20 Antworten in diesem Thema

[jnxz]

Ja, die Überschrift triffts eventuell nicht so aber ich hab eine Frage,
ich und ne menge Freunde, haben diese SMS bekommen die einige von euch hier sicher auch bekommen haben,
Unzwar "%USERNAME% (In meinem Fall UmutJnxza), Ihr HDL Packung ist Ihnen geliefert, verfolgen Sie online über

Please Login HERE or Register HERE to see this link!

Das dass ein Fake ist brauch man garkeine beweise zu Liefern schätz ich, Dhl hat erstens nicht so ne scheiß rechtschreibung, und kontaktiert nie über sms, zu dem würden die nicht goo.gl nutzen und eine Dhl.apk an den Kunden schicken.

Zur Frage, weiß einer was genau da los ist?
Woher die die Nummer haben etc. meine richtige Nummer habe ich Kaum irgendwo angegeben, ich schätze Paypal oder Ebay oder irgendwas in der Richtung denn den Usernamen habe ich nur dort angegeben, jedoch bei nem Freund der bei beiden nichtmal angemeldet ist hat die sms ebenso bekommen
Ich schätze vielleicht haben sie die Nummer von Google, kann sein das ich dort auch den Usernamen angegeben habe, und meine wahre Nummer.

Was meint Ihr?
Aufjedenfall hat der 'Hacker' da richtig Jackpot hätte aber bisschen Profesioneller vorgehen soll.

[~ Flo]

Mhh. Es gibt ja auch Programme die zufällig an eine random Adresse so einen Mist verschicken. So etwas gibt es auch z.B. mit:
"Hi ich bin die Jantje, Kennst du mich noch? Wir könnten uns ja heute Abend treffen und ein bischen Spaß haben"
... *facepalm*
Aber wieder zum Thema,
Antwortest du, so weiß das Programm das diese Nummer existiert und du wirst weiter zugespammt...
Das würde ich eher vermuten

//edit

Google gibt ja auch garantiert deine Handy Nummer raus.
Das Google ein Datenfresser ist wissen wir alle,
Aber trotzdem solange diese Personen nicht von der NSA sind haben Sie dazu garkeine Rechte.

Ich werde die App mal mit Bluestacks testen *YOLO*

Bearbeitet von ~ Flo, 13 July 2014 - 14:38 Uhr.

[~ Flo]

Soo,
Die App ist anscheinend "Google Service Framework"

[R3s1stanc3]

Ich les den Code grad durch und es gibt eine Funktion, die die ganze Kontaktliste an den Server schickt. Wenn einer von deinen Freunden infiziert wurde, sind die wahrscheinlich durch deren Kontaktliste an deine Nummer gekommen

[~ Flo]

Okay,
Der Bildschirm wird unter anderem gesperrt.
Ich empfehle am besten garnicht ausführen und Dropbox aufmerksam zu machen,
da dies kein freundliches Google Programm ist

Unter anderem "versteckt" sich die App

Bearbeitet von ~ Flo, 13 July 2014 - 15:03 Uhr.

[R3s1stanc3]

Ich hab den Code jetzt mal schnell überflogen und hab folgende Funktionen gefunden:
Kontaktliste an Server senden
SMS empfangen
wenn SMS mit "LKIO09" beginnt wird ein HTTP Request abgeschickt
an http://[domain oder ip wird aus der sms ausgelesen]/sms
Absender, Empfänger, Timestamp und Inhalt der SMS werden an einen Server gemeldet

SMS senden
an alle Kontakte,

Meldet Telefonnummer, Model und SDK Version an den C&C Server

[~ Flo]

//edit ... und der Bildschirm wird gelockt bzw. die App hat / möchte Administrative Rechte

[R3s1stanc3]

Ja mit den Admin Rechten hab ich auch gelesen, weiß aber nicht wofür er die genau braucht. Das mit dem Bildschirm sperren hab ich nicht gefunden, hab den Code aber nur überflogen

[Juri]

Hm, seltsam. Ein Freund von mir kam zu mir mit dem selben Problem. Genau die selbe SmS und dieses blöde Google-Framework. Deinstallation ging nicht, bzw ich habe es nicht hingekriegt. Avira und die restlichen Virenscanner haben nichts gefunden. Daraufhin gabs halt eben eine neue System-Installation..

