Forum: PC Hard- und Software Abzocke / Malware?


Announcement: there is an English version of this forum on EmbDev.net. Posts you create there will be displayed on Mikrocontroller.net and EmbDev.net.
von Johannes U. (kampfradler)


Lesenswert?

Leider mal wieder ein fremdes Problem, dem ich versuchen muss gerade auf 
die Spur zu kommen:

Eine nicht besonders digitalaffine Verwandte hat seit einiger Zeit einen 
Androiden.
Nun wunderte sie sich, dass auf der monatlichen Vertragsrechnung 
wiederholt ein leicht hoeherer Betrag stand, als eben vertraglich 
festgelegt.
Dabei war sie sich nicht bewusst irgendwas getan zu haben, was dieses 
begruenden koennte.
Die Auskunft des Haendlers, bei dem der Vertrag abgeschlossen wurde 
lautete dann, es seien SMS versendet worden und die kosteten halt extra, 
weil der Vertrag keine SMSflat dabei hat.
Soweit so gut, dann achtet man eben drauf keine SMS zu schreiben und der 
Fall ist geloest.

ABER:
Bei den Nachweisen der Einzelverbindungen tauchen die SMS derart auf, 
dass immer 3 Stueck in einem kurzen Zeitraum versendet werden, stets mit 
einer Pause von 15min - 30min zwischen den einzelnen SMS.
Zusaetzlich ist anhand der Uhrzeiten in einigen Faellen klar 
ersichtlich, dass die gute Frau da geschlafen haben muss.
Niemals wuerde sie nachts um 23:50 oder gar um 01:30 anfangen 3 SMS zu 
senden...
Die Zielnummern fallen alle in das Schema 01522093617xx, es variieren 
also stets nur die letzten beiden Ziffern.

Eine schnelle Onlinesuche sagt mir nun nichts zu den Nummern und weil 
mich die bloeden zugenagelten Androiddinger auch nur nerven, bin ich 
leider auch nicht in der Lage die angeblich gesendeten SMS in sowas wie 
einem 'Gesendet' Ordner zu finden.
Die Sache ist also bislang nicht nachvollziehbar.

Werden bei Android gesendete SMS nicht gespeichert?
Falls doch: wie kann ich die wo finden?
Kennt hier einer eine solche Masche wie oben beschrieben?

von (prx) A. K. (prx)


Lesenswert?

Johannes U. schrieb:
> Werden bei Android gesendete SMS nicht gespeichert?

Doch.

> Falls doch: wie kann ich die wo finden?

Standard-Android: "Messages". Kann bei andere Marken anders heissen.

Es gibt Apps, die an den SMS-Speicher rankommen, z.B. für Backup oder 
Transfer auf andere Geräte.

> Die Zielnummern fallen alle in das Schema 01522093617xx

Automatische Antworten auf Anrufe zu exotischer Zeit?

: Bearbeitet durch User
von (prx) A. K. (prx)


Lesenswert?

Johannes U. schrieb:
> weil mich die bloeden zugenagelten Androiddinger auch nur nerven

Bist du sonst eher iPhones gewohnt? ;-)

von Johannes U. (kampfradler)


Lesenswert?

(prx) A. K. schrieb:
> Johannes U. schrieb:
>> Werden bei Android gesendete SMS nicht gespeichert?
>
> Doch.

OK

>> Falls doch: wie kann ich die wo finden?
>
> Standard-Android: "Messages". Kann bei andere Marken anders heissen.

Also in dem Programm, mit dem SMS erstellt werden, wurden mir da nur die 
empfangenen SMS aufgelistet...nirgendwo gab es einen Punkt unter dem ich 
gesendete SMS haette finden koennen.
Doch wie gesagt, ich stehe mit diesem bloeden 
Glaswischiwaschitouchgedoens echt auf Kriegsfuss und bekomme stets 
zuviel, wenn ich da ran muss, eben weil kein bischen intuitiv und nahezu 
keine Kontrolle durch den Nutzer gegeben ist ;((

Wenn mir jemand da einen exakten Tipp geben koennte, mit welchem 
Programm genau ich wo genau nachschauen muss, um die gesendeten SMS 
aufzuspueren, waer ich echt dankbar!

