Mycket märkligt beteende på Nexus 5X, malware? Vad göra? Påverkar Google Play m.m. HJÄLP UPPSKATTAD!

Diskussion i 'Allmänt' startad av N6290, 17 okt 2017.

  1. N6290

    N6290 Professional Droid Medlem

    Blev medlem:
    12 sept 2012
    Inlägg:
    3 362
    Mottagna gillanden:
    1 722

    MINA ENHETER

    Jag behöver verkligen er hjälp!
    Igår började min telefon bete sig oerhört märkligt åt, jag har aldrig sett något liknande. Jag skrev om problemet på XDA men fick inget svar, brukar aktiviteten vara så dålig där? Väljer att klistra in texten (på engelska) nedan.

    TL;DR:
    Två personer skickade sådana malware-länkar till mig på Facebook Messenger (Lite-appen). Jag öppnade aldrig länkarna, jag såg ju direkt vad det var. Mitt Facebook-konto beter sig som vanligt och verkar inte hackat men kort tid efteråt började min telefon uppvisa tecken på att någon form av skadligt program tagit över.
    Nu har jag lyckats få telefonen att vara som vanligt igen, genom att avinstallera tre appar (osäker på om omstarten av telefonen eller avinstallationen av apparna var det som hjälpte), men jag litar inte alls på att den är ren. Om jag fabriksåterställer den, kan jag lita på att den är ren då? Den är ej rootad, jag har inte gjort några förändringar, inga custom roms, inte låst upp bootloadern osv (jag antar att bootloadern är låst som standard, rätta mig om jag har fel). Någon sa till mig att så länge den installerar OTA-uppdateringar från Google så kan man lita på att den är ren nästan helt säkert men nästa sådana uppdatering kommer ju först i november.


    Lång beskrivningen av problemet på engelska:
    -----
    Some very weird things started happening on my phone earlier today. It's a Nexus 5X, running 8.0 Oreo, with the October security patch. I'm not rooted and I'm careful about what I install. The phone is fairly new, from this summer.

    I will begin with describing what I did in the hours before this started. I can think of two things that possibly could have started it:
    1) Two of my Facebook contacts sent malicious links to me an hour before. It looked like Youtube videos but was not. I did NOT open any of these links, knowing directly they were harmful (not sure if you can be affected by just receiving them, not clicking on them?). I received them in the Messenger Lite application (an official app from Facebook with scaled-down functionality).
    2) A few hours before the Facebook links, I sideloaded an APK containing the new Pixel Launcher. I got the APK from Android Police/APK Mirror.
    http://www.androidpolice.com/2017/1...-including-new-pixel-2-features-apk-download/
    https://www.apkmirror.com/apk/googl...ixel-launcher-p-4275643-android-apk-download/

    The APK was working fine and nothing seemed odd with it (I used the launcher for a few hours). As long as Android Police know what they uploaded, this shouldn't be the cause for my problems. I bet on Facebook Messenger instead. (People that click such malware links typically get their Facebook accounts hacked, however my account seems fine and my account didn't spam others with the same link. I did not change password or did anything else to "recover" my account yet).

    So what happened after this on my phone?
    Here is the first thing I noticed. I open Play Store to install updates. It turns out I have one update pending, it's called BankID. This is a major Swedish app used by nearly every smartphone user in the country, and it's for signing into government websites, bank websites, insurance company websites, and much more. When I click update in Play Store two things happen almost instantly:
    1) Six pictures are downloaded from Messenger Lite to my phone.
    [​IMG]
    That makes no sense, how could clicking a button in Google Play trigger something to happen in Messenger Lite? In fact I tried it three times, with the same behavior every time. (Well, actually opening the Messenger Lite photo album, there are only photos there I already downloaded, so nothing new seems to be added there - but the photos were probably re-downloaded I believe).
    2) The BankID update downloads to 100 % (the downloading takes a little longer than expected, 28 MB is usually downloaded almost instantly), then it halts and does nothing, i.e. it's not installing. No error message, it just stops there. I can choose to abort and try again, which I do three times or more, with exactly the same behavior.
    Also, I now notice Play Protect hasn't run for two days, but when I try to run it, it seems to be down. After ~30 seconds of scanning it says "App verification temporarily down".
    [​IMG]
    "App verification temporarily down" could very well be connected with the halted update I just described? It still says it hasn't run for two days after this.

