没有 root,一直没有安装什么不明应用。
版本号中有 oneplus 感觉与一加有关(没有证据)
大概跑了我 500M 流量
什么直接发信息打电话的权限都有了
用 adb pull 把病毒文件提取出来
病毒文件 https://drive.google.com/drive/folders/0B0BqKmdrXg3JYUtGX1BFRHNlZkk
This topic created in 3144 days ago, the information mentioned may be changed or developed.
Supplement 1 · Oct 2, 2017
貌似 shell 流量宝 和 授权管理 都是官方的 有问题的是计算器
 |
1
isnowify Oct 2, 2017 via Android
可能是自己接电脑然后还瞎开调试模式被 adb 安装软件?
|
 |
2
ysc3839 Oct 2, 2017 via Android
看不明白你发的截图
|
 |
3
abmin521 OP |
 |
5
m4j0r Oct 2, 2017
可能是这个流氓软件自己 root 的
|
 |
6
mdzz Oct 2, 2017  1
这个“计算器”大有问题,几乎列出了所有权限,类名还有什么 guernica hulatang,感觉超骚气
另外两个 apk 里面没有 classes.dex ,就没看 |
|
7
abmin521 OP |
 |
10
505243267 Oct 2, 2017 via Android
流量宝是 H2OS 自带软件。
|
 |
12
sky0009 Oct 2, 2017 via Android
@abmin521 可能是伪装成 OTA 更新包混进来的,尽管没人能解释怎么做到的。。。
一加的 root 权限应该跟小米的 bl 锁一样可以强行锁住的吧。病毒自己获取 root,不太可能😒 (记得当初我一部山寨机无法 root,但 ota 更新正常。我就幻想着把 superSU 文件伪装成 ota 更新,刷进去就 root 了。当然也只能想想😂图样图森破啊) |
 |
14
mokeyjay Oct 2, 2017
购买途径呢?非官网吧?
之前 X 宝买过小米 3,系统都是被篡改过的,各种系统文件全被加广告加弹窗,天知道还有什么。果断官网下载个包刷了 |
 |
16
Rice Oct 2, 2017 via Android
是不是开 usb 调试了?
|
 |
17
seasstyle Oct 2, 2017 via iPhone
ota 是可以通过网络流量和 dns 来劫持办到的,给你推一个变态包。这年头到处都是小偷
|
 |
18
20015jjw Oct 2, 2017 via Android 1
国产系统好可怕
|
 |
19
parametrix Oct 2, 2017
|
 |
20
TigerK Oct 2, 2017
流量宝可能是用来压缩移动数据流量,从而减少流量消耗的。欧鹏和 360 以前都做过类似的产品。
|
 |
21
supersu Oct 2, 2017
底层都是官方固件的话,第三方制作的 ota 是刷不进去的,因为会校验签名,第三方没有私钥。
|
 |
22
iVeego Oct 2, 2017
H2OS 好久不用了,凭印象是流量宝官方的,注意下如果开了的话,系统使用的所有的流量都要算一遍的。有点 ss 客户端的感觉。
|
 |
23
LuvF Oct 2, 2017
你用杀毒软件扫了吗?扫一下看看
|
 |
25
fengleidongxi Oct 2, 2017
shell 是开调试后,收集信息和错误报告,和 ADB 无关。
不要相信签名,先抓包,感觉哪个可疑,反编译看看代码有没有可疑的,里面的网址有没有可疑的。 如果把 OTA 的组件 Remove,还这么多流量,就不太正常了。 |
|
26
fengleidongxi Oct 2, 2017
@supersu 别忘了,还有根证书
|
 |
27
yksoft1 Oct 2, 2017 1
那个计算器里面有两个推送 SDK (爱心推),一个不明的、功能非常复杂、应该有安装 apk 之类功能的什么 Guernica SDK。那个 Guernica SDK 里面有字串 Cloud_Root。
|
|
28
yksoft1 Oct 2, 2017
这个计算器在 VirusTotal 上最近的提交日期是 9 月 9 日,没有软件报毒。
|
 |
30
flynaj Oct 2, 2017 via Android
 看补丁等级 |
 |
31
K1W1 Oct 2, 2017
竟然还有 com.example 的包名,这个楼主写的 demo 吗?
|
|
32
abmin521 OP @iVeego #22 没找到开启入口
@parametrix #19 暂未发现可疑短信 内核 3.14 @LuvF #23 一直裸奔 可疑权限加弹通知 病毒无误 @fengleidongxi #25 这么一说 我好像有装过 fiddle 的证书 不过记得用完删了 @flynaj #30 一加一早就放弃维护了 @K1W1 #31 这个是病毒伪装的包名 |
 |
34
Microi Oct 2, 2017 via iPhone
卧槽,我不久前也中招了,也是 Calculator, 设备是索尼+CM12.1。
|
 |
36
dfly0603 Oct 3, 2017 via Android
上次一加 OTA 服务器被 hack 了,可能是这个原因
|
|
38
Microi Oct 3, 2017
@abmin521 #37 手机给女朋友玩过,平时不用安卓的很容易在网页上误点陷阱,从某天开始就经常出现一个计算器的快捷方式在桌面,一开始以为是 Bug, 看了权限才发现这应用有问题。
|
|
40
fengleidongxi Oct 3, 2017
楼主说跑了 500M 流量,楼主从哪里看到的?有没有显示 UID 或 PID ?楼主这几张图什么意思?
|
 |
41
sunocean Oct 3, 2017
突然有点怀念乌云了
|
 |
42
Chalice Oct 4, 2017
|
 |
43
Aquamarine Oct 4, 2017
@Chalice EXE 而不是 APK 么?
|
|
44
Chalice Oct 4, 2017
|
|
45
Chalice Oct 4, 2017 1
@Aquamarine 你直接复制打开是正常的,点击链接的话好像有什么字符被 V2EX 转义了,所以跳转到另一个报告去了。
|
 |
47
fensh Oct 17, 2017
我被这病毒也困扰了 2 个月了。。。
|
|
48
fensh Oct 17, 2017
塔妹的从来没想到跟这个计算器的应用有关系。。。一直以为是系统计算器
|
Select Language