> Es gibt Apps, die an den SMS-Speicher rankommen, z.B. für Backup oder
> Transfer auf andere Geräte.

Irgendein konkretes Programm?

>> Die Zielnummern fallen alle in das Schema 01522093617xx
>
> Automatische Antworten auf Anrufe zu exotischer Zeit?

Was soll das sein?
Sowas hat sie garantiert nicht eingerichtet, diese Nummern existieren 
auch nicht im Addressbuch und wie gesagt das Muster von jeweils 3 SMS im 
Abstand von 15 - 30 Minuten zueinander...
Fuer mich ist das spanisch.
Die kosten jetzt nur jeweils 15ct, aber man moechte doch schon, dass das 
Geraet kein unerwuenschtes Eigenleben fuehrt, sonst kann es irgendwann 
richtig teuer werden...

von Johannes U. (kampfradler)


Lesenswert?

(prx) A. K. schrieb:
> Johannes U. schrieb:
>> weil mich die bloeden zugenagelten Androiddinger auch nur nerven
>
> Bist du sonst eher iPhones gewohnt? ;-)

Die Dinger moecht ich auch nur an die Wand klatschen ;)
Da herrscht Gleichberechtigung!

Nee, man gebe mir einen vernuenftigen Rechner mit einem vernuenftigen 
Linux und einer vernuenftigen Tastatur, damit kann ich arbeiten.
(Maeuse mag ich uebrigens auch nicht, da krieg ich zuviel, weil ich nur 
eine Hand an der Tastatur haben kann :) )


Ich komme halt mit diesem proprietaeren Touchkram, der moeglichst viel 
vor dem Nutzer verstecken will, nicht klar, denn da fuehl ich mich 
verarscht.
Nichtsdestotrotz muss ich immer wieder an dieses Eine Geraet ran, um 
aufzuraeumen, was in der Zwischenzeit damit gemacht wurde...
Und wenn ich solche Geraete auch persoenlich nicht leiden kann, so stehe 
ich doch in der Pflicht und will solche Dinge dann auch klaeren.

von Nano (Gast)


Lesenswert?

Du könntest versuchen das Gerät zu rooten um mehr zu erfahren.

von Gerald K. (geku)


Lesenswert?

Nano schrieb:
> Du könntest versuchen das Gerät zu rooten um mehr zu erfahren.

Würde ich abraten. Habe damit negative Erfahrungengemacht.

- rooten lässt sich nicht mehr rückgängig ma ben
- es wurden keine Updates mehr installiert

Ich würde mir in der Berechtigungsverwaltung ansehen welche APPs Zugriff 
auf SMS haben, und diese gegebenenfalls sperren.

von Johannes U. (kampfradler)


Lesenswert?

Nano schrieb:
> Du könntest versuchen das Gerät zu rooten um mehr zu erfahren.

Bei einem Gerat unter meiner dauerhaften Regentschaft, aber sicher doch.

Das ist jedoch keine Option bei dem fraglichen Teil, denn ich sehe das 
Ding ja immer wieder nur fuer kurze Zeit und dann 2-3 Wochen wieder 
nicht.
Die Nutzerin koennte in dieser Zeit viel zu viel Bloedsinn mit einem 
gerooteten Geraet treiben.
Das ist mir viel zu unsicher und dafuer kann und moechte ich nicht die 
Verantwortung uebernehmen.

von Jens M. (schuchkleisser)


Lesenswert?

Johannes U. schrieb:
> Werden bei Android gesendete SMS nicht gespeichert?

Nicht zwangsläufig.
Der Playstore z.B. kann darüber Apps bezahlen, diese Funktion wird per 
SMS  freigeschaltet. Sieht man nicht.

