IPIDEA Malware

[Confluencer]

Ich habe letzte Woche von meinem ISP eine Mail bekommen, dass eines meiner Geräte mit der IPIDEA Malware infiziert wären.
Nach einer kurzen Recherche war klar, dass die Mail echt ist.

Bei IPIDEA handelt es sich um einen "Residential Proxy Network” (mehr dazu beim BSI), bei dem infizierte Anschlüsse an andere zur Nutzung verkauft werden (die damit weiß Gott was anstellen). Ich frage mich, ob ich hier vorsichtshalber noch eine Anzeige bei der Polizei stellen sollte, da man nicht wissen kann, wofür es verwendet wurde.

Mit einer Fritzbox hätte man das betroffene Gerät vermutlich direkt im Online-Monitor unter Top-Verbraucher gefunden.

Da ich dahinter einen OpenWRT Router habe, konnte der FB Online-Monitor hier nicht hilfreich sein. Unter OpenWRT kann mit dem Paket luci-app-nlbwmon der "Netlink Bandwidth Monitor" installiert werden. Dort konnte man schnell erkennen, welches Gerät in kürzester Zeit Gigabytes an Daten in beide Richtungen scheffelt. Als Konsequenz habe ich eine Firewall Regel angelegt, die Traffic von der Source Mac-Adresse verbietet (das geht natürlich mit der Fritzbox nicht).

Es war leider eins dieser Geräte, dass keinen Hostname in der Netzwerk-Übersicht zeigt. Ein Glück kann man MAC-Adressen nachschlagen -> es war eines der vielem Amazon Geräte in meinem Haushalt. Mit der Alexa App konnte ich dann sehen welches der Geräte die MAC-Adresse verwendet: es war ein Fire TV Cube. Hier war dann schnell klar, was auf dem Cube läuft, was nicht aus dem Amazon Appstore kommt: SmarTube.

Im GitHub-Projekt von SmarTube bin ich dann fündig geworden:

Important announcement about the app​

My development environment was infected by unknown malicious software, as a result of which a few builds may have been affected. Once the issue was detected, I secured everything with a full disk wipe, restored a clean setup, and now all builds are scanned with VirusTotal. The F-Droid version will also be verified before release.

Solltet ihr auf euren Androidgeräten auch SmarTube verwenden, dann ist Zeit zu handeln!

 

[the other]

Moinsen,
und besten Dank für die Warnung.
Ich habe gerade mal nachgeschaut...zuerst bei Pihole, ob da irgendwas besonders viele DNS Anfragen raus haut. Dann ebenso bei pfblocker...beides ohne Befund .
Dann mal in den Traffic der VLANs geschaut...auch nix Auffälliges.
Ntop nutze ich aktuell nicht, war auf der pfsense als package immer ein bisle "besonders".
Und auf dem fire Stick (der hier auch für den meisten Traffic sorgt) läuft besagtes Paket hier nicht. Die Anfragen des fire Sticks sind die üblichen, wobei davon bereits fast alles weggefischt wird, was nicht wirklich wichtig für die Nutzung ist.

Doof sowas. Gut aber, dass dir das dann auch nach dem Hinweis direkt aufgefallen ist und es beseitigen konntest. Ist ja auch mal schön, dass selbst hierzulande (Internet...Neuland) dann sowas auch mal funktioniert (also Warnung und so).
Gefühlt nimmt das leider zu zuletzt: immer öfter sind ja auch wesentliche und wichtige Sub-Bestandteile von Services korrumpiert und dann hast du direkt den riesigen Multiplikator. Und mit der Option "mal kurz die KI zu fragen..." wenn mal wieder Langeweile herrscht oder aber irgendeine individuelle Laus über die Leber gelaufen ist, haben die Depperten in der Welt es noch leichter (von den eigentlichen Profis mal abgesehen), hier gehörig in die Suppen zu spucken, zum Teil mit Auswirkungen, über die wir vermutlich in Zukunft noch mehr solcher Geschichten erleben...
Brave New World.

 

[ab78ni]

Wow, wie kommt denn diese Software auf deinen FireTV Cube? Hast du die selbst installiert?

Du sprichst jetzt von Android-Geräten, gibt es sowas auch bei Apple-Geräten?

 

[Confluencer]

Jupp, SmarTube war selbst installiert. Allerdings ist die Malware erst durch ein Update reingekommen, nachdem der Entwickler sich selbst etwas einfangen hat.

Dank https://www.bleepingcomputer.com/ne...android-tv-breached-to-push-malicious-update/ weiß ich jetzt auch das 30.43-30.47 gesichert befallen waren. Bei mir war 30.48 drauf, die ebenfalls befallen war. Erst mit 30.55 ist es nachweislich behoben. Die Versionen sind auch nicht mehr im GitHub Repo zu finden.

Es war dummer Zufall, dass es mich mit dieser App erwischt hat.

Bei Heise findet man folgendes dazu: https://www.heise.de/news/Google-zi...s-IPIDEA-Residential-Proxy-Netz-11158935.html

 

[Confluencer]

Glatt vergessen zu erwähnen: ich hab vorsorglich eine Anzeige gegen unbekannt gestellt. Dank "Online Wache" war es auch nicht mit viel Aufwand verbunden.