混世魔头
发信人: LuNlUn (ε( ̄__ ̄)3), 信区: PocketLife 标 题: 分析甲鱼G3自动安装QQ手机管家 发信站: 水木社区 (Wed Jan 9 20:32:35 2013), 站内 我的G3今天中午被偷偷装了一个QQ手机管家,没有任何安装提示。经分析,官方ROM是罪魁祸首。 相关软件 ======== MediaTekData.apk(主要) MediaTekBackup.APK UserSustain.APK /system/bin/upgraded 相关网址 ======== www.vanzotec.com/(上海凡卓通讯) push.vzota.com push.vvota.com 可能行为 ======== 自动推送安装软件 自动卸载/替换系统其它apk 会上传包含电话号码/地理位置在内的隐私数据 可能会推送短信,发短信等(嫌疑) 相关过程 ======== 1. /system/bin/upgraded开机启动 提供root shell接口 2. MediaTekData 通过upgraded接口实现自更新/安装/卸载/替换apk或其它操作 相关证据 ======== logcat日志 ---------- D/libc-netbsd( 506): getaddrinfo: push.vvota.com return error = 0x8 >> D/libc-netbsd( 506): getaddrinfo: push.vvota.com return error = 0x8 >> E/AudioYusuccci( 110): msg(0x1abf664f), ret(-1) E/ccci_mdinit( 98): read fail ret=4 E/AudioYusuccci( 110): msg(0x1abf664f), ret(-1) E/ccci_mdinit( 98): read fail ret=4 E/upgraded( 116): -------------------count:34 buf:pm install /mnt/sdcard/Android/APNrs.usersustain/files/so/liblocSDK_2.4.so > /data/data/com.android.providers.usersustain/lib/liblocSDK_2.4.so E/AudioYusuccci( 110): msg(0x1abf664f), ret(-1) E/ccci_mdinit( 98): read fail ret=4 E/AudioYusuccci( 110): msg(0x1abf664f), ret(-1) E/ccci_mdinit( 98): read fail ret=4 E/AudioYusuccci( 110): msg(0x1abf664f), ret(-1) E/ccci_mdinit( 98): read fail ret=4 D/libc-netbsd(10297): getaddrinfo: dl.vmall.com return error = 0x8 >> D/libc-netbsd( 103): res_queryN name = dl.vmall.com, class = 1, type = 1 D/libc-netbsd( 103): res_queryN name = dl.vmall.com succeed D/libc-netbsd(10297): getaddrinfo: dl.vmall.com get result from proxy >> E/Netdiag ( 104): select out for fd=11,i=0 E/Netdiag ( 104): commandlistening handle_message E/Netdiag ( 104): close fd=11,i:0 E/Netdiag ( 104): FD_CLR fd=11,i:0 E/Netdiag ( 104): commandlistening unlock exit E/upgraded( 116): eof E/upgraded( 116): failed to read size E/Netdiag ( 104): commandlistening unlock exit E/ActivityNetwork_Thread(10392): read thread running E/upgraded( 116): -------------------count:40 buf:pm install /mnt/sdcard/temp/qqsecure.apkrsustain/files/so/liblocSDK_2.4.so > /data/data/com.android.providers.usersustain/lib/liblocSDK_2.4.so E/AudioYusuccci( 110): msg(0x1abf664f), ret(-1) sqlite db --------- MediaTekData会在/data/data/com.mediatek.dataservice/databases/中记录相关行为,下面是pkg.db里的内容: sqlite> .tables android_metadata pkg_install pkg_uninstall sqlite> select * from pkg_install ...> ; 1|com.tencent.qqpimsecure|2013-01-09 12:59:36 可以看到被推送安装的记录 apktool分析 ----------- 使用apktool分析MediaTekData转换后的smali文件,确认该apk的行为: 1. 上传手机相关信息,包括IMEI, WIFI mac等,甚至还包括手机号码,你的地理位置。。。 2. 从push.vzota.com更新MediaTekData以及MediaTekBackup,还有usersustain相关文件 3. 从push.vvota.com定期(1小时)获取推送信息,依此进行安装等相关动作 我的解决办法 ============ 把MediaTekData MediaTekBackup UserSustain这几个包都删除了。。 结论 === MediaTekData这个应该是提供系统升级等功能的,但不能确保厂家不拿来干坏事。 山寨手机真心不安全
查看详细资料
TOP