Das eine App komische SMS verschickt mag sein, aber da werden dann 
Premium-SMS verschickt, man will ja Geld verdienen.
Eine normale Textnachricht kostet nur den normalen Preis und hat auch 
nur normale Ursachen.
Automatische Antworten wurden bereits erwähnt, auch die tauchen nicht 
auf der normalen "Gesendet"-Liste auf, da es sich da um eine andere App 
handelt.

Johannes U. schrieb:
> Sowas hat sie garantiert nicht eingerichtet, diese Nummern existieren
> auch nicht im Addressbuch

Das wäre ja gerade der Trick.
Nachts "nicht stören" aktiviert. Nummer ruft an -> Funktion schickt ein 
"Kann gerade nicht" zurück. (evtl. Bot) Am anderen Ende sieht "da kommt 
was zurück, gleich nochmal probieren" und das Spiel wiederholt sich.
Wer weiß...
Meine Kinder haben in ihrem Billighuawei auch eine "Firewall" die nur 
Anrufe von Kontakten aus dem Telefonbuch durchlässt. Die anderen werden 
wahlweise via SMS oder per Ablehnen beantwortet.

Nano schrieb:
> Du könntest versuchen das Gerät zu rooten um mehr zu erfahren.

Würde nicht unbedingt was bringen. Wenn dann muss man schon sehr tief 
eindringen, was Root braucht, ja, aber eben auch tiefere 
Systemkenntnisse die jetzt auch schon helfen würden zu finden was da ab 
geht.

Gerald K. schrieb:
> rooten lässt sich nicht mehr rückgängig ma ben

Falsch. Nur bei Samsung, alle anderen mir bekannten können beliebig 
entrootet werden, oft sogar inklusive "verstecken vor beliebigen Apps".
Zumindest meine Sonys, Huaweis und Redmis habe ich schon mehrfach ge- 
und entrootet. Ohne irgendwelche Einbußen.

Gerald K. schrieb:
> es wurden keine Updates mehr installiert

Auch falsch. Wenn man es richtig macht, entrootet sich das Gerät bei 
Update selber und hinterher ist es aktuell und wieder gerootet.

Gerald K. schrieb:
> Ich würde mir in der Berechtigungsverwaltung ansehen welche APPs Zugriff
> auf SMS haben, und diese gegebenenfalls sperren.

Dieses. Kann aber sein, das die Telefonapp und die Messages-App eins 
sind und nunmal SMS-Zugriff brauchen, dann ändert sich nichts.
Wenigestens muss man dann aber nur 2 Apps akribisch nach Optionen 
durchschnüffeln.

Johannes U. schrieb:
> Die Nutzerin koennte in dieser Zeit viel zu viel Bloedsinn mit einem
> gerooteten Geraet treiben.

Wenn man den Rootzugriff an ein Sicherheitsmuster/PIN bündelt, passiert 
da genau gar nix, außer der von dem User nicht beantwortbaren Frage.

Eine Drittanbietersperre ist immer anzuraten, aber wird in diesem Fall 
nix bringen weil keine Premium-SMS gesendet werden...

Mal versucht (mit unterdrückter Nummer) da anzurufen? Vielleicht meldet 
sich jemand, der Aufschluss geben kann...

von Heinz B. (Firma: Privat) (hbrill)


Lesenswert?

Hier steht auch was dazu, was es sein könnte :
https://www.etuo.de/blog/was-tun-wenn-das-handy-selbst-sms-verschickt/2180

von Nano (Gast)


Lesenswert?

Jens M. schrieb:
> Johannes U. schrieb:
>> Werden bei Android gesendete SMS nicht gespeichert?
>
> Nicht zwangsläufig.
> Der Playstore z.B. kann darüber Apps bezahlen, diese Funktion wird per
> SMS  freigeschaltet. Sieht man nicht.

