疑似第三方 ROM 替换小米查找手机内置应用强行进行弹窗要求输入“注册码”

ahov · 发表于 2023-6-17 19:18

该恶意软件中招后的现象：
每隔一段时间弹出以下窗口，可以调出多任务台临时关闭，一段时间后再次弹出，如下图所示：

开启usb调试后，经过多次adb查找，确认为com.xiaomi.finddevice/com.xiaomi.finddevice.v2.command.StopNoiseActivity弹出的窗口，如下图所示：

com.xiaomi.finddevice该包名对应着MIUI自带的“查找手机”应用，但是查询该包path时却发现该软件位于/system/framework/arm/wei.apk，如下图所示：

将该apk提取后发现签名状态检验不通过，如下图所示：

查看/system/framework/arm目录时发现wei.apk是整个目录唯一一个创建于2021-09-26 00:43的文件，如下图所示：

该设备并未root，如下图所示：

在提取到的wei.apk中的FindDeviceImsCheck模块当中发现了该界面的相关字符串，如下图所示：

样本：

sample.zip (585.44 KB, 下载次数: 57) （解压密码：52pojie）

1006442347 · 发表于 2023-6-17 21:19

499b4229b6

lck100 · 发表于 2023-6-17 19:41

害人不浅

lvbuqing · 发表于 2023-6-19 11:31

sn = Settings.System.getString(contentResolver, "ims_serial_number");

sn_md5 = echo -n sn

sn_md5.substring(0, 10)

1记忆夜1 · 发表于 2023-6-17 19:21

厉害了，没root
怎么进去的？

bgwu666 · 发表于 2023-6-18 18:11

逃亡的蛋挞发表于 2023-6-17 20:47
第三方ROM不是刷机了吗？不就等于root吗？
又说没有root。

刷机最简单的只需要解锁BL就可以了，不需要Root的，第三方ROM一般通过REC刷入，只需要先刷入REC，再刷第三方ROM就可以了，全程是不需要Root的，都是对镜像进行操作。

逃亡的蛋挞 · 发表于 2023-6-17 20:47

第三方ROM不是刷机了吗？不就等于root吗？
又说没有root。

对不起，我只一知半解。上面两个理解不清是怎么回事。

ohyeah521 · 发表于 2023-6-17 23:04

本帖最后由 ohyeah521 于 2023-6-17 23:05 编辑

在源码中搜索关键词，激活：

文件内容

反编译好的代码：https://zhihuaspace.cn:8888/source_code/?md5=d8dff86d84034e9a3941f7df08ac0b1f&type=java#content

mjyhj · 发表于 2023-6-18 03:03

逃亡的蛋挞发表于 2023-6-17 20:47
第三方ROM不是刷机了吗？不就等于root吗？
又说没有root。

第三方是第三方，ROOT是ROOT。第三方又不一定要ROOT。

雨儿 · 发表于 2023-6-17 19:29

1记忆夜1 发表于 2023-6-17 19:21
厉害了，没root
怎么进去的？

官改包吧

sunnyli1024 · 发表于 2023-6-17 19:32

换个包刷

侃遍天下无二人 · 发表于 2023-6-17 20:13

用adb shell pm disable-user "包名" 停用它试试

Spacecraft · 发表于 2023-6-17 20:38

尝得不算深，但不知道就着了

pazmx · 发表于 2023-6-17 21:18

支持一下

帐号		自动登录	找回密码
密码			注册[Register]

[移动样本分析] 疑似第三方 ROM 替换小米查找手机内置应用强行进行弹窗要求输入“注册码”