Ursprünglich veröffentlicht: https://www.kuketz-blog.de/android-spyware-in-10-schritten-erkennen-und-entfernen/
Android-Spyware ist selten der große »Hightech-Hack« – meistens ist es ein Angriff nach dem Motto: Gelegenheit macht Diebe. Ein paar Minuten Zugriff auf ein entsperrtes Gerät reichen, um eine Überwachungs-App zu installieren und ihr die nötigen Rechte zu geben. Danach läuft sie möglichst unauffällig im Hintergrund, tarnt sich mit harmlosen Namen und versucht, sich gegen Entfernung abzusichern. Wer einen konkreten Verdacht hat, sollte ruhig bleiben, aber strukturiert vorgehen. Genau dafür ist dieser kompakte Leitfaden gedacht. HinweisDie folgenden Prüfpunkte ersetzen keine forensische Analyse: Gezielte Zero-Day-Angriffe, kompromittierte Firmware oder staatliche Spionage-Toolchains lassen sich mit den folgenden Checks in der Regel nicht zuverlässig…
Hinweis
Auf googlefreien Geräten (ohne Google Play-Dienste/Play Store) gibt es Play Protect in der Regel nicht – dort fällt dieser Prüfschritt also weg und du stützt dich umso mehr auf die manuellen Kontrollen.
Hier kann ein Drittanbieter-Malwarescanner (und ausgehend von deinem Test der Malwarescanner vor allem MaintainTeam/Hypatia oder LoveLaceAV) helfen.
Btw: Was soll eigentlich der Werksreset bei einem offenen Bootloader und somit einem möglichen manipulierten OS oder auch nur durch Root bringen?
Danke. Ist ergänzt.
Warum Werksreset? Weil in der Praxis die allermeiste Spyware in Apps, Einstellungen und Berechtigungen, nicht in einem dauerhaft implantierten System-Image, sitzen.
Wenn du wirklich von »möglich manipuliertes OS« ausgehst, ist die saubere Lösung nicht »Werksreset«, sondern: Vollständiges Neu-Flashen eines vertrauenswürdigen Original-Images (inklusive Boot/System/Vendor, je nach Gerät) aus einer verifizierbaren Quelle und danach Bootloader wieder sperren, damit Verified Boot wieder greift.
Hypatia von DivestOS läuft allerdings nicht mehr, weil die Datenbank nicht mehr geladen werden kann. Laufen tun die beiden Forks MaintainTeam/Hypatia und LoveLaceAV.
Das Nachladen des ‘ganzen Beitrags’ #1 funktioniert nicht.
https://www.kuketz-forum.de/t/beitraege-in-blog-microblog-werden-nicht-geladen/11335/3 (Link nur angemeldet aufrufbar)
Das Problemchen habe ich selbst schon öfters beobachtet und hat sich bis jetzt immer innerhalb kürzester Zeit “repariert“ 