Man kann bei seinem Mobilfunkanbieter eine Drittanbietersperre 
durchführen, dann sind Bezahldienste z.B. zum App Kauf über die 
Mobilfunkrechnung nicht mehr möglich.


> Nano schrieb:
>> Du könntest versuchen das Gerät zu rooten um mehr zu erfahren.
>
> Würde nicht unbedingt was bringen. Wenn dann muss man schon sehr tief
> eindringen, was Root braucht, ja, aber eben auch tiefere
> Systemkenntnisse die jetzt auch schon helfen würden zu finden was da ab
> geht.

Das meinte ich. Wenn es hier nämlich um eine Schadsoftware geht, die 
eine Lücke im System ausnutzt um dann SMS zu verschicken, dann ist ihr 
nur
damit auf die Spuren zu kommen.
Alternativ könnte man versuchen das Handy zu reseten und neu 
einzurichten.

von Gerald K. (geku)


Lesenswert?

Jens M. schrieb:
> Falsch. Nur bei Samsung, alle anderen mir bekannten können beliebig
> entrootet werden, oft sogar inklusive "verstecken vor beliebigen Apps".
> Zumindest meine Sonys, Huaweis und Redmis habe ich schon mehrfach ge-
> und entrootet. Ohne irgendwelche Einbußen.

In meinem Fall war es ein  Nokia 5800 XpressMusic.

von (prx) A. K. (prx)


Lesenswert?

Nano schrieb:
> Man kann bei seinem Mobilfunkanbieter eine Drittanbietersperre
> durchführen, dann sind Bezahldienste z.B. zum App Kauf über die
> Mobilfunkrechnung nicht mehr möglich.

Ich würde es lieber als "man sollte" formulieren. Es sei denn, man nutzt 
solche Dienste wirklich.

von Gerald K. (geku)


Lesenswert?

Jens M. schrieb:
> Auch falsch. Wenn man es richtig macht, entrootet sich das Gerät bei
> Update selber und hinterher ist es aktuell und wieder gerootet.

Darauf hatte ich vergeblich gewartet.

: Bearbeitet durch User
von Jens M. (schuchkleisser)


Lesenswert?

Gerald K. schrieb:
> Darauf hatte ich vergeblich gewartet.

Nuja, einfach so passiert das auch nicht.
Die Recovery muss den Update mitbekommen und entsprechend (be-)handeln.
Nur mit dem Hack SU aufzuspielen macht es nicht.

Gerald K. schrieb:
> In meinem Fall war es ein  Nokia 5800 XpressMusic.

Das ist Symbian, nicht Android.

Nano schrieb:
> Wenn es hier nämlich um eine Schadsoftware geht, die
> eine Lücke im System ausnutzt um dann SMS zu verschicken, dann ist ihr
> nur
> damit auf die Spuren zu kommen.

Aufgrund der Verbindung zu einer normalen Handynummer bezweifle ich das 
es eine Malware ist.

von Johannes U. (kampfradler)


Lesenswert?

Jens M. schrieb:

> Aufgrund der Verbindung zu einer normalen Handynummer bezweifle ich das
> es eine Malware ist.

Naja, das merkwuerdige ist ja, dass es durchaus idR eine in den letzten 
2 Ziffern unterschiedliche Nummer ist.
Bei einer Festnetznummer wuerde mich sowas an die diversen Durchwahlen 
einer Behoerde oder so erinnern.
Bei Mobilfunknummern hab' ich sowas noch nie bemerkt.

von Johannes U. (kampfradler)


Lesenswert?

Jens M. schrieb:

> Gerald K. schrieb:
>> rooten lässt sich nicht mehr rückgängig ma ben
>
> Falsch. Nur bei Samsung, alle anderen mir bekannten können beliebig
> entrootet werden, oft sogar inklusive "verstecken vor beliebigen Apps".

Tja, es ist ein Samsung :(

von Jens M. (schuchkleisser)


Lesenswert?

