未 root 一加一莫名中毒（附图和 apk）

底层都是官方固件的话，第三方制作的 ota 是刷不进去的，因为会校验签名，第三方没有私钥。

H2OS 好久不用了，凭印象是流量宝官方的，注意下如果开了的话，系统使用的所有的流量都要算一遍的。有点 ss 客户端的感觉。

你用杀毒软件扫了吗？扫一下看看

@abmin521 你是线刷还是卡刷？也可能是 re 的问题。

shell 是开调试后，收集信息和错误报告，和 ADB 无关。
不要相信签名，先抓包，感觉哪个可疑，反编译看看代码有没有可疑的，里面的网址有没有可疑的。
如果把 OTA 的组件 Remove，还这么多流量，就不太正常了。

@supersu 别忘了，还有根证书

那个计算器里面有两个推送 SDK （爱心推），一个不明的、功能非常复杂、应该有安装 apk 之类功能的什么 Guernica SDK。那个 Guernica SDK 里面有字串 Cloud_Root。

这个计算器在 VirusTotal 上最近的提交日期是 9 月 9 日，没有软件报毒。

这个 alpml.apk 里含有对系统 API 劫持的 API
里面的.so 文件里也对一系列系统函数进行了 Hook

看补丁等级

竟然还有 com.example 的包名，这个楼主写的 demo 吗？

@iVeego #22 没找到开启入口
@parametrix #19 暂未发现可疑短信 内核 3.14
@LuvF #23 一直裸奔 可疑权限加弹通知 病毒无误
@fengleidongxi #25 这么一说 我好像有装过 fiddle 的证书 不过记得用完删了
@flynaj #30 一加一早就放弃维护了
@K1W1 #31 这个是病毒伪装的包名

@abmin521 比较可能是病毒自带漏洞利用工具(比如最近的自带 rowhammer 工具的病毒)，这个东西需要最近几个月的安全补丁等级才不受影响

卧槽，我不久前也中招了，也是 Calculator, 设备是索尼+CM12.1。

@abmin521 3 年前的小米还在更新

上次一加 OTA 服务器被 hack 了,可能是这个原因

@Microi #34 突然中招的？

@dfly0603 #36 看了下 真的有

@abmin521 #37 手机给女朋友玩过，平时不用安卓的很容易在网页上误点陷阱，从某天开始就经常出现一个计算器的快捷方式在桌面，一开始以为是 Bug, 看了权限才发现这应用有问题。

@Microi #38 原来是氢桌面禁止了它的快捷方式 PS 前几天 htc+cm12 （非官方） 也经常有莫名的快捷方式

楼主说跑了 500M 流量，楼主从哪里看到的？有没有显示 UID 或 PID ？楼主这几张图什么意思？