-
-
[调查] 疑似第三方 ROM 替换小米查找手机内置应用强行进行弹窗要求输入“注册码”
-
发表于: 2023-6-17 19:27
-
该恶意软件中招后的现象:
每隔一段时间弹出以下窗口,可以调出多任务台临时关闭,一段时间后再次弹出,如下图所示:
开启usb调试后,经过多次adb查找,确认为com.xiaomi.finddevice/com.xiaomi.finddevice.v2.command.StopNoiseActivity弹出的窗口,如下图所示:
com.xiaomi.finddevice该包名对应着MIUI自带的“查找手机”应用,但是查询该包path时却发现该软件位于/system/framework/arm/wei.apk,如下图所示:
将该apk提取后发现签名状态检验不通过,如下图所示:
查看/system/framework/arm目录时发现wei.apk是整个目录唯一一个创建于2021-09-26 00:43的文件,如下图所示:
该设备并未root,如下图所示:
在提取到的wei.apk中的FindDeviceImsCheck模块当中发现了该界面的相关字符串,如下图所示:
样本:见附件(解压密码:kanxue)
