这是一个创建于 2938 天前的主题,其中的信息可能已经有所发展或是发生改变。
没有 root,一直没有安装什么不明应用。
版本号中有 oneplus 感觉与一加有关(没有证据)
大概跑了我 500M 流量
什么直接发信息打电话的权限都有了
用 adb pull 把病毒文件提取出来
病毒文件 https://drive.google.com/drive/folders/0B0BqKmdrXg3JYUtGX1BFRHNlZkk
第 1 条附言 2017-10-02 13:36:09 +08:00
貌似 shell 流量宝 和 授权管理 都是官方的 有问题的是计算器
 | 1 isnowify 2017-10-02 12:01:06 +08:00 via Android 可能是自己接电脑然后还瞎开调试模式被 adb 安装软件? |
 | 2 ysc3839 2017-10-02 12:11:41 +08:00 via Android 看不明白你发的截图 |
 | 3 abmin521 OP |
 | 4 sky0009 2017-10-02 12:39:36 +08:00 via Android @isnowify 那楼主电脑也得有程序执行 adb 安装吧?那么这个程序是。。。 照你这么说,楼主电脑也中毒不轻 |
 | 5 m4j0r 2017-10-02 12:42:49 +08:00 可能是这个流氓软件自己 root 的 |
 | 6 mdzz 2017-10-02 12:42:57 +08:00  1 这个“计算器”大有问题,几乎列出了所有权限,类名还有什么 guernica hulatang,感觉超骚气 另外两个 apk 里面没有 classes.dex ,就没看 |
7 abmin521 OP |
| 9 ysc3839 2017-10-02 12:51:45 +08:00 via Android @abmin521 建议你试试清除 /data,如果还是存在的话说明这几个应用是系统自带的。那你可以考虑重新刷系统了。 |
 | 10 505243267 2017-10-02 12:52:10 +08:00 via Android 流量宝是 H2OS 自带软件。 |
| 11 abmin521 OP |
| 12 sky0009 2017-10-02 12:56:10 +08:00 via Android @abmin521 可能是伪装成 OTA 更新包混进来的,尽管没人能解释怎么做到的。。。 一加的 root 权限应该跟小米的 bl 锁一样可以强行锁住的吧。病毒自己获取 root,不太可能 (记得当初我一部山寨机无法 root,但 ota 更新正常。我就幻想着把 superSU 文件伪装成 ota 更新,刷进去就 root 了。当然也只能想想图样图森破啊) |
| 13 abmin521 OP |
 | 14 mokeyjay 2017-10-02 13:07:28 +08:00 购买途径呢?非官网吧? 之前 X 宝买过小米 3,系统都是被篡改过的,各种系统文件全被加广告加弹窗,天知道还有什么。果断官网下载个包刷了 |
 | 16 Rice 2017-10-02 13:53:26 +08:00 via Android 是不是开 usb 调试了? |
 | 17 seasstyle 2017-10-02 14:06:05 +08:00 via iPhone ota 是可以通过网络流量和 dns 来劫持办到的,给你推一个变态包。这年头到处都是小偷 |
 | 18 20015jjw 2017-10-02 14:47:56 +08:00 via Android 1 国产系统好可怕 |
 | 19 parametrix 2017-10-02 14:55:01 +08:00 |
 | 20 TigerK 2017-10-02 14:56:07 +08:00 流量宝可能是用来压缩移动数据流量,从而减少流量消耗的。欧鹏和 360 以前都做过类似的产品。 |
 | 21 supersu 2017-10-02 15:16:48 +08:00 底层都是官方固件的话,第三方制作的 ota 是刷不进去的,因为会校验签名,第三方没有私钥。 |
 | 22 iVeego 2017-10-02 16:08:17 +08:00 H2OS 好久不用了,凭印象是流量宝官方的,注意下如果开了的话,系统使用的所有的流量都要算一遍的。有点 ss 客户端的感觉。 |
 | 23 LuvF 2017-10-02 16:29:40 +08:00 你用杀毒软件扫了吗?扫一下看看 |
