受影响手机包括魅族,中国移动等国产手机。

5月12日开始有人在百度知道提问cmtwg,5月13日mx吧也有人在发贴。

我接到有问题的手机时间更早,大约就是五一之后。

出现问题的几个牌子的国产手机,似乎存在漏洞,对方可以利用4G网络,自动安插它们的软件到你的设备上。

com.wagd.qhsz的dump

com.wg.cmtwg的dump

自动安装时间点的日志

  **  ** I ActivityManager: Start proc :com.android.defcontainer/u0a20 for service com.android.defcontainer/.DefaultContainerService

   D DefContainer: Copying /storage/emulated//.tm/882a3f6d5466518c3fb5290ada5f2a89 to base.apk

  **  ** I PackageManager.DexOptimizer: Running dexopt (dex2oat) on: /data/app/vmdl533505310.tmp/base.apk pkg=com.wg.cmtwg isa=arm64 vmSafeMode=false debuggable=false target-filter=interpret-only oatDir = /data/app/vmdl533505310.tmp/oat sharedLibraries=null

  **  ** V BackupManagerService: restoreAtInstall pkg=com.wg.cmtwg token=d restoreSet=

   D DefContainer: Copying /storage/emulated//.tm/60d9d7e3febaf4ba2e3ce177747d76cf to base.apk

  **  ** I PackageManager.DexOptimizer: Running dexopt (dex2oat) on: /data/app/vmdl722489780.tmp/base.apk pkg=com.wagd.qhsz isa=arm64 vmSafeMode=false debuggable=false target-filter=interpret-only oatDir = /data/app/vmdl722489780.tmp/oat sharedLibraries=null

  **  ** I ActivityManager: Start proc :com.wg.cmtwg/u0a1** for activity com.wg.cmtwg/com.hikd.nvkhu.MainActivity

  **  ** I PackageManager.DexOptimizer: Running dexopt (dex2oat) on: /data/app/vmdl722489780.tmp/base.apk pkg=com.wagd.qhsz isa=arm64 vmSafeMode=false debuggable=false target-filter=interpret-only oatDir = /data/app/vmdl722489780.tmp/oat sharedLibraries=null

   W System  : ClassLoader referenced unknown path: /data/app/com.wg.cmtwg-/lib/arm64

   W Settings: Setting development_settings_enabled has moved from android.provider.Settings.Secure to android.provider.Settings.Global.

   W Settings: Setting adb_enabled has moved from android.provider.Settings.Secure to android.provider.Settings.Global.

   W art     : Class sdk.fkgh.hxx.x failed lock verification and will run slower.

   W art     : Common causes for lock verification issues are non-optimized dex code

   W art     : and incorrect proguard optimizations.

   W art     : Class sdk.fkgh.hxx.K failed lock verification and will run slower.

   W art     : Class sdk.fkgh.hxx.w failed lock verification and will run slower.

   W Settings: Setting android_id has moved from android.provider.Settings.System to android.provider.Settings.Secure, returning read-only value.

   W Settings: Setting android_id has moved from android.provider.Settings.System to android.provider.Settings.Secure, returning read-only value.

   W art     : Class sdk.fkgh.hxx.G failed lock verification and will run slower.

   D MyService: onStartCommand:

   W Settings: Setting development_settings_enabled has moved from android.provider.Settings.Secure to android.provider.Settings.Global.

   W Settings: Setting adb_enabled has moved from android.provider.Settings.Secure to android.provider.Settings.Global.

   I DpmTcmClient: RegisterTcmMonitor from: com.android.okhttp.TcmIdleTimerMonitor

  **  ** V BackupManagerService: restoreAtInstall pkg=com.wagd.qhsz token=e restoreSet=

 **  D Launcher.Model: mAllAppsList.addPackage com.wagd.qhsz

  **  ** I ActivityManager: START u0 {act=android.intent.action.MAIN flg=0x14800000 cmp=com.wagd.qhsz/com.wagd.gg.MainActivity} from uid  on display

  **  ** I ActivityManager: Start proc :com.wagd.qhsz/u0a1** for activity com.wagd.qhsz/com.wagd.gg.MainActivity

   W System  : ClassLoader referenced unknown path: /data/app/com.wagd.qhsz-/lib/arm64

   W System  : ClassLoader referenced unknown path: /data/data/com.qihoo.shielder/files

   D MyService: onStartCommand:

