GrapheneOS - RethinkDNS: App "ANDROID" wurde installiert: Malware?

Innerhalb kurzer Zeit (gestern Abend/nachts) haben ein Freund und ich unabhängig voneinander Webseiten besucht (Durchführung einer Amazonbestellung bzw. Aufruf einer Nachrichtenseite einer Lokalzeitung).

Wir beide verwenden GrapheneOS und RethinkDNS.
Es wurden allerdings zwei unterschiedliche Browser verwendet (Vanadium & Privacy Browser
Bei beiden wurde während des Aufenthalts auf den Seiten von RethinkDNS die Nachricht angezeigt, dass die App „ANDROID“ (alleine die Schreibweise ist schon shady) installiert wurde und ob diese weiterhin geblockt werden soll.

Funfact:
Rethink listet zum einen die URL und zum anderen die IP-Adresse auf.
Beide scheinen in meinem Fall nicht miteinander in Zusammenhang zu stehen (Reverse IP lookup).
Wenigstens kommt die mutmaßlich falsch angezeigte IP-Adresse in Deutschland bei Hetzner raus.

In Rethink kann man auch für die System-Apps bei Klick auf das i zu den App-Einstellungen gelangen, um Permissions einzustellen, etc.
Bei der „ANDROID“ App funktioniert das nicht.

Wir machen uns gerade Gedanken, ob das ein Angriff ist und wie dieser aufgebaut sein soll. Wurden in den Listen/DNS-Servern Domains auf malware-Schleuder-IPs umgebogen?

Hat jemand hier ähnliche Erfahrungen gemacht.
Sollte es sich um einen Angriff handeln, ist es natürlich ein weißer Zug, die App ANDROID zu nennen, damit man möglichst gar nichts zu dem Stichwort findet.

Für Rückfragen stehe ich natürlich gerne zur Verfügung.

UPDATE:
bei einem baugleichen Pixel mit Google Android ist die ANDROID App nicht installiert.

Hallo,

wurde schon bei GrapheneOS nachgefragt?

Hi,
ich habe „Dringend“ dran geschrieben, da ich eine potentielle Malware nicht unnötig lange auf dem Handy haben möchte. In Abgrenzung zu Themen, deren Beantwortung nicht unbedingt schnell behandelt werden müssen.

Ich recherchiere in alle Richtungen, da ich nicht sicher weiß, wo die Schwachstelle und/oder die Ursache liegt. Ich weiß, dass hier einige User GrapheneOS & RethinkDNS nutzen:
ja bei GOS wurde im Forum nachgefragt.

Viele Grüße!

Yepp … und zwar auf einem HUAWEI Tablet mit HarmonyOS, das ich ledlich zum Surfen, Videos gucken und Musik hören (LibreTube, RadioDroid, NewPipe für Bandcamp…) nutze.

Bei den Einstellungen / Apps gibt’s nix, was ANDROID heißt; auch bei ReThink wird die ja nicht als installierte App angezeigt.

Ich habe keine Ahnung ob das stimmt, aber mein 1. Gedanke war, dass dies eine „fehlerhafte“ Anzeige von Rethink ist. Habe aber selber nicht weiter in diese Richtung recherchiert.

Installier mal App Manager und guck mal damit.

https://f-droid.org/packages/io.github.muntashirakon.AppManager/

Nachdem ich RethinkDNS deinstalliert und erneut Installiert habe, wurden die „ANDROID“ & die „DNS“ App nicht angezeigt. Erst wieder nach dem Einspielen der zuvor gesicherten Einstellungen.
Das war aus anderen Gründen ein Schmerz, aber das gehört hier nicht hin.
Klingt für mich aktuell eher nach Fehlalarm.

Habe ein Pixel 8 und GOS + Rethink DNS. Ebernfalls das gleiche Vorkommnis bei mir. Am selben Tag. Konnte bisher nichts dazu finden. Ist schon bisschen schräg.

Im GOS Forum, hat keiner eine Meinung dazu, bzw kam noch nichts. Na mal weitergucken…

Grüße

Wenn das OS die App in den Einstellungen nicht auflistet, würde ich eher auf einen Fehler in RethinkDNS tippen.

Es kam vor wenigen Tagen ein Update für RethinkDNS raus. Scheinbar hängt es damit zusammen.
Im Forum von GOS habe ich noch keine Rückmeldung erhalten, die DEVs von RDNS habe ich per Mail kontaktiert.

Zu den weiteren beiden groß geschriebenen Apps habe ich folgende (von mir noch nicht geprüfte) Hinweise erhalten:

DNS:
Das ist eine Systemapp bei Nutzung von private DNS (dnsforge.de) nutzt. Erscheint nur in Firewall, sonst nicht sichtbar.

GPS:
ist auch eine nicht aufgeführte App. Dort sind die Module von npt.org

Fehlt also nur noch „ANDROID“.

„TriChrome Library“ erscheint auch nicht in den Einstellungen, wird aber immer bei Aktualisierungen von z.B. „Chrome“ und „Android System WebView“ in entsprechender Version eingespielt, ansich auch „nur“ 'ne Apk, die in älteren Versionen von NetGuard bei Einspielung auch noch mit bei jeder Installation im Gegensatz zu normalen Apps mit jeweils neuer UID gemeldet wurde, mehr gibts da ohne root nicht zu sehen, ist in der Regel mehrfach installiert, da verschiedene Versionen benötigt werden.

Der Hinweis auf „GPS“ und „DNS“ erinnert aber an das manuelle Hinzufügen von System-Apps ala NetGuard, da diese nicht durch Listen der Apps gefunden werden, diese jedoch feste UIDs haben.

Interessant wäre dennoch, was dann mit „ANDROID“ gemeint ist, z.B. die UID der „App“.

@strauch_2 Man muss extra auswählen, dass System-Apps mit angezeigt werden, siehe drei Punkte rechts oben.

Wahrscheinlich hätte ich System-Apps noch in Anführungszeichen schreiben sollen …

… GPS und DNS und noch ein paar andere sind eben keine „normalen“ System-Apps.

Ich hab das Gleiche erlebt mit RethinkDNS und einem Samsung S24, als ich auf golem.de unterwegs war. RethinkDNS zeigte als Benachrichtigung, dass eine App blockiert wurde. Das war dann die App „ANDROID“, die nicht unter Apps auftaucht (auch nicht unter Systemapps) und auch keine Details über das „i“ Preis gibt.

Jede Androidversion und -variante hat als Kern des Betriebssystems die Systemapp Android-System. RethinkDNS zeigt sie als ANDROID an. In der Android Debug Bridge gibt der Befehl adb shell pm list packages diese App als android zurück - ohne den Präfix com., der vor anderen Systemapps steht.
Das Vorhandensein dieser App ist also völlig normal bzw. für jedes Android essentiell. Ich halte es auch für normal, dass sie nicht von jedem Tool angezeigt wird, da alles andere auf ihr laufen müsste. Das ist auch bei meinen Androiden so. Zuverlässig kann sie nur die adb anzeigen.
Was ich auf meinen Geräten (z.B. Samsung Stock ROM) nicht sehe, ist dass diese App selbst Verbindungen ins Internet aufnimmt. Ungewöhnlich muss das aber auch nicht sein.
Zusätzlich hat RethinkDNS die Eigenschaft bestimmte Funktionen des OS als „App“ anzuzeigen, obwohl diese gar nicht existiert, sondern über mehrere Systemapps verstreut ist. Das trifft z.B. auf die Standortdienste zu, die als GPS angezeigt werden. GPS existiert als einzelne Systemapp nicht, wie wieder der adb-Befehl pm list packages zeigt.
Möglich ist daher, dass RethinkDNS Internetverbindungen die nicht eindeutig einer Systemapp zugeordnet werden können, einfach unter ANDROID einsortiert. Besorgen würde mich das nur, wenn die aufgerufene Adresse verdächtig ist und sie ohne Anlass aufgerufen wird.