Pozdrav društvo!
Imam nešto što bih želio da podijelim sa vama, naime, vrtim jedan pfSense firewall, router i transparent proxy na njemu i već neko vrijeme analiziram saobraćaj na mreži i primjetio sam ogroman broj konekcija (po par hiljada dnevno, po domeni) na linkove koji vode prema kineskim serverima.
 Analizom log-ova proxy servera otkrio sam sljedeće aplikacije koje pristupaju zloćudnim linkovima:

Battery Doctor, CM Security, CM Browser, i općenito sve što ima prefix CM i sve od Cheetah Mobile...

EDIT#1: UC Browser šalje DNS query-e na upoll.umengcloud.com, koji, provjereno, sadrži sljedeći malware: https://goo.gl/oYMqO5

https://goo.gl/qYYbG4 (Cheetah Mobile Inc. (NYSE: CMCM))
https://play.google.com/store/apps/developer?id=Cheetah+Mobile+Inc.
https://play.google.com/store/apps/developer?id=Cheetah+Mobile

  Njihovi linkovi koji se vrte u background-u direktno pristupaju sljedećem malware-u:
* ADWARE/ANDR.Leadbolt.G.Gen
* Adware.Leadbolt.12.origin
* AdDisplay.Dowgin.X
* PUA.AndroidOS.Dowgin
* Riskware.Android.Leadbolt.dkzuxh
* Android Dowgin
- interceptori linkova na kojima je detektovan malware: Avira, DrWeb, ESET-NOD32, Ikaru, NANO-Antivirus, Sophos

Navedeni malware servira reklame i generiše background saobraćaj prema Kini, ko zna kojeg sadržaja.
Domene koje hostaju ovaj adware, pa čak i botnet-e su:
appinfocdn.ksmobile.net
zj.dcys.ksmobile.com
up.dcys.ksmobile.com
w.cm.ksmobile.com
cfg.cml.ksmobile.com
www.cm.ksmobile.com
up.cm.ksmobile.com
helpwhitetile21.ksmobile.com
adash.m.taobao.com
cmplay.did.ijinshan.com
upoll.umengcloud.com
proxy.ksmobile.com
feedback.ksmobile.com
fk.cm.ksmobile.com
cmbc.ksmobile.com
st.dp.ksmobile.com
weathercn.ksmobile.com
spider.zj.ios.ksmobile.com
n.m.ksmobile.com
helpkprotect1.ksmobile.com
helpreminder1.ksmobile.com
img.cm.ksmobile.net
behacdn.ksmobile.net
apkquery.ksmobile.net
apkq-cm.ksmobile.net
api.appjiagu.com
stats.jpush.cn
s.api.xiaoying.co

Nakon konfiguracije access control-a u proxy-u, odnosno blokiranja nekih od ovih domena, aplikacije su saobraćaj preusmjerile na druge domene, ispočetka su bile samo 2-3 i ne znam da li je ovo konačna lista malware domena vezano za ove android aplikacije.
Broj konekcija, dnevno, prema vanjskim linkovima zna biti i po par hiljada...
Linkovi: http://pastebin.com/UGSf9wJg     http://pastebin.com/P8yXuFrQ

- Prosječan broj korisnika pfSense-a: 30, od toga 5-6 koji konstantno pristupaju ovim domenama, opseg analiziranja: 2 mjeseca.

Većina domena je registrovana na:
ZhaoYiDing
ShellInternet
fusun internetional N.237 Chaoyang Road North
Beijing, Be 100022
CH
Telephone: 8601062927779
Fax: 8601062927779

Mislim da je poruka jasna.
Pozdrav!!!

A CCleaner?

Siguran je. 

Kaj to znači da UC browser, ako imam na mobu, trebam obrisati?

Ako želiš biti siguran, obriši.

 Može preporka nekog drugog browsera? (ovaj sam uzeo zbog najvećeg broja korisnika i najviše ocjene)

 Firefox

Opera.

Sad mogu biti zloban i napisati "a šta sam vam ja reka"

Sve te 3rd party nepotrebne aplikacije su ništa nego sigurnosna rupa. Kakav ebeni battery doctor, jako se dobro zna što i kako ždere bateriju na Androidu.

Točno. Čitao sam negdje na nekoj stranici (tipa MakeUseOf ili negdje drugdje, ne mogu se sjetiti) test s battery saverima i bez i ispalo je kako se baterija više troši dok su isti instalirani. Ako već netko želi koristiti battery saver neka koristi onaj zadani što dolazi s Androidom.

Ne vjerujem da su neki ljudi toliko lijeni da ne mogu potegnuti statusnu traku i ugasiti Wi-Fi, mobilne podatke, GPS i slično kada to ne koriste.

koristim i uc browser i cm applock i nemam ih namjeru brisat pa me zanima dal je dovoljno zabaranit im background promet da bi blokira ova spajanja gore navedena?

Možeš im pokušati zabraniti promet, ali onda moraš pazit da oni ne bi zaobišli zaštitu. Najbolje je te aplikacije izbrisati i instalirati alternative.

Najbolja opcija je konfigurisati kućni firewall (pfSense ili DD-WRT) i lično se uvjeriti šta Vam izlazi i ulazi iz vaših uređaja. Pokušajte blokirati background promet, međutim ako aplikacije imaju sudo pristup OS-u Vašeg uređaja (root-ovan uređaj) nećete moći blokirati saobraćaj te aplikacije.

Na miui 8 ima security app koji dolazi s romom i u njemu je cleaner i pise powered by clean master. To znaci da bi trebao izbrisati taj cijeli security app i koristiti cCleaner kao alternativu? 

Koristim i UC browser znaci i njega bi trebao mijenjati za operu

MIUI su napravili kinezi, isto kao i Clean Master te UC Browser. Osobno kinezima ne vjerujem i zato ne koristim njihove programe/aplikacije. Gore je napisan jedan od razloga zašto im ne vjerujem.

Znaci ne isplati mi se uopce dirat to, mislim ne znam sto tocno riskiram time. 

Tako je. Ako se već želiš riješiti tih gluposti, onda bi bilo najbolje da postaviš drugi ROM koji po mogućnosti nisu napravili kinezi. Xiaomi i ostali kineski proizvođači surađuju s kineskim developerima kako bi njihove aplikacije dolazile instalirane s ROM-om.