Chromes - Eine neue Malware App mit Verwechslungsgefahr

Eine neuere Android-Malware namens Chromes - das App-Symbol von Chromes gleicht demjenigen von Google-Chrome - kann da festgestellt werden, aber nirgendwo findet man (noch) darüber gescheite Antworten. Es sei hier genau erwähnt, dass Chromes (mit dem S am Wortende) NICHTS mit Chrome zu tun hat und sich eine Diskussion über Googles Chrome erübrigt!

Was ist über Chromes bisher bekannt und wie bekommt man es weg (es installiert sich immer wieder von neuem, aber nur in unregelmässigen Abständen - manchmal mehrere Tage dazwischen)? Alles was bisher nichts genützt hat: Cache leeren, De-Installation der App, Re-Boot. Bisher noch nicht auf Werkszustand zurückgesetzt (falls dies überhaupt hilft). Gerät ist nicht gerootet und sollte eigentlich auch nicht gerootet werden. Falls ein Rooten absolutes MUSS wäre, gibt eine App zum vorübergehend Rooten - also mit App Rooten, notwendige Operationen ausführen, Gerät neu Booten und Root ist wieder abgeschaltet?

— geändert am 06.11.2017, 19:38:26 durch Moderator

Tja wenn ich wüsste wo...
Seit sicher drei Wochen keine neue App installiert ausser vor einer Woche die App eedoctors, eine von Krankenkassen empfohlene App für einen Online-Arzt. Mir ist es aber eher gewesen, dass ich das Ding nach einer der fast täglichen automatischen Aktualisierungen erhalten habe. Mit dem Factory-Reset möchte ich noch etwas zuwarten, denn mich interressiert natürlich die Herkunft der Malware und was sie eigentlich tut. Aries hat hier schon einen Link gepostet - den kenne ich schon - aber da ist auch nicht viel Info dabei.

— geändert am 06.11.2017, 20:15:23

Nomu S20

Und wie bekomme ich den Downloader aus dem ROM raus - ohne ein Custom ROM zu laden?
Abgesehen davon, weiss ich noch immer nicht, was die Malware effektiv tut. Wenn es sich nur um Peanuts handelt, dann lasse ich das mal so bis auf weiteres. F-Secure sorgt jeweils für eine prompte De-Installation.

— geändert am 06.11.2017, 21:53:34

He, he, das mit den "billigen" Chinakrachern dürfte zwischenzeitlich Geschichte sein. Es muss ja nicht unbedingt "billig" sein - so wie Du billig verstehst - denn es gibt eben Markenprodukte, welche den alteingesessenen Markenprodukten laufend den Rang ablaufen und einfach eben günstiger zu haben sind, als z.B. das neueste iPhone, bei welchem man über 60% über den Herstellerkosten draufzahlt und welche auch als Chinakracher betrachtet werden kann: Wird in China hergestellt und hat schon echte Probleme.
Ach ja, die Markenprodukte könnten heissen: Lenovo, Huawei, Xiaomi und auch unbekannte Marken, welche in der Preisklasse unter 300 Euro nicht nur bessere Qualität sondern auch Features aufweisen, welche nur in "bekannten" Markengeräten ab 700 Euro aufwärts zu haben sind.

Es sieht so aus, als würde sich dieser Thread schnell mal vom Thema entfernen und zu einem China-Handy-Bashing ausweiten. Und die meisten Leute wissen gar nicht, dass das von ihnen benutzte "Markenhandy" ebenfalls aus China kommt - Samsung mal als grosse Ausnahme genannt.
Also, wie wäre es, mal beim Threadthema zu bleiben und konstruktive Vorschläge zur Lösung des Problems zu bringen?
Custom-Rom Flashen wäre mal ein Lösungsweg. Und wenn man jetzt einfach mal nur das Problem entfernen will, ohne gleich mit dem Vorschlaghammer zum Flashen zu greifen?
Ich habe die Frage schon ganz am Anfang mal gestellt: Gibt es eine App für einen sogenannten "Einmal-Root"? Also Root starten, dann Problem beheben, Gerät neu starten und Root ist weg (oder mit gleicher App den Rootvorgang rückgängig machen).

Wie ich in der Zwischenzeit gemerkt habe, man kommt ums Rooten nicht herum. Egal, ob man Custom-ROM aufspielen will oder das Problem auf dem gerooteten Gerät durch Entfernen der Malware beheben will. Also gibt es Einmalroot oder nicht? Oder gibt es eine App, mit welcher man einfach rootet, ohne in fünfzig Spezialforen abzuklären, ob und auf welchem komplizierten Weg man ein Gerät rootet?