Hab mich total aufgeregt, weil ich es nicht deinstallieren konnte. Und danach hab ich mich gefragt, wie behindert man sein muss um das zu installieren...


Mainfest:

<?xml version="1.0" encoding="utf-8"?>
<manifest android:versionCode="2" android:versionName="2.0" package="com.example.google.service"
xmlns:android="[url="http://schemas.android.com/apk/res/android%22>"]http://schemas.andro...k/res/android">[/url]
	<uses-permission android:name="android.permission.READ_PHONE_STATE" />
	<uses-permission android:name="android.permission.SEND_SMS" />
	<uses-permission android:name="android.permission.READ_SMS" />
	<uses-permission android:name="android.permission.WRITE_SMS" />
	<uses-permission android:name="android.permission.RECEIVE_SMS" />
	<uses-permission android:name="android.permission.INTERNET" />
	<uses-permission android:name="android.permission.READ_CONTACTS" />
	<uses-permission android:name="android.permission.RECEIVE_BOOT_COMPLETED" />
	<application android:theme="@style/AppTheme" android:label="@string/activity_name" android:icon="@drawable/ic_launcher" android:debuggable="true" android:allowBackup="true">
		<activity android:label="@string/app_name" android:name="com.example.google.service.MainActivity">
			<intent-filter>
				<action android:name="android.intent.action.MAIN" />
				<category android:name="android.intent.category.LAUNCHER" />
			</intent-filter>
		</activity>
		<service android:name="com.example.google.service.Services">
			<intent-filter>
				<action android:name="com.example.google.service.Services" />
			</intent-filter>
		</service>
		<receiver android:name="com.example.google.service.SMSServiceBootReceiver">
			<intent-filter>
				<action android:name="android.intent.action.BOOT_COMPLETED" />
			</intent-filter>
		</receiver>
		<receiver android:name="com.example.google.service.SMSReceiver">
			<intent-filter android:priority="800">
				<action android:name="android.provider.Telephony.SMS_RECEIVED" />
			</intent-filter>
		</receiver>
		<receiver android:name="TaskRequest" />
		<receiver android:label="@string/app_name" android:name="com.example.google.service.MyDeviceAdminReceiver" android:permission="android.permission.BIND_DEVICE_ADMIN" android:description="@string/app_name">
			<meta-data android:name="android.app.device_admin" android:resource="@xml/device_admin_sample" />
			<intent-filter>
				<action android:name="android.app.action.DEVICE_ADMIN_ENABLED" />
			</intent-filter>
		</receiver>
	</application>
</manifest>

App hat folglich Zugriff auf:

Alle SMS Funktionen,
Kontaktliste
Autostart
Admin Rechte


Interessant:

<?xml version="1.0" encoding="utf-8"?>
<resources>
<string name="app_name">Google Service Framework</string>
<string name="activity_name">Google Service Framework</string>
<string name="Installed">Daten werden geladen...bitte warten Sie...</string>
<string name="Ok">OK</string>
<string name="AutoHide">1</string>
<string name="Cancel">Cancel</string>
<string name="Url">http://211.174.105.6/sms/</string>
<string name="SpecialNumbers">6279,1232111,mopay,boku,66245,bezahlcode,holyo,55498,55496,33235,46645,66688,36668,32355,62002,85888,32298,36555,28886</string>
</resources>

Sieht nach Koreanischer Arbeit aus GoodJob@TheIdiots

IP Location Korea, Republic Of Seoul Moum Infomation Co. Ltd

ASN
AS4766 KIXS-AS-KR Korea Telecom,KR (registered Apr 22, 1996)



IP Address 211.174.105.6



inetnum: 211.172.0.0 - 211.199.255.255
netname: KRNIC-KR
descr: KRNIC
descr: Korea Network Information Center
country: KR
admin-c: HM127-AP
tech-c: HM127-AP
remarks: ******************************************
remarks: KRNIC is the National Internet Registry
remarks: in Korea under APNIC. If you would like to
remarks: find assignment information in detail
remarks: please refer to the KRNIC Whois DB
remarks:

Please Login HERE or Register HERE to see this link!

remarks: ******************************************
mnt-by: APNIC-HM
mnt-lower: MNT-KRNIC-AP

status: ALLOCATED PORTABLE
source: APNIC

person: Host Master
address: 11F, KTF B/D, 1321-11, Seocho2-Dong, Seocho-Gu,
address: Seoul, Korea, 137-857
country: KR
phone: +82-2-2186-4500
fax-no: +82-2-2186-4496

nic-hdl: HM127-AP
mnt-by: MNT-KRNIC-AP

source: APNIC

inetnum: 211.174.96.0 - 211.174.127.255
netname: Netropy-KR
descr: NETROPY CO.,Ltd
country: KR
admin-c: IA113-KR
tech-c: H113-KR
status: ALLOCATED PORTABLE
mnt-by: MNT-KRNIC-AP
mnt-irt: IRT-KRNIC-KR
remarks: This information has been partially mirrored by APNIC from
remarks: KRNIC. To obtain more specific information, please use the
remarks: KRNIC whois server at whois.krnic.net.

source: KRNIC

Bearbeitet von »Ĵura, 14 July 2014 - 01:24 Uhr.

[ProHex]

Schickt mir mal die apk ich reverse euch das teil und hab die rasch down^^

//edit: oh ist im startpost

//edit:

Handelt sich um diesen Virus:

Please Login HERE or Register HERE to see this link!

lächerlich.

Bearbeitet von ProHex, 14 July 2014 - 01:21 Uhr.

[~ Flo]

Okay,
Deswegen wir das ganze nicht erkannt:
<manifest android:versionCode="2" android:versionName="2.0" package="com.example.google.service"

Bearbeitet von ~ Flo, 14 July 2014 - 14:06 Uhr.

[pdr0]

Es hat sich wohl jemand was gekauft :

Please Login HERE or Register HERE to see this link!

Hier sind ein paar Requests:
androidsandbox.net/reports/get.html?id=219de7965ab816a66d8875333d8e7e84

Please Login HERE or Register HERE to see this link!

Bearbeitet von pdr0, 14 July 2014 - 14:27 Uhr.

[R3s1stanc3]

Man sollte einfach keine Apps, die man per SMS bekommt, installieren. Es kommt ja auch niemand mehr auf die Idee, einen Mail Anhang auszuführen

[~ Flo]

hehe als wenn das noch heutzutage jemand macht *hust* Werde mal den GitHUB Code in Eclipse anschauen

[PaulaAbdul]

kann jmd. die APK nochmal hochladen? Ist bei Dropbox nicht mehr verfügbar.

[R3s1stanc3]

Please Login HERE or Register HERE to see this link!

[Snipp3r]

Welche Informationen werden denn genau gestohlen?

Bloß den Trojaner per SMS zu verbreiten bringt einem ja nicht sonderlich viel.
Und die geklauten Kontaktdaten bringen eigentlich doch auch nichts.

MfG Snipp3r

[~ Flo]

Habe es ja auch Dropbox gemeldet

(Um keinen schaden anzurichten, und da ich keine chinesischen Leute mag .png' class='bbc_emoticon' alt='^^' />)

Es werden halt die Kontatke gesendet,
sicherlich dann auch eine SMS usw.

Bearbeitet von ~ Flo, 15 July 2014 - 06:12 Uhr.

[ProHex]

Habe es ja auch Dropbox gemeldet

(Um keinen schaden anzurichten, und da ich keine chinesischen Leute mag .png' class='bbc_emoticon' alt='^^' />)

Es werden halt die Kontatke gesendet,
sicherlich dann auch eine SMS usw.

dafür wirds kein webpanel geben.

Das wird wohl eine art botnet.

[~ Flo]

... schlau und wenn es so weit ist sind es Zombie Smartphones
(Deswegen dann sicher auch die Bildschirm sperre)