 | 25 fengleidongxi 2017-10-02 17:16:09 +08:00 shell 是开调试后,收集信息和错误报告,和 ADB 无关。 不要相信签名,先抓包,感觉哪个可疑,反编译看看代码有没有可疑的,里面的网址有没有可疑的。 如果把 OTA 的组件 Remove,还这么多流量,就不太正常了。 |
| 26 fengleidongxi 2017-10-02 17:16:59 +08:00 @supersu 别忘了,还有根证书 |
 | 27 yksoft1 2017-10-02 17:33:37 +08:00 1 那个计算器里面有两个推送 SDK (爱心推),一个不明的、功能非常复杂、应该有安装 apk 之类功能的什么 Guernica SDK。那个 Guernica SDK 里面有字串 Cloud_Root。 |
| 28 yksoft1 2017-10-02 17:36:53 +08:00 这个计算器在 VirusTotal 上最近的提交日期是 9 月 9 日,没有软件报毒。 |
 /td> | 29 icedx 2017-10-02 18:30:23 +08:00 1 这个 alpml.apk 里含有对系统 API 劫持的 API 里面的.so 文件里也对一系列系统函数进行了 Hook |
 | 30 flynaj 2017-10-02 19:12:44 +08:00 via Android  看补丁等级 |
 | 31 K1W1 2017-10-02 20:25:21 +08:00 竟然还有 com.example 的包名,这个楼主写的 demo 吗? |
| 32 abmin521 OP @iVeego #22 没找到开启入口 @parametrix #19 暂未发现可疑短信 内核 3.14 @LuvF #23 一直裸奔 可疑权限加弹通知 病毒无误 @fengleidongxi #25 这么一说 我好像有装过 fiddle 的证书 不过记得用完删了 @flynaj #30 一加一早就放弃维护了 @K1W1 #31 这个是病毒伪装的包名 |
 | 33 honeycomb 2017-10-02 21:58:04 +08:00 @abmin521 比较可能是病毒自带漏洞利用工具(比如最近的自带 rowhammer 工具的病毒),这个东西需要最近几个月的安全补丁等级才不受影响 |
 | 34 Microi 2017-10-02 22:19:18 +08:00 via iPhone 卧槽,我不久前也中招了,也是 Calculator, 设备是索尼+CM12.1。 |
 | 36 dfly0603 2017-10-03 12:53:28 +08:00 via Android 上次一加 OTA 服务器被 hack 了,可能是这个原因 |
| 38 Microi 2017-10-03 14:30:36 +08:00 @abmin521 #37 手机给女朋友玩过,平时不用安卓的很容易在网页上误点陷阱,从某天开始就经常出现一个计算器的快捷方式在桌面,一开始以为是 Bug, 看了权限才发现这应用有问题。 |
| 39 abmin521 OP @Microi #38 原来是氢桌面禁止了它的快捷方式 PS 前几天 htc+cm12 (非官方) 也经常有莫名的快捷方式 |
| 40 fengleidongxi 2017-10-03 15:56:26 +08:00 楼主说跑了 500M 流量,楼主从哪里看到的?有没有显示 UID 或 PID ?楼主这几张图什么意思? |
 | 41 sunocean 2017-10-03 23:02:23 +08:00 突然有点怀念乌云了 |
 | 42 Chalice 2017-10-04 11:43:18 +08:00 |
 | 43 Aquamarine 2017-10-04 20:04:15 +08:00 @Chalice EXE 而不是 APK 么? |
| 44 Chalice 2017-10-04 21:36:07 +08:00 |
| 45 Chalice 2017-10-04 21:38:05 +08:00 1 @Aquamarine 你直接复制打开是正常的,点击链接的话好像有什么字符被 V2EX 转义了,所以跳转到另一个报告去了。 |
 | 47 fensh 2017-10-17 10:22:59 +08:00 我被这病毒也困扰了 2 个月了。。。 |
| 48 fensh 2017-10-17 10:24:03 +08:00 塔妹的从来没想到跟这个计算器的应用有关系。。。一直以为是系统计算器 |
Select Language