帮忙分析下这个 apk,可能是病毒

2015-09-28 10:21:35 +08:00
 womaomao

是这样的, 前几天手机开始自动下载软件。查了下多了 2 个 apk ,一个被我删了,另一个叫“ SvylProfx_com.svyl.profx_1.apk ”,这个还是在系统软件里面。直接用 RE 浏览器看找不到。用 lbe 看出来的。

现在把这个软件权限都关了,希望有懂大神分析下。

我把它导出来了,放到网盘上了
http://pan.baidu.com/s/1qW24dZ2

5041 次点击
所在节点    程序员
21 条回复
402645707
2015-09-28 12:11:25 +08:00
金山火眼是用来干嘛的
virusdefender
2015-09-28 12:17:21 +08:00
womaomao
2015-09-28 13:22:50 +08:00
@402645707 谢谢,没用过金山的产品,怎么需要邀请码?
womaomao
2015-09-28 13:23:08 +08:00
@virusdefender 谢谢,我试试看
402645707
2015-09-28 13:25:45 +08:00
@womaomao 我记得好像验证一下邮箱还是分享到微博空间就有资格了
womaomao
2015-09-28 13:36:16 +08:00
@402645707 已经查了,确实有危险行为
http://fireeye.ijinshan.com/analyse.html?md5=992a56369db3b06be723aca6308f1083#full
然后手动删除这些东西?
VYSE
2015-09-28 13:51:26 +08:00
这玩意 rootkit 啊,放了个自己的 su 进去,然后随意下载 malware 了
womaomao
2015-09-28 14:09:52 +08:00
@VYSE 谢谢,明白你的意思了,我不懂 android 机制,怎么破?
VYSE
2015-09-28 14:51:58 +08:00
@womaomao 建议重刷原厂 rom ,因为 /system 下面已被感染,没啥安全软件能帮你扫出来
womaomao
2015-09-28 14:55:25 +08:00
@VYSE 我 recovery 下清除过 wipe 了,也恢复到出厂设置了。还需要刷 rom ?
VYSE
2015-09-28 15:01:02 +08:00
@womaomao wipe 清不了 /system 里的内容
womaomao
2015-09-28 15:15:16 +08:00
@VYSE 好麻烦,那得回家刷机。谢谢你
macroideal
2015-09-29 06:49:37 +08:00
没事不要 root
loveminds
2015-09-29 10:10:32 +08:00
@VYSE 如果要纯净,最好是"原生"ROM ,例如 AOSP ,而不是"原厂"ROM 吧
xylophone21
2015-09-29 10:42:39 +08:00
@virusdefender
@womaomao
@VYSE

我的理解是,火眼的报告说这个应用:
1. 尝试查看系统里是否装了这些安全软件 (这个行为非常可疑,但并不能证明它就干了坏事,在警察局门口张望而已)
2. 尝试查看系统中是否有 /system/lib/libnvs.so 等几个文件 (同 1 ,可疑,但无证据)
3. 尝试去访问 e.189vo.com:8008/DispatchServer/GPP (同样最多是可疑,现在哪个 APK 不去访问一个地址 URL 呢?没拿到返回前的数据前都不能算证据)
4. 申请了一些不怎么危险的权限(接收开机广播这个权限最多说它流氓,但谈不上病毒;网络的 3 个权限让他能联网,联网算什么病毒的证据吗;读取电话状态更普通了,基本上是个应用都要处理来电状态。也就是说如果走前门,这个应用申请的这些权限并没有做坏事的能力)

解开这个应用,没发现任何 bin 文件(如自己的 su )。

也就是说,除非这个应用本身就是一个类似一键 root 的工具,通过网络下载程序,然后利用系统后门获取 root 权限,突破上面所有的限制,否则 1 没有证据证明它有恶意, 2 它申请的权限没有给他作恶的能力,那么大家依据什么做出这是一个病毒的推断呢?

如果是前者,那所有的 APK 都有这个可能性(没有人提到反编译),是不是随便来个 APK ,我们都可以说它是个病毒了?
xylophone21
2015-09-29 10:48:33 +08:00
另外装一个 APK 就能 root 的机器,按我的观察,现在也是越来越少了。

大多数 root 分这么几种方式:
1. 走前门解锁 booterloader 刷机
2. 直接用芯片的刷 flash 的工具
3. adb,fastboot 之类的漏洞获取 root 权限

但这些都不是一个 apk 就能独立完成的。
VYSE
2015-09-29 12:32:26 +08:00
@xylophone21 火眼没跟你说它调用 /system/bin/sz 拿 root shell ,没跟你说从 e.189vo.com:8008/DispatchServer/GPP down apk 直接 pm install ,而且也没跟你说它是不是 root 工具,而是被其他 malware 塞到 /system/app 里的 rootkit

另外 apk 能不能 root ,请看 towelroot
VYSE
2015-09-29 12:33:40 +08:00
@loveminds 很多机型没得适配啊,原厂 ROM 有这个病毒可以爆一爆了,就像酷派那次
bbsmaster
2015-10-04 00:23:45 +08:00
@womaomao 同样是 2 天前遇到的,因为手机装了 xprivacy 发现一个陌生 APP 在申请权限才发现,另一包的名称是 com.stdi.vops ,给手机安装了一个“易打工”的 APP ,平时用手机很小心,那天可能相关的操作就是点了“移动营业厅”的更新,网上搜了很久都没有相关信息,不知道你有没有类似操作
bbsmaster
2015-10-04 00:50:59 +08:00

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/224163

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX