疑似第三方 ROM 替换小米查找手机内置应用强行进行弹窗要求输入“注册码”
该恶意软件中招后的现象:每隔一段时间弹出以下窗口,可以调出多任务台临时关闭,一段时间后再次弹出,如下图所示:
开启usb调试后,经过多次adb查找,确认为com.xiaomi.finddevice/com.xiaomi.finddevice.v2.command.StopNoiseActivity弹出的窗口,如下图所示:
com.xiaomi.finddevice该包名对应着MIUI自带的“查找手机”应用,但是查询该包path时却发现该软件位于/system/framework/arm/wei.apk,如下图所示:
将该apk提取后发现签名状态检验不通过,如下图所示:
查看/system/framework/arm目录时发现wei.apk是整个目录唯一一个创建于2021-09-26 00:43的文件,如下图所示:
该设备并未root,如下图所示:
在提取到的wei.apk中的FindDeviceImsCheck模块当中发现了该界面的相关字符串,如下图所示:
样本:(解压密码:52pojie) 499b4229b6 害人不浅 sn = Settings.System.getString(contentResolver, "ims_serial_number");
sn_md5 = echo -n sn
sn_md5.substring(0, 10) 厉害了,没root
怎么进去的? 逃亡的蛋挞 发表于 2023-6-17 20:47
第三方ROM不是刷机了吗?不就等于root吗?
又说没有root。
刷机最简单的只需要解锁BL就可以了,不需要Root的,第三方ROM一般通过REC刷入,只需要先刷入REC,再刷第三方ROM就可以了,全程是不需要Root的,都是对镜像进行操作。 第三方ROM不是刷机了吗?不就等于root吗?
又说没有root。
对不起,我只一知半解。上面两个理解不清是怎么回事。 本帖最后由 ohyeah521 于 2023-6-17 23:05 编辑
在源码中搜索关键词,激活:
文件内容
反编译好的代码:https://zhihuaspace.cn:8888/source_code/?md5=d8dff86d84034e9a3941f7df08ac0b1f&type=java#content 逃亡的蛋挞 发表于 2023-6-17 20:47
第三方ROM不是刷机了吗?不就等于root吗?
又说没有root。
第三方是第三方,ROOT是ROOT。第三方又不一定要ROOT。 1记忆夜1 发表于 2023-6-17 19:21
厉害了,没root
怎么进去的?
官改包吧 换个包刷:Dweeqw 用adb shell pm disable-user "包名" 停用它试试 尝得不算深,但不知道就着了 支持一下