— geändert am 09.11.2017, 20:15:30

Zwischenzeitlich wird Chromes immer wie mehr aggressiver. Vor einem Monat war es vielleicht noch eine Reinstallation - nach dem Entfernen von Chromes - pro Woche. Aktuell sind es mehrere Neuinstallationen pro Tag und seit neuestem auch noch das Einblenden von Werbefenstern und die Installation von Facebook - zumindest eine App, welche wie Facebook aussieht (und nein, auf dem Handy ist keine Facebook-App installiert). Chromes wird bei mir aktuell immer gleich dreimal installiert, ist also in der App-Liste dreimal vorhanden.

Dank Malwarebytes konnte ich folgende Zusatzinformationen auf dem Bildschirm sehen:

Chromes
Android/Trojan. FakeApp.chr
/data/app/co.yunshi.market-1/base.apk
/data/app/com.android.qnsettings-1/
/data/app/com.appclone.lyhj-1/base.apk

Facebook
Android/Trojan.Downloader.Agent.IY
/data/app/com.android.content.backup-1/base.apk

Kann mit diesen Angaben ein Spezialist etwas anfangen?
Und ja, ich habe seit mehreren Monaten das gleiche Handy in Reserve und das steht jetzt im Einsatz ohne Probleme. Das verseuchte Gerät ist einfach ohne SIM-Karte am Netz (WLAN), weil ich da sehen will, was da alles abgeht.

Und wo steht, dass dieser Trojaner das Smartphone komplett ausliest?
Bis anhin konnte ich da nur einen "gutmütigen" Trojaner analysieren. Das Smartphone wird mit Werbung zugepflastert und es werden einem mehrere Apps zur Installation empfohlen. Apps, welche kein Mensch will oder möchte. Aliexpress erscheint dann täglich...

Aber eine Lösung befindet sich im Rohr und ich werde demnächst die Problemlösung im Detail beschreiben.

Doch, doch, die Firewall hatte ich dann auch installiert und nicht sehr viel Verkehr festgestellt, welcher nicht zu allen anderen Apps gehört (ich habe nur wenige Apps installiert und die Nomus - S10, S20 und S30 - sind nicht mit Ransomware vollgepflastert). Wo es hingeht sieht man übrigens in der Aufstellung, welche ich da schon gepostet hatte, wo man sieht, bei welchen Apps etwas nicht sauber ist.

Grundsätzlich ist aber ein Rundschlag mit dem Dampfhammer nicht sinnvoll, indem man einfach mal behauptet, dass "sämtliche" Daten ausgelesen werden, ohne entsprechende Beweise oder Hinweise angeben zu können. Gerade, wenn es sich um eine relativ neue Malware handelt, welche noch weitgehend unbekannt ist. Ich kenne bis heute keinen Trojaner, der sich einfach "komplett alle" Daten krallt. Jeder Trojaner hat da seine Spezialitäten.

Also ich habe das Problem mit der Installation eines neuen ROMs gelöst und seit vier Stunden nach der Installation bin ich nicht mit dem Nachladen einer Malware belästigt worden.

Der Ablauf geht wie folgt und kann auch durch Anfänger bewerkstelligt werden. Ein bisschen Englischkenntnisse wären von Vorteil!

In einem ersten Schritt gehe man auf die folgende Webseite
https://androidmtk.com/flash-stock-rom-using-smart-phone-flash-tool
und drucke sich die Anleitung zum Flashen seines Smartphones runter. Die Anleitung gilt übrigens nicht nur für Nomu-Smartphones, sondern für viele andere Smartphones auch.

Gemäss dieser Gebrauchsanleitung ist nun im nächsten Schritt auf dem Computer der USB-Android-Treiber zu installieren. Hat man Windows 7 und höher kann man diesen Schritt übergehen, da der benötigte Treiber dann später beim Verbinden des Smartphones mit dem Rechner automatisch heruntergeladen wird.

Jetzt ist das Smartphone auszuschalten (Herunterfahren!). Alle drei Nomu-Modelle haben eine fest verbaute Batterie, welche nicht entfernt werden kann.

