首页
社区
课程
招聘
[调查] 疑似第三方 ROM 替换小米查找手机内置应用强行进行弹窗要求输入“注册码”
发表于: 2023-6-17 19:27 6316

[调查] 疑似第三方 ROM 替换小米查找手机内置应用强行进行弹窗要求输入“注册码”

2023-6-17 19:27
6316

该恶意软件中招后的现象:
每隔一段时间弹出以下窗口,可以调出多任务台临时关闭,一段时间后再次弹出,如下图所示:

 

开启usb调试后,经过多次adb查找,确认为com.xiaomi.finddevice/com.xiaomi.finddevice.v2.command.StopNoiseActivity弹出的窗口,如下图所示:

 

com.xiaomi.finddevice该包名对应着MIUI自带的“查找手机”应用,但是查询该包path时却发现该软件位于/system/framework/arm/wei.apk,如下图所示:

 

将该apk提取后发现签名状态检验不通过,如下图所示:

 

查看/system/framework/arm目录时发现wei.apk是整个目录唯一一个创建于2021-09-26 00:43的文件,如下图所示:

 

该设备并未root,如下图所示:


 

在提取到的wei.apk中的FindDeviceImsCheck模块当中发现了该界面的相关字符串,如下图所示:

 

样本:见附件(解压密码:kanxue)


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

上传的附件:
收藏
免费 1
支持
分享
最新回复 (2)
雪    币: 4809
活跃值: (2361)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2

MD5再次计算了MD5,取前10位为密钥,应该是这样没错(肯定)

最后于 2023-6-17 21:42 被fishod编辑 ,原因:
2023-6-17 21:21
0
雪    币: 1114
活跃值: (2094)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
3
解包固件看下呢
2023-6-18 20:39
0
游客
登录 | 注册 方可回帖
返回
//