    When I experiment, I notice other things that are very weird indeed.
    1) Notifications in Gmail, Snapchat and possibly other apps aren't coming through. By opening the apps, I can sync manually.
    2) When I move a file to a new folder using the Downloads app (Files app, stock one) I get a error message saying the move operation failed.
    [​IMG]
    This also triggered the photo notifications from Messenger Lite (same behavior as described above, with six photos). However, after a while the moved pictures are indeed in the right folder, even though the error message saying otherwise.
    3) After some time I remove "app data" for the Google Play app. When I open it after that, there are now three app updates pending (e.g. Google Wifi also). But the same behavior occurs, when I try to download one or all of them, I get the Messenger photo notifications and the updates halt at 100 % without installing. So the BankID app - which could be targeted by attackers for obvious reasons - could just be a coincidence. It could have happened with any app I suppose, this was the only one pending right then. But still, why couldn't Play Store detect other pending app updates until I refreshed it the way I did? Was Play Store blocked from connecting to Google (or forced to connect to some other server, perhaps?).

    What did I do after all of this?
    I uninstalled three apps:
    -Facebook Lite
    -Facebook Messenger Lite
    -Pixel Launcher APK
    However the uninstall process was very odd. A process called "Package Installer" had a notification saying "Uninstalling Lite" and "Uninstalling Messenger Lite". It didn't seem to be working, it was stuck after some time.
    [​IMG]
    I restarted my phone and the apps seem to be gone now, at least they aren't listed in Settings --> Apps. So the uninstall process was successful I suppose, even though it didn't seem to work.
    After I restarted my phone I also noticed:
    -When I install Messenger Lite from Play Store now, it's easy to uninstall it the way it should be - in mere seconds.
    -When I open Play Store, updates are now installing fine. Play Protect is also scanning fine now.

    Everything looks back to normal now. But I'm not trusting my device. I'm gonna factory reset it. Before I do, I wonder:
    -Can I feel safe the wipe would erase whatever malware I might have had on the phone?
    -Is there something I could do to let us know what caused this? Upload a log here somehow?
    The only piece of advice I have received as of now is: "Try restarting in safe mode, installing some AV software, and generally looking for suspicious processes." I haven't done that yet, would it still be a good thing to do? Must I install AV software before rebooting into safe mode, or could I install it directly from safe mode? (App suggestions, AV software?).

    Usually I'm very careful and security-minded. I haven't had something like this happen before. So I'm very intrigued and mad about this. I'm gonna change my Google account and Facebook account passwords later on I think (I already have 2-factor authentication enabled).

    One last thing: When I install Pixel Launcher on my non-rooted phone, it's not running as a system app if my understanding is correct. (At least it shouldn't be). But none the less, when I wanted to uninstall it I had to go into Settings --> Apps and tap "Show system apps" to find it in the list. Is that normal? Perhaps it doesn't mean anything, I just want to know.

    Thanks for your advice in advance. Anything else to add? What should I do know? All you might have to say is appreciated.

    ---

    Ja som sagt, alla råd är uppskattade! Jag planerar att fabriksåterställa den senare idag, finns det något jag bör göra först, t.ex. ladda upp någon slags logg som kan hjälpa oss att ta reda på vad som orsakade detta?
     
  2. Arju

    Arju Teen Droid Medlem

    Blev medlem:
    25 jun 2013
    Inlägg:
    489
    Mottagna gillanden:
    268
    Operatör:
    Vimla!
    Telefon:
    Google Pixel

    MINA ENHETER

    Operatör:
    Vimla!
    Telefon:
    Google Pixel
    ROM:
    Dirty Unicorns
    Info:
    Nova Launcher Prime
    Har du möjlighet att koppla luren upp till en dator och dra ut en logcat via adb så kan det hjälpa till med att visa vilka tjänster (services) som kör när detta händer. Om jag var dig skulle jag fabrikåterställa luren och även radera allt som finns i den interna lagringen (internal storage). Gör det via telefonen och se om den beter sig konstigt om den fortfarande gör det så får vi göra en Factory Reset med Nexus 5x image fil där absolut allt på luren raderas och ersätts av den senaste uppdateringen.
     
    edvinnn och Kristy gillar detta.
  3. N6290

    N6290 Professional Droid Medlem

    Blev medlem:
    12 sept 2012
    Inlägg:
    3 362
    Mottagna gillanden:
    1 722

    MINA ENHETER

    Tack för ditt svar!