Jetzt sollte das Custom Rom für das benutzte Smartphone-Modell heruntergeladen werden. Ich habe dasselbe für mein Nomu S20 auf der Nomu-Webseite selber gefunden (Version 1.0.6):
https://www.nomu.hk/s20-rom-download/
Per Google findet man auch für die anderen Modelle Custom Roms oder andere Versionen wie z.B. die Version 1.0.2, welche aber dann effektiv auf dem entsprechenden Downloadserver nicht mehr vorhanden ist. Auf der Nomu-Webseite (nomu.hk) sind Custom Roms für alle drei Nomu-Varianten vorhanden.
Die gezippte Datei sollte dann in ein neu erstelltes Verzeichnis entzippt werden.

Jetzt sollte das Smart Phone Flash Tool heruntergeladen und ebenfalls in ein neues Verzeichnis entzippt werden:
https://androidmtk.com/smart-phone-flash-tool
Man wähle für Windows die neueste Version 5.1736 (nach unten scrollen)
Es ist KEINE Installation dieses Tools notwendig.

Man öffne nun "flash_tool.exe" und das Programm startet.
Sofern die schon die Karteikarte "Download" geöffnet ist, klicke man auf dieselbe.
Das erste Feld "Download-Agent" ist bereits mit dem Verzeichnispfad des Programmes ausgefüllt.
Das zweite Feld "Scatter-loading file" ist noch leer und man klicke rechts nebendran auf "choose". Dort wählt man das Verzeichnis, in welches man das neue Custom Rom extrahiert hat. Das Programm sollte eigentlich automatisch die in diesem Verzeichnis vorhandene Datei mit der Endung "...Android_scatter.txt" einfügen, ansonsten klicke man diese Datei im gesuchten Verzeichnis an.

Jetzt klicke man links oben auf den Schalter "Download" mit dem grünen Pfeil.
Erst jetzt ist das Smartphone (komplett ausgeschaltet!) mit dem USB-Kabel mit dem PC zu verbinden und es ist sofort die Lautstärke Down Taste zu drücken (evt. mehrmals). Ist der Android-USB-Treiber noch nicht auf dem Windows-Computer installiert, dann erfolgt die Installation jetzt automatisch, bzw. es wird zuerst der notwendige Treiber heruntergeladen und dann installiert. Der Vorgang dauert sicher 1 Minute.

Ist der Treiber installiert, beginnt sofort das Flashen des Smartphones. Ersichtlich an einem gelben Fortschrittsbalken unten im Programm "Smart Phone Flash Tool". Sieht man diesen Balken nicht, warte man einige Minuten, damit der USB-Treiber von Windows auch sicher installiert ist. Stoppe den Download im "Smart Phone Flash Tool" und entferne das USB-Kabel vom Computer. Sind bei dieser Operation auf dem Bildschirm des Nomu-Smartphones mehrere ganz klein geschriebene Zeilen (blau, in chinesischer Schrift) ersichtlich, dann das Nomu neu starten und gleich wieder herunterfahren. Jetzt wieder im "Smart Phone Flash Tool" links oben den Download anklicken und Smartphone wieder per USB-Kabel mit PC verbinden. Sofort Lautstärke Down drücken und jetzt wird sicher der gelbe Fortschrittbalken angezeigt.

Computer während dem Flashen nicht ausschalten!
Nach dem Download auf das Smartphone erscheint der grüne Kreis mit dem Haken drin.
Jetzt Nomu neu starten. Das Nomu fragt dann gleich mal, ob eine neue Firmware (neuer als die soeben installierte) - sofern vorhanden - installiert werden soll. Beim Nomu S20 ist die die Version 1.0.7.
Ich habe dieselbe sofort heruntergeladen und installieren lassen. Funzt bis anhin ohne Chromes...

— geändert am 10.11.2017, 09:53:19 durch Moderator

Ja super, Du hast ja sicher den Beweis, das der Hersteller seine Smartphones mit Malware ausliefert. Bitte um Angabe der entsprechenden Webseiten. Vom Hörensagen zählt nicht.

Ich habe nirgendwo den Vergleich mit den grossen Marken gemacht. Aber ich habe mir zuerst mal genau angeschaut, was so ein Nomu alles kann und was ich bei grossen Marken vermisse - bevor ich meines gekauft habe. Ach ja und die lieben "grossen" Marken. Vor einigen Monaten wurde Huawei noch als letzter Chinaschrott bezeichnet und heute sind gewisse Huawei-Modelle bei allen Testern schon ganz oben auf den Listen. Und betreffend Billigteil: Ja was sagst Du denn zu den Teuerteilen, welche mit Mafiamethoden nach oben gejubelt werden und für die Preise um die 1'000 Euros oder mehr bezahlt werden?

