Battery Doctor, CM Security, CM Browser...

Pozdrav društvo!
Imam nešto što bih želio da podijelim sa vama, naime, vrtim jedan pfSense firewall, router i transparent proxy na njemu i već neko vrijeme analiziram saobraćaj na mreži i primjetio sam ogroman broj konekcija (po par hiljada dnevno, po domeni) na linkove koji vode prema kineskim serverima.
 Analizom log-ova proxy servera otkrio sam sljedeće aplikacije koje pristupaju zloćudnim linkovima:

Battery Doctor, CM Security, CM Browser, i općenito sve što ima prefix CM i sve od Cheetah Mobile...

EDIT#1: UC Browser šalje DNS query-e na upoll.umengcloud.com, koji, provjereno, sadrži sljedeći malware: https://goo.gl/oYMqO5

https://goo.gl/qYYbG4 (Cheetah Mobile Inc. (NYSE: CMCM))
https://play.google.com/store/apps/developer?id=Cheetah+Mobile+Inc.
https://play.google.com/store/apps/developer?id=Cheetah+Mobile

  Njihovi linkovi koji se vrte u background-u direktno pristupaju sljedećem malware-u:
* ADWARE/ANDR.Leadbolt.G.Gen
* Adware.Leadbolt.12.origin
* AdDisplay.Dowgin.X
* PUA.AndroidOS.Dowgin
* Riskware.Android.Leadbolt.dkzuxh
* Android Dowgin
- interceptori linkova na kojima je detektovan malware: Avira, DrWeb, ESET-NOD32, Ikaru, NANO-Antivirus, Sophos

Navedeni malware servira reklame i generiše background saobraćaj prema Kini, ko zna kojeg sadržaja.
Domene koje hostaju ovaj adware, pa čak i botnet-e su:
appinfocdn.ksmobile.net
zj.dcys.ksmobile.com
up.dcys.ksmobile.com
w.cm.ksmobile.com
cfg.cml.ksmobile.com
www.cm.ksmobile.com
up.cm.ksmobile.com
helpwhitetile21.ksmobile.com
adash.m.taobao.com
cmplay.did.ijinshan.com
upoll.umengcloud.com
proxy.ksmobile.com
feedback.ksmobile.com
fk.cm.ksmobile.com
cmbc.ksmobile.com
st.dp.ksmobile.com
weathercn.ksmobile.com
spider.zj.ios.ksmobile.com
n.m.ksmobile.com
helpkprotect1.ksmobile.com
helpreminder1.ksmobile.com
img.cm.ksmobile.net
behacdn.ksmobile.net
apkquery.ksmobile.net
apkq-cm.ksmobile.net
api.appjiagu.com
stats.jpush.cn
s.api.xiaoying.co

Nakon konfiguracije access control-a u proxy-u, odnosno blokiranja nekih od ovih domena, aplikacije su saobraćaj preusmjerile na druge domene, ispočetka su bile samo 2-3 i ne znam da li je ovo konačna lista malware domena vezano za ove android aplikacije.
Broj konekcija, dnevno, prema vanjskim linkovima zna biti i po par hiljada...
Linkovi: http://pastebin.com/UGSf9wJg     http://pastebin.com/P8yXuFrQ

- Prosječan broj korisnika pfSense-a: 30, od toga 5-6 koji konstantno pristupaju ovim domenama, opseg analiziranja: 2 mjeseca.

Većina domena je registrovana na:
ZhaoYiDing
ShellInternet
fusun internetional N.237 Chaoyang Road North
Beijing, Be 100022
CH
Telephone: 8601062927779
Fax: 8601062927779

Mislim da je poruka jasna.
Pozdrav!!!

Siguran je. 

Ako želiš biti siguran, obriši.

 Firefox

Sad mogu biti zloban i napisati "a šta sam vam ja reka"

Sve te 3rd party nepotrebne aplikacije su ništa nego sigurnosna rupa. Kakav ebeni battery doctor, jako se dobro zna što i kako ždere bateriju na Androidu.

koristim i uc browser i cm applock i nemam ih namjeru brisat pa me zanima dal je dovoljno zabaranit im background promet da bi blokira ova spajanja gore navedena?

Najbolja opcija je konfigurisati kućni firewall (pfSense ili DD-WRT) i lično se uvjeriti šta Vam izlazi i ulazi iz vaših uređaja. Pokušajte blokirati background promet, međutim ako aplikacije imaju sudo pristup OS-u Vašeg uređaja (root-ovan uređaj) nećete moći blokirati saobraćaj te aplikacije.

MIUI su napravili kinezi, isto kao i Clean Master te UC Browser. Osobno kinezima ne vjerujem i zato ne koristim njihove programe/aplikacije. Gore je napisan jedan od razloga zašto im ne vjerujem.

Tako je. Ako se već želiš riješiti tih gluposti, onda bi bilo najbolje da postaviš drugi ROM koji po mogućnosti nisu napravili kinezi. Xiaomi i ostali kineski proizvođači surađuju s kineskim developerima kako bi njihove aplikacije dolazile instalirane s ROM-om.