    Det är såhär, att jag aldrig har använt adb. Jag använder dessutom en Chromebook just nu, och har antagligen inte tillgång till en Windows-dator på några dagar. Så frågan är, finns det något annat sätt att göra detta på? Om jag själv går in i inställningar och letar efter tjänster/services (tror det finns en sådan meny där), skulle det åstadkomma samma sak? Ev i kombination med safe mode.
    Eftersom problemen till synes har upphört kanske det inte finns något intressant att hitta där. Vet inget sätt att återskapa det märkliga beteendet. Men hade ju varit värt ett försök, om det finns minsta chans att få svar.

    Jag ska fabriksåterställa, och såvitt jag vet raderas allting i den interna lagringen i samband med det. Menar du att det krävs något ytterligare steg? I den interna lagringen har jag, såvitt jag förstår, inte tillgång till system-mappen (som kräver root för att skriva i). Den enda mapp jag använder är Downloads, som jag tömmer med jämna mellanrum efter synk till Google Drive. Förtydliga gärna vad jag behöver göra!

    Till sist. Jag förstår om du inte är insatt i problemet med skadliga länkar som skickas över Facebook, men har du hört talas om att själva telefonen (inte Facebook-kontot) skulle kunna bli smittad på det sättet? Har du hört någon liknande historia om att en app (Messenger Lite) skulle kunna påverka en annan app, t.ex. Google Play som är en systemapp, på ett till synes oförklarligt sätt?
    Bara nyfiken, för jag har aldrig hört om något sådant! En infekterad APK-fil ska ju inte kunna göra så stor skada såvitt jag förstår, pga sandboxing m.m. Det kanske är en felaktig uppfattning jag har.
     
  4. N6290

    N6290 Professional Droid Medlem

    Blev medlem:
    12 sept 2012
    Inlägg:
    3 362
    Mottagna gillanden:
    1 722

    MINA ENHETER

    Just det, slänger in en fundering till. En person jag berättade för reagerade direkt "det låter väldigt märkligt, måste vara malware". Jag instämde men har även funderat i möjligheten att filsystemet eller operativsystemet skulle vara korrupt på något sätt. Eller att själva hårdvaran, typ minnet, är korrupt. T.ex. en korrupt hårddisk vet jag kan ge vissa felmeddelanden ibland när man försöker flytta filer, i stil med att det misslyckades, men sen visar det sig att det visst gick. Ett sådant felmeddelande fick jag upp en gång på telefonen, som ni vet.

    Vad tror ni, talar omständigheterna för malware eller finns det öppningar för andra förklaringar, t.ex. korrupt filsystem, korrupt installation av OS:et eller problem med minnet, själva hårdvaran?
     
  5. Arju

    Arju Teen Droid Medlem

    Blev medlem:
    25 jun 2013
    Inlägg:
    489
    Mottagna gillanden:
    268
    Operatör:
    Vimla!
    Telefon:
    Google Pixel

    MINA ENHETER

    Operatör:
    Vimla!
    Telefon:
    Google Pixel
    ROM:
    Dirty Unicorns
    Info:
    Nova Launcher Prime
    @N6290@N6290 Det kan vara svårt att bedöma vart problemet ligger utan log. Hade du haft root så hade jag frågat dig efter logcat, dmesg och last_kmsg loggar för att lista ut av exact vad problemet kan vara. En infekterad apk kan agera som en uppdatering till en original fil. Så man får vara lite försiktig när man installerar 3:e parts apk filer. Ett exempel är om paketnamnet är exact det samma som en original så agerar den infekterade som en uppdatering. Därifrån kan den injicera startup filer och tjänster som körs i bakgrunden.

    För att hitta tjänster så kan det vara svårt att göra det via luren utan log då kanske paketnamnet lurar ögat till att tro att det inte är något fel. Med logg kan man se avvikelserna då du ett problem uppstår och vad det är för program/tjänst som startar upp/kör precis när problemet uppstår.

    För att ta loggar via telefonen behövs root. I den interna mappen finns en hel del mappar. Det kan även finnas dolde filer. Dom dolda filerna syns när man kopplar luren till en dator. Allt där kan du radera innan du gör en fabrikåterställning.