   I DpmTcmClient: RegisterTcmMonitor from: com.android.okhttp.TcmIdleTimerMonitor

   W ResourceType: ResTable_typeSpec entry count inconsistent: given , previously

   I art     : Compiler allocated 5MB to compile boolean com.qihoo360.mobilesafe.loaded.client.i.transact(int, android.os.Parcel, android.os.Parcel, int)

   I System.out: true

   I art     : Do partial code cache collection, code=20KB, data=30KB

   I art     : After code cache collection, code=20KB, data=30KB

   I art     : Increasing code cache capacity to 128KB

  **  ** I ActivityManager: Process com.wagd.qhsz (pid ) has died

  **  ** D ActivityManager: cleanUpApplicationRecord --

  **  ** W ActivityManager: Scheduling restart of crashed service com.wagd.qhsz/com.wagd.gg.MyService in 1000ms

  **  ** I ActivityManager: Start proc :com.wagd.qhsz/u0a1** for service com.wagd.qhsz/com.wagd.gg.MyService

   W System  : ClassLoader referenced unknown path: /data/data/com.qihoo.shielder/files

   W System  : ClassLoader referenced unknown path: /data/app/com.wagd.qhsz-/lib/arm64

   D MyService: onStartCommand:

   I DpmTcmClient: RegisterTcmMonitor from: com.android.okhttp.TcmIdleTimerMonitor

   W ResourceType: ResTable_typeSpec entry count inconsistent: given , previously

   I art     : Compiler allocated 5MB to compile boolean com.qihoo360.mobilesafe.loaded.client.i.transact(int, android.os.Parcel, android.os.Parcel, int)

上面日志发生了什么?

0. 日志清单之前1分钟内有DpmTcmClient的输出,可能是在下载安装包。

1. PackageManager被调用,启动了DefaultContainer,pid=20763

2. DefaultContainer启动一条线程tid=20780,先后将下载在/sdcard/.tm目录上的安装包

882a3f6d5466518c3fb5290ada5f2a89,60d9d7e3febaf4ba2e3ce177747d76cf

安装上,并且BackupManager恢复数据。

3. AM被调用,启动 com.wg.cmtwg,pid=20812

4. com.wg.cmtwg修改设置development_settings_enabled以及adb_enabled,然后开启http连接。

5. AM被调用,启动 com.wagd.qhsz,pid=21086

6. com.wagd.qhsz修改设置development_settings_enabled以及adb_enabled,然后开启http连接。

7. pid=21086,com.wagd.qhsz.Activity死亡

8. 1分钟后,AM重启com.wagd.qhsz/com.wagd.gg.MyService, pid=22085

9. com.wagd.qhsz/com.wagd.gg.MyService开启http连接。

这几款软件都是动态加载dex,只有发作后才能看到更多东西,和任务逻辑。

下面是我最初接到的手机,发作的情况。

软件会下载各路刷广告的sdk,加载后疯狂开线程刷广告,手机几乎超载运行发热感人激动,直至重启,然后反复无电累死。

发作的手机/sdcard目录下要有如下目录

/data/data/com.wagd.qhsz

/data/data/com.wg.cmtwg

下面列一些com.wagd.qhsz下载的dex反编译后找到的字串:

com.wagd.qhsz

"com.blankj.utilcode.util.PermissionUtils$PermissionActivity"

“http_stat12.guantouyouxi.com”

_235.do d.class "FULIYOUYICHENG"

.apk net.task.InitTask "WG20200430143295" "yy2042901"

.apk net.task.d "qtt://news_detail?from=And-juaiwan-19100503&id=1427705327", "", "com.jifen.qukan"

.apk net.task.e "com.android.browser" "com.eg.android.AlipayGphone" "mBasePackageName"

*.dex com.api.a class: "http://sdktoapi.free-eyepro.com" "ad.vv.sdk"

*.dex com.lo.ca.realtimeweb.kernel.web.ai class: "wzb api inject js next_script_order="

*.dex com.lo.ca.realtimeweb.kernel.web.ak class: "qh api evaluateJavascript_qh---ua="

*.dex h.e class: "--------------------canRunBeiYeSDK-start-----------ADID==>"

*.dex h.i class: "beiyeAPI_" "com.yjl.sdk" "com.yjl.sdk.mango" "com.yjl.sdk.web" "com.yjl.sdk.xinyun" "com.yjl.sdk.baidu" "com.ext.sdk"