Hast Du eigentlich das Thema dieses Threads mitbekommen? Weil Du keine Hilfe geben kannst verlegst Du Dich einfach mal auf das Billig-Bashing. Für Dich ist offenbar ein Smartphone sagen wir mal unter 500 Euro Billigschrott. Dazu gehören auch ganz grosse Marken wie zum Beispiel Sony, wo es schon Modelle weit unter 200 Euro gibt. Billiger als ein Nomu S20 übrigens.

— geändert am 13.11.2017, 22:51:23

Hallo Rico,
dann gehe mal ganz einfach auf folgende Webseite und Du kannst den Download starten:
http://www.nomu.hk/s20-rom-download/

Von den vier angegebenen Links sind lediglich der erste und der letzte Link zielführend (die anderen Links sind zu alt) und auch dort konnte niemand genau mit dem Zeigefinger auf die Übeltäter hinweisen: Hersteller oder alle Händler zwischen Hersteller und Konsumenten? Hier auf meiner Wohninsel - ich wohne nicht in DE - laufen vier Nomu S20 und auf einer anderen Insel ein weiteres Nomu S20 (zwei davon in meiner Familie). Jedes dieser 5 Geräte wurde bei einem anderen Händler gekauft und erwischt bis heute hat es einzig meine Wenigkeit. Die anderen vier Geräte, jeweils mit der identischen und letzten Firmware versehen (durch Update) haben bis heute noch keinen Mucks von wegen Malware gemacht. 3 Geräte laufen übrigens mit einer AV-App, auch hier unterschiedliche Produkte. Bei mir hat F-Secure angeschlagen und bei weiterem Pröbeln auch noch Malwarebytes.

Im Moment kann ich sagen, dass das heruntergeladene Stock-Rom von der Nomu-Webseite Version 1.0.6 noch keinen Malwareverdacht ausgelöst hat: Bis heute 4 Tage nach dem Neuflashen des ROMs.

Huawei kenne ich als Netzwerker und Spezialzulieferer schon seit über 20 Jahren. Als Smartphoneproduzent sind die ja erst seit 6 Jahren unterwegs. Noch heute wird in diversen Foren über Huawei heruntergezogen, wie seinerzeit im kalten Krieg gegen die Kommunisten. Xiaomi - bis anhin in Europa praktisch unbekannt - liefert heute Spitzenmodelle, welche es mit links mit Spitzenmodellen der grossen Markenprodukte aufnehmen und sie sogar überrunden. Und trotzdem wird nach wie vor ein riesiges Bashing gegen den ganzen "Chinaschrott" durchgeführt, dass Gott erbarm. In Unwissenheit dessen, dass ja sowieso die Meisten Smartphones - egal ob grosse oder unbekannte Marken - aus dem Reich der aufgehenden Sonne stammen.

Wie Du obendran soeben lesen konntest, konnte mein Hersteller ein sauberes ROM zur Verfügung stellen und somit habe ich nirgendwo ins Klo gegriffen.
Abgesehen davon, dass wir schon wieder seit einem halben Tag kein Wasser haben und schon deshalb niemand ins Klo reingreift

— geändert am 14.11.2017, 07:40:41

Hallo Lilian,
auch für Dich gibt es eine Lösung und die ist genau so leicht, wie jene für die Nomu-Smartphones. Also nix mit Koffer Klauen am Bahnhof!

Dogee Shoot 1
Exakt gleicher Ablauf wie oben beschrieben für die Smartphones von Nomu, ausser dem Ort des notwendigen Downloads für das Stock-ROM. Ich konnte die gepackte Datei (auch hier eine Dateigrösse knapp über einem GB) auf folgender Seite herunterladen:
Link entfernt da Direktlink zu Datei

Diese Datei in einen neuen Ordner entpacken, das Smartphone zuerst schön aufladen, USB-Kabel bereitlegen und dann meine Anleitung hier im Thread anwenden. Meine Anleitung hier im Thread ist quasi eine Kurzanleitung auf Deutsch der von mir ebenfalls erwähnten englischsprachigen Detailanleitung. Man muss also nicht mal Englisch können. Und anschliessend sollte Dein Doogee wieder ohne Probleme laufen.

— geändert am 21.11.2017, 20:49:59 durch Moderator