    Som en absolut sista lösning för att resan upp allt är att göra detta: https://developers.google.com/android/images
    Dock osäker på om det går att göra med ChromeOS. Är bara googla och se om nån annan har gjort det.

    Nexus 5x är känd för ett hårdvaruproblem som uppstår efter ett lång tag med användande dvs typ 1,5-2år. Dock gör problemet så att man hamnar i en bootloop och det är ett hårdvaruproblem. Annat än som så är det osäkert. Gör en vanlig fabrikåterställning och kolla av läget på luren från där, finns problemet inte kvar då är det lugnt. Dyker det upp igen med samma symptom så får vi gå till nästa lösning.
     
    Kristy gillar detta.
  6. N6290

    N6290 Professional Droid Medlem

    Blev medlem:
    12 sept 2012
    Inlägg:
    3 362
    Mottagna gillanden:
    1 722

    MINA ENHETER

    Tack för att du har tagit dig tid att svara!

    Jag återställer den snart då. Jag ska dock först följa det råd som en person gav mig, gå in i safe mode och köra antivirusprogram. Om ni vet något bra antivirusprogram, säg gärna. Annars tar jag nog ett från valfri känd tillverkade i Play Store. (Har aldrig använt sådana program på en telefon pga den fasta övertygelsen om att det är onödigt, kanske får ompröva det).

    Aha så om en infekterad APK förs in som en uppdatering, så behåller den alla 'permissions' (glömmer svenska ordet - behörigheter)?
    Jag brukar som sagt inte installera lösa APK:er i vanliga fall. De få gånger jag gjort det har det varit APK:er från Android Police/APK Mirror. Alltid Google-appar som jag inte orkat vänta på eller som saknats i Sverige. Android Police (sajten) brukar hävda att de är signerade av Google och därför säkra. Så jag antar att en Google-app inte kan manipuleras på det sättet du nämner, genom en falsk uppdatering. Men andra APK:er (typ Facebook) kanske är öppna för angrepp på det sättet då.

    Till sist, du skriver:
    "I den interna mappen finns en hel del mappar. Det kan även finnas dolde filer. Dom dolda filerna syns när man kopplar luren till en dator. Allt där kan du radera innan du gör en fabrikåterställning".

    Här måste jag dubbelkolla så jag förstår rätt. Vilken är den "interna mappen", menar du allt som finns i telefonens "root" om man säger så, dvs DCIM, Downloads, Ringtones, System (System är en dold mapp som finns här såvitt jag förstår) och så vidare?
    Kan jag försöka radera allting härifrån, även DCIM, Downloads och sådana systemmappar?

    Kom på en till sak som kanske är viktig. I min Downloads-mapp fanns det igår några märkliga filer. Nu har jag raderat dem, men jag tog en printscreen först:
    (Den översta filen kan bortses från, sådana har skapats i flera år på mina telefoner och beror antagligen på appen Foldersync, men kolla på de fyra nedre filerna).

    [​IMG]

    De var antagligen dolda (men ändå synliga för mig eftersom jag såg dem). Anledningen till att jag tror att de är dolda är att appen Foldersync, som synkar Downloads med Google Drive, inte laddade upp dem och inte heller ska ladda upp dolda filer eftersom det är urbockat i inställningar. Det var ganska stora filer. Inget som jag själv lagt dit. Chrome står det, hmm?

    I printscreenen syns amerikansk datumangivelse, dvs MM/DD/YY. Telefonen slogs på första gången 18 augusti, så 23 augusti i bilden ovan (två av filerna) är några dagar efter jag fick den. Sedan 14 september och 13 oktober. Ingen av dessa filer syntes i Downloads tidigare, trots att datumen som anges tyder på ett de funnits där hela tiden.
     
  7. Arju

    Arju Teen Droid Medlem

    Blev medlem:
    25 jun 2013
    Inlägg:
    489
    Mottagna gillanden:
    268
    Operatör:
    Vimla!
    Telefon:
    Google Pixel

    MINA ENHETER

    Operatör:
    Vimla!
    Telefon:
    Google Pixel
    ROM:
    Dirty Unicorns
    Info:
    Nova Launcher Prime
    @N6290@N6290 När jag pratar om den interna mappen så menar jag /storage/emulated/0/
    Allt som finns där kan raderas. Det som kallas för root är steget bakåt där man hittar system folder etc. Där behöver du inte göra nått. I och med att du inte har root så ska inte nån fil visas i den foldern.

