Android: Dringende Warnung vor Clean Master (Boost Antivirus)

Bei einem App-Review für mobilsicher.de bin ich bei Clean Master (Boost Antivirus) [App wurde mittlerweile aus dem Play Store entfernt] gerade auf kritische Netzwerverbindungen gestoßen. Der Hersteller Cheetah Mobile bindet massenhaft Tracker und Werbung ein und übermittelt unter anderem ungefragt die eindeutige Android-Seriennummer.

Damit nicht genug, es werden im Hintergrund auch unverschlüsselte Verbindungen (kein TLS) zu Porno-Seiten geöffnet und dort etliche Anfragen abgesetzt. Zum Beispiel an »topmobilebabes.com«:

GET /index.html?feeder=r&site=198285 HTTP/1.1
Host: topmobilebabes.com
Connection: close
Pragma: no-cache
Cache-Control: no-cache
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Linux; Android 6.0.1; Build/MOB31K; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/61.0.3163.98 Mobile Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: de-DE,en-US;q=0.8
Cookie: TS01b1a2a1=010e7206b8e8dd8e1bc16f1220fc116de7488fc20bc9cae64889d080f6d537301695cf8b16
X-Requested-With: com.cleanmaster.mguard

Es wird sogar ein Cookie gesetzt, dass die Wiedererkennung des Nutzers ermöglicht. Weiter geht es mit »free.hd-2bigdick.bid«:

GET /girls/?uid=MiowhwYjw HTTP/1.1
Host: free.hd-2bigdick.bid
Connection: close
Pragma: no-cache
Cache-Control: no-cache
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Linux; Android 6.0.1; Build/MOB31K; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/61.0.3163.98 Mobile Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: de-DE,en-US;q=0.8
Cookie: xvrtiu=nkiwhk
X-Requested-With: com.cleanmaster.mguard

Auch hier wird ein Cookie gesetzt. Es sieht so aus, als würde die App im Hintergrund »Traffic« für Porno-Seiten erzeugen, die dubiose Weiterleitungen anstoßen und selbst Werbung aufrufen. Eine Einblendung von nackten Tatsachen innerhalb der App erfolgt nämlich nicht. Brisant ist dann auch, dass ein innerhalb der App integrierter Tracker »analytics.rayjump.com« eine zuletzt gesehene URL übermittelt:

last_url%253Dhttp%25253A%25252F%25252Ffree.hd-2bigdick.bid%25252Fgirls%25252FHD_Porn_Player_v.46.13.23.apk

Das ist der Link zu einer APK-File, die bei »free.hd-2bigdick.bid« gehostet wird. Der Dateiendung nach zu urteilen, handelt es sich um einen Android Video-Player für Pornos.

Ich habe die Datei dann mal heruntergeladen und bei VirusTotal hochgeladen:

  • AhnLab-V3: Android-Trojan/Slocker.52987 20171114AhnLab-V3 Android-Trojan/Slocker.52987
  • Arcabit: Android.Trojan.SLocker.AFA
  • Avast-Mobile: Android:Evo-gen [Susp]
  • Avira (no cloud): ANDROID/Hiddad.FND.Gen
  • […]

Die APK-Datei beinhaltet demnach einen Trojaner!

Cheetah Mobile ist bereits in der Vergangenheit mit der App CM Security Antivirus Applock äußerst negativ aufgefallen. Dort konnte ich feststellen, dass sich der Updateprozess für die Signaturen der »Viren« überlisten lässt und beliebig eigene Signaturen einspielbar sind. Auch bei Clean Master (Boost Antivirus) wird der Update-Server über eine unverschlüsselte Verbindung kontaktiert und die Versionsnummer der Signaturen erfragt. Es scheint, als habe Cheetah Mobile nichts gelernt. (IT-)Sicherheit geht anders – die App ist eher mit einer Schadsoftware vergleichbar.

Die Adresse der Entwickler lautet übrigens:

Hui Tong Times Square NO. 8,
Yaojiayuan South Road,
Chaoyang District,
Beijing 100022 People’s Republic of China

Ich gebe euch einen Tipp: Deinstalliert jegliche Apps von Cheetah Mobile. Jetzt!

Hilf mit die Spendenziele zu erreichen! Mitmachen ➡