V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
womaomao
V2EX  ›  程序员

帮忙分析下这个 apk,可能是病毒

  •  
  •   womaomao · 2015-09-28 10:21:35 +08:00 · 5013 次点击
    这是一个创建于 3344 天前的主题,其中的信息可能已经有所发展或是发生改变。

    是这样的, 前几天手机开始自动下载软件。查了下多了 2 个 apk ,一个被我删了,另一个叫“ SvylProfx_com.svyl.profx_1.apk ”,这个还是在系统软件里面。直接用 RE 浏览器看找不到。用 lbe 看出来的。

    现在把这个软件权限都关了,希望有懂大神分析下。

    我把它导出来了,放到网盘上了
    http://pan.baidu.com/s/1qW24dZ2

    21 条回复    2015-10-04 20:55:50 +08:00
    402645707
        1
    402645707  
       2015-09-28 12:11:25 +08:00 via Android
    金山火眼是用来干嘛的
    womaomao
        3
    womaomao  
    OP
       2015-09-28 13:22:50 +08:00
    @402645707 谢谢,没用过金山的产品,怎么需要邀请码?
    womaomao
        4
    womaomao  
    OP
       2015-09-28 13:23:08 +08:00
    @virusdefender 谢谢,我试试看
    402645707
        5
    402645707  
       2015-09-28 13:25:45 +08:00
    @womaomao 我记得好像验证一下邮箱还是分享到微博空间就有资格了
    womaomao
        6
    womaomao  
    OP
       2015-09-28 13:36:16 +08:00
    @402645707 已经查了,确实有危险行为
    http://fireeye.ijinshan.com/analyse.html?md5=992a56369db3b06be723aca6308f1083#full
    然后手动删除这些东西?
    VYSE
        7
    VYSE  
       2015-09-28 13:51:26 +08:00
    这玩意 rootkit 啊,放了个自己的 su 进去,然后随意下载 malware 了
    womaomao
        8
    womaomao  
    OP
       2015-09-28 14:09:52 +08:00
    @VYSE 谢谢,明白你的意思了,我不懂 android 机制,怎么破?
    VYSE
        9
    VYSE  
       2015-09-28 14:51:58 +08:00
    @womaomao 建议重刷原厂 rom ,因为 /system 下面已被感染,没啥安全软件能帮你扫出来
    womaomao
        10
    womaomao  
    OP
       2015-09-28 14:55:25 +08:00
    @VYSE 我 recovery 下清除过 wipe 了,也恢复到出厂设置了。还需要刷 rom ?
    VYSE
        11
    VYSE  
       2015-09-28 15:01:02 +08:00
    @womaomao wipe 清不了 /system 里的内容
    womaomao
        12
    womaomao  
    OP
       2015-09-28 15:15:16 +08:00
    @VYSE 好麻烦,那得回家刷机。谢谢你
    macroideal
        13
    macroideal  
       2015-09-29 06:49:37 +08:00 via iPhone
    没事不要 root
    loveminds
        14
    loveminds  
       2015-09-29 10:10:32 +08:00
    @VYSE 如果要纯净,最好是"原生"ROM ,例如 AOSP ,而不是"原厂"ROM 吧
    xylophone21
        15
    xylophone21  
       2015-09-29 10:42:39 +08:00
    @virusdefender
    @womaomao
    @VYSE

    我的理解是,火眼的报告说这个应用:
    1. 尝试查看系统里是否装了这些安全软件 (这个行为非常可疑,但并不能证明它就干了坏事,在警察局门口张望而已)
    2. 尝试查看系统中是否有 /system/lib/libnvs.so 等几个文件 (同 1 ,可疑,但无证据)
    3. 尝试去访问 e.189vo.com:8008/DispatchServer/GPP (同样最多是可疑,现在哪个 APK 不去访问一个地址 URL 呢?没拿到返回前的数据前都不能算证据)
    4. 申请了一些不怎么危险的权限(接收开机广播这个权限最多说它流氓,但谈不上病毒;网络的 3 个权限让他能联网,联网算什么病毒的证据吗;读取电话状态更普通了,基本上是个应用都要处理来电状态。也就是说如果走前门,这个应用申请的这些权限并没有做坏事的能力)

    解开这个应用,没发现任何 bin 文件(如自己的 su )。

    也就是说,除非这个应用本身就是一个类似一键 root 的工具,通过网络下载程序,然后利用系统后门获取 root 权限,突破上面所有的限制,否则 1 没有证据证明它有恶意, 2 它申请的权限没有给他作恶的能力,那么大家依据什么做出这是一个病毒的推断呢?

    如果是前者,那所有的 APK 都有这个可能性(没有人提到反编译),是不是随便来个 APK ,我们都可以说它是个病毒了?
    xylophone21
        16
    xylophone21  
       2015-09-29 10:48:33 +08:00
    另外装一个 APK 就能 root 的机器,按我的观察,现在也是越来越少了。

    大多数 root 分这么几种方式:
    1. 走前门解锁 booterloader 刷机
    2. 直接用芯片的刷 flash 的工具
    3. adb,fastboot 之类的漏洞获取 root 权限

    但这些都不是一个 apk 就能独立完成的。
    VYSE
        17
    VYSE  
       2015-09-29 12:32:26 +08:00
    @xylophone21 火眼没跟你说它调用 /system/bin/sz 拿 root shell ,没跟你说从 e.189vo.com:8008/DispatchServer/GPP down apk 直接 pm install ,而且也没跟你说它是不是 root 工具,而是被其他 malware 塞到 /system/app 里的 rootkit

    另外 apk 能不能 root ,请看 towelroot
    VYSE
        18
    VYSE  
       2015-09-29 12:33:40 +08:00
    @loveminds 很多机型没得适配啊,原厂 ROM 有这个病毒可以爆一爆了,就像酷派那次
    bbsmaster
        19
    bbsmaster  
       2015-10-04 00:23:45 +08:00 via Android
    @womaomao 同样是 2 天前遇到的,因为手机装了 xprivacy 发现一个陌生 APP 在申请权限才发现,另一包的名称是 com.stdi.vops ,给手机安装了一个“易打工”的 APP ,平时用手机很小心,那天可能相关的操作就是点了“移动营业厅”的更新,网上搜了很久都没有相关信息,不知道你有没有类似操作
    bbsmaster
        20
    bbsmaster  
       2015-10-04 00:50:59 +08:00 via Android
    womaomao
        21
    womaomao  
    OP
       2015-10-04 20:55:50 +08:00
    @bbsmaster 是我我我记得有一个也是 vops.apk ,我现在刷机了,还是小心点好
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   996 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 20:03 · PVG 04:03 · LAX 12:03 · JFK 15:03
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.