这是一个创建于 2950 天前的主题,其中的信息可能已经有所发展或是发生改变。
没有 root,一直没有安装什么不明应用。
版本号中有 oneplus 感觉与一加有关(没有证据)
大概跑了我 500M 流量
什么直接发信息打电话的权限都有了
用 adb pull 把病毒文件提取出来
病毒文件 https://drive.google.com/drive/folders/0B0BqKmdrXg3JYUtGX1BFRHNlZkk
第 1 条附言 · 2017-10-02 13:36:09 +08:00
貌似 shell 流量宝 和 授权管理 都是官方的 有问题的是计算器
 |
1
isnowify 2017-10-02 12:01:06 +08:00 via Android
可能是自己接电脑然后还瞎开调试模式被 adb 安装软件?
|
 |
2
ysc3839 2017-10-02 12:11:41 +08:00 via Android
看不明白你发的截图
|
 |
3
abmin521 OP |
 |
4
sky0009 2017-10-02 12:39:36 +08:00 via Android
@isnowify 那楼主电脑也得有程序执行 adb 安装吧?那么这个程序是。。。
照你这么说,楼主电脑也中毒不轻😱 |
 |
5
m4j0r 2017-10-02 12:42:49 +08:00
可能是这个流氓软件自己 root 的
|
 |
6
mdzz 2017-10-02 12:42:57 +08:00  1
这个“计算器”大有问题,几乎列出了所有权限,类名还有什么 guernica hulatang,感觉超骚气
另外两个 apk 里面没有 classes.dex ,就没看 |
|
7
abmin521 OP |
|
9
ysc3839 2017-10-02 12:51:45 +08:00 via Android
@abmin521 建议你试试清除 /data,如果还是存在的话说明这几个应用是系统自带的。那你可以考虑重新刷系统了。
|
 |
10
505243267 2017-10-02 12:52:10 +08:00 via Android
流量宝是 H2OS 自带软件。
|
|
11
abmin521 OP |
|
12
sky0009 2017-10-02 12:56:10 +08:00 via Android
@abmin521 可能是伪装成 OTA 更新包混进来的,尽管没人能解释怎么做到的。。。
一加的 root 权限应该跟小米的 bl 锁一样可以强行锁住的吧。病毒自己获取 root,不太可能😒 (记得当初我一部山寨机无法 root,但 ota 更新正常。我就幻想着把 superSU 文件伪装成 ota 更新,刷进去就 root 了。当然也只能想想😂图样图森破啊) |
|
13
abmin521 OP |
 |
14
mokeyjay 2017-10-02 13:07:28 +08:00
购买途径呢?非官网吧?
之前 X 宝买过小米 3,系统都是被篡改过的,各种系统文件全被加广告加弹窗,天知道还有什么。果断官网下载个包刷了 |
 |
16
Rice 2017-10-02 13:53:26 +08:00 via Android
是不是开 usb 调试了?
|
 |
17
seasstyle 2017-10-02 14:06:05 +08:00 via iPhone
ota 是可以通过网络流量和 dns 来劫持办到的,给你推一个变态包。这年头到处都是小偷
|
 |
18
20015jjw 2017-10-02 14:47:56 +08:00 via Android 1
国产系统好可怕
|
 |
19
parametrix 2017-10-02 14:55:01 +08:00
|
 |
20
TigerK 2017-10-02 14:56:07 +08:00
流量宝可能是用来压缩移动数据流量,从而减少流量消耗的。欧鹏和 360 以前都做过类似的产品。
|
 |
21
supersu 2017-10-02 15:16:48 +08:00
底层都是官方固件的话,第三方制作的 ota 是刷不进去的,因为会校验签名,第三方没有私钥。
|
 |
22
iVeego 2017-10-02 16:08:17 +08:00
H2OS 好久不用了,凭印象是流量宝官方的,注意下如果开了的话,系统使用的所有的流量都要算一遍的。有点 ss 客户端的感觉。
|
 |
23
LuvF 2017-10-02 16:29:40 +08:00
你用杀毒软件扫了吗?扫一下看看
|
 |
25
fengleidongxi 2017-10-02 17:16:09 +08:00
shell 是开调试后,收集信息和错误报告,和 ADB 无关。
不要相信签名,先抓包,感觉哪个可疑,反编译看看代码有没有可疑的,里面的网址有没有可疑的。 如果把 OTA 的组件 Remove,还这么多流量,就不太正常了。 |
|
26
fengleidongxi 2017-10-02 17:16:59 +08:00
@supersu 别忘了,还有根证书
|
 |
27
yksoft1 2017-10-02 17:33:37 +08:00 1
那个计算器里面有两个推送 SDK (爱心推),一个不明的、功能非常复杂、应该有安装 apk 之类功能的什么 Guernica SDK。那个 Guernica SDK 里面有字串 Cloud_Root。
|
|
28
yksoft1 2017-10-02 17:36:53 +08:00
这个计算器在 VirusTotal 上最近的提交日期是 9 月 9 日,没有软件报毒。
|
 |
30
flynaj 2017-10-02 19:12:44 +08:00 via Android
 看补丁等级 |
 |
31
K1W1 2017-10-02 20:25:21 +08:00
竟然还有 com.example 的包名,这个楼主写的 demo 吗?
|
|
32
abmin521 OP @iVeego #22 没找到开启入口
@parametrix #19 暂未发现可疑短信 内核 3.14 @LuvF #23 一直裸奔 可疑权限加弹通知 病毒无误 @fengleidongxi #25 这么一说 我好像有装过 fiddle 的证书 不过记得用完删了 @flynaj #30 一加一早就放弃维护了 @K1W1 #31 这个是病毒伪装的包名 |
 |
33
honeycomb 2017-10-02 21:58:04 +08:00
@abmin521 比较可能是病毒自带漏洞利用工具(比如最近的自带 rowhammer 工具的病毒),这个东西需要最近几个月的安全补丁等级才不受影响
|
 |
34
Microi 2017-10-02 22:19:18 +08:00 via iPhone
卧槽,我不久前也中招了,也是 Calculator, 设备是索尼+CM12.1。
|
 |
36
dfly0603 2017-10-03 12:53:28 +08:00 via Android
上次一加 OTA 服务器被 hack 了,可能是这个原因
|
|
38
Microi 2017-10-03 14:30:36 +08:00
@abmin521 #37 手机给女朋友玩过,平时不用安卓的很容易在网页上误点陷阱,从某天开始就经常出现一个计算器的快捷方式在桌面,一开始以为是 Bug, 看了权限才发现这应用有问题。
|
|
39
abmin521 OP @Microi #38 原来是氢桌面禁止了它的快捷方式 PS 前几天 htc+cm12 (非官方) 也经常有莫名的快捷方式
|
|
40
fengleidongxi 2017-10-03 15:56:26 +08:00
楼主说跑了 500M 流量,楼主从哪里看到的?有没有显示 UID 或 PID ?楼主这几张图什么意思?
|
 |
41
sunocean 2017-10-03 23:02:23 +08:00
突然有点怀念乌云了
|
 |
42
Chalice 2017-10-04 11:43:18 +08:00
|
 |
43
Aquamarine 2017-10-04 20:04:15 +08:00
@Chalice EXE 而不是 APK 么?
|
|
44
Chalice 2017-10-04 21:36:07 +08:00
|
|
45
Chalice 2017-10-04 21:38:05 +08:00 1
@Aquamarine 你直接复制打开是正常的,点击链接的话好像有什么字符被 V2EX 转义了,所以跳转到另一个报告去了。
|
 |
47
fensh 2017-10-17 10:22:59 +08:00
我被这病毒也困扰了 2 个月了。。。
|
|
48
fensh 2017-10-17 10:24:03 +08:00
塔妹的从来没想到跟这个计算器的应用有关系。。。一直以为是系统计算器
|
Select Language