吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 9984|回复: 80
上一主题 下一主题
收起左侧

[移动样本分析] 疑似第三方 ROM 替换小米查找手机内置应用强行进行弹窗要求输入“注册码”

  [复制链接]
跳转到指定楼层
楼主
ahov 发表于 2023-6-17 19:18 回帖奖励
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
该恶意软件中招后的现象:
每隔一段时间弹出以下窗口,可以调出多任务台临时关闭,一段时间后再次弹出,如下图所示:


开启usb调试后,经过多次adb查找,确认为com.xiaomi.finddevice/com.xiaomi.finddevice.v2.command.StopNoiseActivity弹出的窗口,如下图所示:


com.xiaomi.finddevice该包名对应着MIUI自带的“查找手机”应用,但是查询该包path时却发现该软件位于/system/framework/arm/wei.apk,如下图所示:


将该apk提取后发现签名状态检验不通过,如下图所示:


查看/system/framework/arm目录时发现wei.apk是整个目录唯一一个创建于2021-09-26 00:43的文件,如下图所示:


该设备并未root,如下图所示:


在提取到的wei.apk中的FindDeviceImsCheck模块当中发现了该界面的相关字符串,如下图所示:


样本: sample.zip (585.44 KB, 下载次数: 60) (解压密码:52pojie)

免费评分

参与人数 9吾爱币 +14 热心值 +7 收起 理由
liyuehongxuan + 1 + 1 我很赞同!
Hmily + 7 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
赶码人 + 1 百度搜他qq发现已经很多人中招了
caoxi158 + 1 我很赞同!
duanlai + 1 谢谢@Thanks!
唐小样儿 + 1 + 1 我很赞同!
hxd97244 + 1 + 1 直接给网警举报这个QQ
keytam + 1 + 1 热心回复!
莫奇 + 1 + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

推荐
1006442347 发表于 2023-6-17 21:19
499b4229b6

1.png (218.99 KB, 下载次数: 1)

1.png

2.png (108.86 KB, 下载次数: 1)

2.png

3.png (37.44 KB, 下载次数: 2)

3.png

免费评分

参与人数 1热心值 +1 收起 理由
赶码人 + 1 热心回复!

查看全部评分

推荐
lck100 发表于 2023-6-17 19:41
推荐
lvbuqing 发表于 2023-6-19 11:31
sn = Settings.System.getString(contentResolver, "ims_serial_number");

sn_md5 = echo -n sn

sn_md5.substring(0, 10)
推荐
1记忆夜1 发表于 2023-6-17 19:21
厉害了,没root   
怎么进去的?
推荐
bgwu666 发表于 2023-6-18 18:11
逃亡的蛋挞 发表于 2023-6-17 20:47
第三方ROM不是刷机了吗?不就等于root吗?
又说没有root。

刷机最简单的只需要解锁BL就可以了,不需要Root的,第三方ROM一般通过REC刷入,只需要先刷入REC,再刷第三方ROM就可以了,全程是不需要Root的,都是对镜像进行操作。
推荐
逃亡的蛋挞 发表于 2023-6-17 20:47
第三方ROM不是刷机了吗?不就等于root吗?
又说没有root。

对不起,我只一知半解。上面两个理解不清是怎么回事。
推荐
ohyeah521 发表于 2023-6-17 23:04
本帖最后由 ohyeah521 于 2023-6-17 23:05 编辑

在源码中搜索关键词,激活:

文件内容



反编译好的代码:https://zhihuaspace.cn:8888/source_code/?md5=d8dff86d84034e9a3941f7df08ac0b1f&type=java#content
推荐
mjyhj 发表于 2023-6-18 03:03
逃亡的蛋挞 发表于 2023-6-17 20:47
第三方ROM不是刷机了吗?不就等于root吗?
又说没有root。

第三方是第三方,ROOT是ROOT。第三方又不一定要ROOT。
3#
雨儿 发表于 2023-6-17 19:29
1记忆夜1 发表于 2023-6-17 19:21
厉害了,没root   
怎么进去的?

官改包吧
4#
sunnyli1024 发表于 2023-6-17 19:32
换个包刷
6#
侃遍天下无二人 发表于 2023-6-17 20:13
用adb shell pm disable-user "包名" 停用它试试
7#
Spacecraft 发表于 2023-6-17 20:38
尝得不算深,但不知道就着了
9#
pazmx 发表于 2023-6-17 21:18
支持一下
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 05:07

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表