Dafür braucht es nur einen anderen Kunden bei Deinem Provider, der vor Dir die aktuell zugewiesene IP-Adresse hatte und diese bei seinem DynDNS-Service (oder auch bei AVM's MyFRITZ!-Service) hinterlegen ließ.
Wenn der jetzt inzwischen seinen Router "abgeklemmt" hat und die Adresse hinter dem von ihm verwendeten DynDNS-Namen nicht mehr aktualisiert wird und trotzdem noch irgendein Gerät bei ihm versucht, auf eine FRITZ!Box über diesen DynDNS-Namen zuzugreifen, dann gibt es eben bei Dir diese Meldung.
Wobei das trotzdem komisch ist, denn eigentlich müßte bei diesem hypothetischen "Vorgänger" dann eine Meldung von der App gekommen sein, daß der Public-Key des Zertifikats der FRITZ!Box jetzt ein anderer ist. Aber so, wie ich das im Kunden- und Bekanntenkreis beobachtet habe, verstehen die meisten eine solche Warnung/Information gar nicht richtig und lassen dann trotzdem die Verbindung herstellen und den in der App hinterlegten Public-Key aktualisieren.
Wenn das bei Dir aber auch über mehrere (eigene) IP-Adressen verteilt auftritt, dann wird wohl irgendjemand (oder irgendetwas, viele "vergessen" so etwas ja auch, wenn es irgendwo eingerichtet wurde) Deiner FRITZ!Box über irgendeine DynDNS-Adresse oder einen MyFRITZ!-Account "folgen" ... wobei hier ja auch nichts davon zu lesen ist, ob Du nun selbst einen MyFRITZ!-Account oder einen DynDNS-Service verwendest (und den externen Zugriff absichtlich aktiviert hast) und ob das nun bei mehreren IP-Adressen auftrat, wenn es schon "seit einiger Zeit" zu beobachten ist. Wenn Du gar keine derartigen Apps von unterwegs benutzen willst und es keinen Grund für die Fernwartung gibt, deaktiviere die einfach - ansonsten hilft es sicherlich, wenn Du das (wenigstens ein klein wenig) ausführlicher erklärst, was Du konfiguriert hast ... am Ende ist es nur irgendein eigenes mobiles Gerät, das sich da wieder in Erinnerung bringt und ein (lange gelöschtes) Konto verwenden will.
So eine "App-Anmeldung" sollte sich jedenfalls darauf beziehen, daß da eine URL aufgerufen wurde, die mit "/tr064/" beginnt und einen SOAP-Request für den TR-064-Zugriff erwartet. Alles andere sollte als "Benutzer" erscheinen im Event-Log. Da diese URL mit dem "tr064" dann schon etwas spezieller ist, ist so etwas entweder wirklich ein gezielter Angriff auf die (externe) TR-064-Schnittstelle von AVM (diesen "Umweg" über das CGI hat sich AVM selbst ausgedacht, das kenne ich zumindest von keinem anderen Hersteller von Consumer-Routern) und der Versuch, da irgendwelche Daten zu erraten oder eben irgendeine verirrte App, die den falschen Server belagert. Was das nun genau ist, sollte man aber anhand der Tatsache herausbekommen, ob da ein "fester" Anmeldename mit einem falschen Kennwort verwendet wird oder ob da schon ein Ratespiel für (wechselnde) Anmeldenamen enthalten ist.