Evtl. ein Umfragebot mit gefakter Nummer, obwohl die üblicherweise 
Festnetze faken.

Ist denn in einem Dreierpaket die Nummer immer gleich? Hab ich so 
verstanden...

von Jens M. (schuchkleisser)


Lesenswert?

Johannes U. schrieb:
> Tja, es ist ein Samsung :(

Ih, Knox.

Aber wenn man Knox nicht braucht (Garantie, Bezahlfunktion) geht's auch.
Nur das Bit ist halt gesetzt...

von Pandur S. (jetztnicht)


Lesenswert?

Weshalb nimmt man fuer nicht-Fans ein Abo ? Weshalb nicht pre-pay ?

von Nano (Gast)


Lesenswert?

Jens M. schrieb:
> Nano schrieb:
>> Wenn es hier nämlich um eine Schadsoftware geht, die
>> eine Lücke im System ausnutzt um dann SMS zu verschicken, dann ist ihr
>> nur
>> damit auf die Spuren zu kommen.
>
> Aufgrund der Verbindung zu einer normalen Handynummer bezweifle ich das
> es eine Malware ist.

Früher zur ISDN und Analog Modem Zeit, gab es auch Schadsoftware für 
Telefondealer die ganz bewusst besonders teure Einwahlnummern anriefen 
und die Anbieter dieser Einwahlknoten haben sich einfach damit 
herausreden können, dass sie auf so eine Software keinen Einfluss haben 
und es nicht ihre sei.

von (prx) A. K. (prx)


Lesenswert?

Johannes U. schrieb:
> Bei Mobilfunknummern hab' ich sowas noch nie bemerkt.

Nummernkreise für Unternehmen gibts im Mobilfunk genauso wie im 
Festnetz. Ist technisch natürlich anders realisiert, weil nicht per 
Telefonanlage. Und anders als im Festnetz sind da auch z.B. 
xxx000-xxx499 drin.

: Bearbeitet durch User
von Nano (Gast)


Lesenswert?

Johannes U. schrieb:
> Jens M. schrieb:
>
>> Aufgrund der Verbindung zu einer normalen Handynummer bezweifle ich das
>> es eine Malware ist.
>
> Naja, das merkwuerdige ist ja, dass es durchaus idR eine in den letzten
> 2 Ziffern unterschiedliche Nummer ist.

Ich weiß nicht ob das beim Mobilfunk geht und es funktioniert, aber 
vielleicht könnte man Mobilfunkanbieterseitig eine Rufnummersperre 
dieser beiden Nummern veranlassen.

von Johannes U. (kampfradler)


Lesenswert?

D'oh m( ...

Ich kann erstmal aufhoeren zu suchen...

Mir war entfallen, dass ich mich ja bereits vor 3 Wochen um das Geraet 
gekuemmert hatte.
Die Sache war so:
Die Nutzerin hatte bereits vorher ein Samsung und da natuerlich auch das 
obligatorische gmail-Konto.
Dann kam sie in meiner Abwesenheit vor einiger Zeit auf die Idee:
'ich will was Neues und dann wird ploetzlich alles gut'...
Das funktioniert nun selten und so hat eine andere Person ihr das neue 
Teil an die Backe gebracht und auch gleich ein 2. gmail-konto 
eingerichtet...
Totaler Bloedsinn!
Als ich dann endlich vor Ort war, hab ich die Bescherung erstmal 
aufgeraeumt, indem ich das Teil auf die Werkseinstellungen 
zurueckgesetzt habe und es dann mit dem urspruenglichen gmail-konto 
verknuepft...
Deshalb sind die gesendeten SMS, die liegen naemlich bis jetzt alle in 
dem Zeitraum vor dem Zuruecksetzen des Telephons, auch jetzt 
unwiderruflich weg, was auch immer das war.
Erst bei der naechsten Rechnung, die wahrscheinlich Mitte August 
vorliegen wird, kann ich dann sehen, ob sich das Problem nun aufgeloest 
hat oder ob nach dem Zuruecksetzen und der Verknuepfung mit dem alten 
gmail-Konto immer noch automatisch SMS an merkwuerdige Nummern gesendet 
werden

von Johannes U. (kampfradler)


Lesenswert?

Jens M. schrieb:
> Evtl. ein Umfragebot mit gefakter Nummer, obwohl die üblicherweise
> Festnetze faken.
>
> Ist denn in einem Dreierpaket die Nummer immer gleich? Hab ich so
> verstanden...

Nope, innerhalb eines dieser 3er Pakete ist idR jede Nummer in ihren 
letzten beiden Ziffern unterschiedlich.

von Johannes U. (kampfradler)


Lesenswert?

(prx) A. K. schrieb:
> Johannes U. schrieb:
>> Bei Mobilfunknummern hab' ich sowas noch nie bemerkt.
>
> Nummernkreise für Unternehmen gibts im Mobilfunk genauso wie im
> Festnetz. Ist technisch natürlich anders realisiert, weil nicht per
> Telefonanlage. Und anders als im Festnetz sind da auch z.B.
> xxx000-xxx499 drin.

Das glaub ich gerne.
Verwunderlich ist halt, dass mir das Internet bei der Suche nach dem 
unveraenderlichen Rumpf der Nummer rein garnix ausspuckt.
Handelte es sich dabei um ein Unternehmen, so wuerde ich eigentlich 
erwarten, dass eine Suche fuendig wird.

von Johannes U. (kampfradler)


Lesenswert?

Nano schrieb:
> Johannes U. schrieb:
>> Jens M. schrieb:
>>
>>> Aufgrund der Verbindung zu einer normalen Handynummer bezweifle ich das
>>> es eine Malware ist.
>>
>> Naja, das merkwuerdige ist ja, dass es durchaus idR eine in den letzten
>> 2 Ziffern (*) unterschiedliche Nummer ist.

(* da hab ich wohl ein 'jeweils' vergessen)

> Ich weiß nicht ob das beim Mobilfunk geht und es funktioniert, aber
> vielleicht könnte man Mobilfunkanbieterseitig eine Rufnummersperre
> dieser beiden Nummern veranlassen.

Es sind mehr als nur 2 Nummern:
-17
-22
-36
-37
-42
-44
und was da sonst noch alles bei den Einzelverbingsnachweisen erscheinen 
wuerde, hab mir bis jetzt nur 2 Rechnungen von Juli und Juni angesehen, 
da wird das Muster sofort klar und die Sache mit dem unveraenderten 
Nummernrumpf sowie den variablen Endziffern deutlich

von Jens M. (schuchkleisser)


Lesenswert?

Johannes U. schrieb:
> Handelte es sich dabei um ein Unternehmen, so wuerde ich eigentlich
> erwarten, dass eine Suche fuendig wird.

Nicht zwangsläufig.
Unsere Firma hat auch Mobil-Nummernblöcke, die stehen gar nirgends im 
Internet, weder komplett noch der Rumpf o.ä.
Rufen sonst bloß Leute an, die Techniker sollen arbeiten, nicht labern.

Nano schrieb:
> Früher zur ISDN und Analog Modem Zeit, gab es auch Schadsoftware für
> Telefondealer die ganz bewusst besonders teure Einwahlnummern anriefen

Jup, aber 0152 ist eine normale Handynummer. Oder gibt es 
Premium-Handynummern? Wäre mir neu...

Johannes U. schrieb:
> Nope, innerhalb eines dieser 3er Pakete ist idR jede Nummer in ihren
> letzten beiden Ziffern unterschiedlich.

Das macht die Sache noch schräger...

von (prx) A. K. (prx)


Lesenswert?

Johannes U. schrieb:
> Handelte es sich dabei um ein Unternehmen, so wuerde ich eigentlich
> erwarten, dass eine Suche fuendig wird.

Nicht bei Mobilnummern.

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.