney.us" blokade uitgezet op de Pihole.
Afwachten of AirProtection op de router weer een Preventie en blokkering doet.

Idereen bedankt met het meedenken van het propleem

Ronnie_020

Onderwerpen

Vraag

Alle reacties