帮忙分析下这个 apk，可能是病毒

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 3329 天前的主题，其中的信息可能已经有所发展或是发生改变。

是这样的, 前几天手机开始自动下载软件。查了下多了 2 个 apk ，一个被我删了，另一个叫“ SvylProfx_com.svyl.profx_1.apk ”，这个还是在系统软件里面。直接用 RE 浏览器看找不到。用 lbe 看出来的。

现在把这个软件权限都关了，希望有懂大神分析下。

我把它导出来了，放到网盘上了
http://pan.baidu.com/s/1qW24dZ2

APK

软件

lbe

网盘

21 条回复 • 2015-10-04 20:55:50 +08:00

402645707

2015-09-28 12:11:25 +08:00 via Android

金山火眼是用来干嘛的

virusdefender

2015-09-28 12:17:21 +08:00

http://fireeye.ijinshan.com/analyse.html?md5=992a56369db3b06be723aca6308f1083&sha1=63edee8ed95b57b9e49a5dbfaa13e77374300e56&type=1#full

womaomao

2015-09-28 13:22:50 +08:00

@402645707 谢谢，没用过金山的产品，怎么需要邀请码？

womaomao

2015-09-28 13:23:08 +08:00

@virusdefender 谢谢，我试试看

402645707

2015-09-28 13:25:45 +08:00

@womaomao 我记得好像验证一下邮箱还是分享到微博空间就有资格了

womaomao

2015-09-28 13:36:16 +08:00

@402645707 已经查了，确实有危险行为
http://fireeye.ijinshan.com/analyse.html?md5=992a56369db3b06be723aca6308f1083#full ，
然后手动删除这些东西？

VYSE

2015-09-28 13:51:26 +08:00

这玩意 rootkit 啊，放了个自己的 su 进去，然后随意下载 malware 了

womaomao

2015-09-28 14:09:52 +08:00

@VYSE 谢谢，明白你的意思了，我不懂 android 机制，怎么破？

VYSE

2015-09-28 14:51:58 +08:00

@womaomao 建议重刷原厂 rom ，因为 /system 下面已被感染，没啥安全软件能帮你扫出来

womaomao

2015-09-28 14:55:25 +08:00

@VYSE 我 recovery 下清除过 wipe 了，也恢复到出厂设置了。还需要刷 rom ？

VYSE

2015-09-28 15:01:02 +08:00

@womaomao wipe 清不了 /system 里的内容

womaomao

2015-09-28 15:15:16 +08:00

@VYSE 好麻烦，那得回家刷机。谢谢你

macroideal

2015-09-29 06:49:37 +08:00 via iPhone

没事不要 root

loveminds

2015-09-29 10:10:32 +08:00

@VYSE 如果要纯净，最好是"原生"ROM ，例如 AOSP ，而不是"原厂"ROM 吧

xylophone21

2015-09-29 10:42:39 +08:00

@virusdefender
@womaomao
@VYSE

我的理解是，火眼的报告说这个应用：
1. 尝试查看系统里是否装了这些安全软件（这个行为非常可疑，但并不能证明它就干了坏事，在警察局门口张望而已）
2. 尝试查看系统中是否有 /system/lib/libnvs.so 等几个文件（同 1 ，可疑，但无证据）
3. 尝试去访问 e.189vo.com:8008/DispatchServer/GPP （同样最多是可疑，现在哪个 APK 不去访问一个地址 URL 呢？没拿到返回前的数据前都不能算证据）
4. 申请了一些不怎么危险的权限（接收开机广播这个权限最多说它流氓，但谈不上病毒；网络的 3 个权限让他能联网，联网算什么病毒的证据吗；读取电话状态更普通了，基本上是个应用都要处理来电状态。也就是说如果走前门，这个应用申请的这些权限并没有做坏事的能力）

解开这个应用，没发现任何 bin 文件（如自己的 su ）。

也就是说，除非这个应用本身就是一个类似一键 root 的工具，通过网络下载程序，然后利用系统后门获取 root 权限，突破上面所有的限制，否则 1 没有证据证明它有恶意， 2 它申请的权限没有给他作恶的能力，那么大家依据什么做出这是一个病毒的推断呢？

如果是前者，那所有的 APK 都有这个可能性（没有人提到反编译），是不是随便来个 APK ，我们都可以说它是个病毒了？

xylophone21

2015-09-29 10:48:33 +08:00

另外装一个 APK 就能 root 的机器，按我的观察，现在也是越来越少了。

大多数 root 分这么几种方式：
1. 走前门解锁 booterloader 刷机
2. 直接用芯片的刷 flash 的工具
3. adb,fastboot 之类的漏洞获取 root 权限

但这些都不是一个 apk 就能独立完成的。

VYSE

2015-09-29 12:32:26 +08:00

@xylophone21 火眼没跟你说它调用 /system/bin/sz 拿 root shell ，没跟你说从 e.189vo.com:8008/DispatchServer/GPP down apk 直接 pm install ，而且也没跟你说它是不是 root 工具，而是被其他 malware 塞到 /system/app 里的 rootkit

另外 apk 能不能 root ，请看 towelroot

VYSE

2015-09-29 12:33:40 +08:00

@loveminds 很多机型没得适配啊，原厂 ROM 有这个病毒可以爆一爆了，就像酷派那次

bbsmaster

2015-10-04 00:23:45 +08:00 via Android

@womaomao 同样是 2 天前遇到的，因为手机装了 xprivacy 发现一个陌生 APP 在申请权限才发现，另一包的名称是 com.stdi.vops ，给手机安装了一个“易打工”的 APP ，平时用手机很小心，那天可能相关的操作就是点了“移动营业厅”的更新，网上搜了很久都没有相关信息，不知道你有没有类似操作

bbsmaster

2015-10-04 00:50:59 +08:00 via Android

这是另一个 com.stdi.vops 的信息，看来师出同门 http://fireeye.ijinshan.com/analyse.html?md5=f4f246a9b35baba9dd2685ec23a132e1&sha1=eb763e6bfd9488bb2d9f3d8f6f5bd97e26c73670

womaomao

2015-10-04 20:55:50 +08:00

@bbsmaster 是我我我记得有一个也是 vops.apk ，我现在刷机了，还是小心点好