    Jag brukar använda apkmirror med så ja det verkar konstigt att det har blivit så. (har ej svar på varför). "/storage/emulated/0/" kan kallas för sdcard i några lurar, även om du inte har sdcard-slot så kallas det för sdcard men syftar till internal storage.

    Ja ibland blir det knas. Har varit med om det en gång där jag fick pop-ups i en hel del olika apps som man inte brukar att få pop-ups på.

    Det är som du säger att om en package-filen heter det samma som en original fil så kan man skapa egna uppdateringar, givetvis att dom är signerade på samma sätt. När man trycker install och godkänner dom permissions som den begär så står applikationen fritt till att injicera filer som malware. Det är som att man öppnar huvuddörren till hemmet och nån placerar en skadlig formån i vardagsrummet. Även om man har säkrat hallen och bytt lås på dörren så måste man få bort den skadliga förmånen från vardagsrummet.

    (sorry blev lite engelska där i mellan också. Hänger en del på XDA men då i Nexus 6 forum och Galaxy s8. Termen är lättare på engelska. Själv är jag Norrman så om svenska inte är på topp så beror det på det).
     
    Kristy gillar detta.
  8. N6290

    N6290 Professional Droid Medlem

    Blev medlem:
    12 sept 2012
    Inlägg:
    3 362
    Mottagna gillanden:
    1 722

    MINA ENHETER

    Hej igen!

    Nu är det nästan ett år sedan detta hände, men jag är fortfarande undrande till vad som egentligen orsakade det. Efter återställningen märkte jag inga nya problem, sen bytte jag från Nexus 5X till en Pixel några månader senare.

    Inga nya teorier? Någon som hört talas om något liknande?

    Glömde tacka för ditt senaste svar, Arju! Bra att någon orkar ta sig tid och svara. Din svenska är ju utmärkt, hade aldrig gissat att du var norrman. Men du bor i Sverige sedan ganska länge, är min gissning?
     
    Arju och bernard gillar detta.
  9. N6290

    N6290 Professional Droid Medlem

    Blev medlem:
    12 sept 2012
    Inlägg:
    3 362
    Mottagna gillanden:
    1 722

    MINA ENHETER

    Ingen som har teorier?
     
  10. Arju

    Arju Teen Droid Medlem

    Blev medlem:
    25 jun 2013
    Inlägg:
    489
    Mottagna gillanden:
    268
    Operatör:
    Vimla!
    Telefon:
    Google Pixel

    MINA ENHETER

    Operatör:
    Vimla!
    Telefon:
    Google Pixel
    ROM:
    Dirty Unicorns
    Info:
    Nova Launcher Prime
    Missade helt att svara. Tackar, tackar, har bott i Sverige sedan 2013. :P

    Min teori är fortfarande att något har injicerat som malware i din "local storage" som är berättigat att köra i bakgrunden. Jag personligen hade kört en fabriksåterställning via datorn vid att använda Nexus 5x full factory image, och inte gjord det via mobilen... Säkrar man sig att alla partitioner raderas och skrivas över igen.

    Förutom detta är jag aningslös hur dom lyckats.
     
    Kristy gillar detta.
  11. ajo.lill

    ajo.lill Adult Droid Medlem

    Blev medlem:
    15 okt 2018
    Inlägg:
    718
    Mottagna gillanden:
    595
    Operatör:
    Tele2
    Telefon:
    Samsung Galaxy S23

    MINA ENHETER

    Operatör:
    Tele2
    Telefon:
    Samsung Galaxy S23
    Full återställning är bästa vägen att gå när sådant händer. Dvs tryck på stock ROM från datorn, som Arju sa.

    Svårt att säga exakt vad som hänt, men låter absolut som att något har hittat in på telefonen. Du är helt säker på att du inte av misstag öppnade någon av länkarna? Visserligen, även om du gjort det, så krävs det antingen root access eller att du godkänner unknown sources för att installera något.

    Intressant hade varit att försöka få tag på bilderna som den laddade ner och öppna dom via datorn. Det går ju att gömma lite vad som helst i en annan fil, så att det är bilder behöver inte nödvändigtvis innebära att det inte innehåller mer.
     
    Arju och Kristy gillar detta.