大概的工作原理,就是后台webview刷广告api,注入js刷数据刷流量。sdk都注名为anshuan。

下载到的dex文件都重命名后缀.do,编译后oat文件都重命名后缀.dex,如果不会用xxd区分文件格式的话,就在反编译时受阻。

所以期间正好写了一个gui4smali的demo,因为它们实在下载了太多odex。

cmtwg,qhsz,nvkhu在安装自动获取到了所有的权限,包括访问/sdcard,自动加入inet用户组,隐私风险最高级。它们似乎拥有除root和SEandroid外一切有用的权限。可以让删除它们后的手机,后台自动去下载并安装(或者说直接通过4G网络让你的手机下载并安装),安装同时授权一切。设备惹上后扛扛是一块肉鸡,而且隐私风险最高。

五一以来,国产手机受到cmtwg, nkvhu, qhsz等几款恶意软件肆虐。的更多相关文章

  1. 带你找到五一最省的旅游路线【dijkstra算法推导详解】

    前言 五一快到了,小张准备去旅游了! 查了查到各地的机票 因为今年被扣工资扣得很惨,小张手头不是很宽裕,必须精打细算.他想弄清去各个城市的最低开销. [嗯,不用考虑回来的开销.小张准备找警察叔叔说自己 ...

  2. 五一出门必备的手机APP神器 让你瞬间大开眼界

    如今我们手机上有各种各样的软件,但是比较实用的又有哪些呢?所以每次大家都会花上很久的时间去查找满意的软件吧!今天就给大家送上一波福利,因为五一小长假就要到来了,说不定大家会使用到呢! 轻颜相机 轻颜相 ...

  3. Android Studio 调试各种国产手机经验总结

    为何加上“国产”二字呢,因为目前测试时就国产手机存在的安装问题多,而且都很奇葩,不得不说对于开发者时很不友好的. 下面就是个人总结的针对不同的机型调试时出现的问题做的总结: 1.VIVO 手机 解决方 ...

  4. 关于国产手机(含山寨机)的mrp格式文件使用

    目前国内的大多数国产手机(山寨机)均支持MRP格式软件,本文将教你如何测试或安装!(MRP格式游戏,是由[杭州斯凯网络科技有限公司]开发的一种轻量级的虚拟平台MINIJ平台格式文件,用标准的ANSI ...

  5. 国产手机插入mac os 系统中无法被识别的解决方法

    一些国产手机插入mac os 系统中无法被识别,在命令行输入 system_profiler SPUSBDataType在, 然后将魅蓝note的vendor id 添加至 ~/.android/ad ...

  6. 五一,期待一场这样的旅行,提前预祝Csdner五一快乐

    五一,期待一场这样的旅行,提前预祝Csdner五一快乐 五一,你是否期待一次这样的旅行: 住在一间安静优美的小屋,在鸟鸣中起床,推窗有花香铺面而来.早餐过后,在阳光温暖的抚摸里,骑车踏青或光脚奔跑. ...

  7. GDOI2017 五一游玩记

    GDOI2017 到辣! 在五一比赛,成功躲了两天文化课. Day 0 早上睡到挺晚,想着同学在上课,我在睡觉,暗爽... 动车上,拿起电脑就是颓废,打模板!(然而真相是打了两个模板就开始颓了) 一天 ...

  8. 五一巨献,问答有礼,105QB送给IT互联网界的劳动人民

    活动主题:五一巨献,问答有礼,105QB送给IT互联网界的劳动人民活动时间:4月30日晚上10点~5月2日晚上10点活动期数:第1期,20150401 奖品:105QB获奖人数:20人1~5:每人10 ...

  9. Python 爬取 13 个旅游城市,告诉你五一大家最爱去哪玩?

    五一假期已经结束,小伙伴是不是都还没有玩过瘾?但是没办法,还有很多bug等着我们去写,同样还有需要money需要我们去赚.为了生活总的拼搏. 今年五一放了四天假,很多人不再只是选择周边游,因为时间充裕 ...

随机推荐

  1. Intellij IDEA 基础设置,个性化设置,好用的设置→_→

    Intellij IDEA 个性化设置 Appearance & Behavior 外观和行为 Keymap 快捷键 Editor 编辑器设置 Plugins 插件 Version Contr ...

  2. php环境兼容性问题---压缩格式及其配置简介

    php环境兼容性问题-- 内容编码错误 无法显示您尝试查看的页面,因为它使用了无效或者不支持的压缩格式. 请联系网站的所有者以告知此问题. 以前也遇到过同样的问题,记得是PHP代码ob_start(' ...

  3. MAC攻击及缺陷

    MAC攻击及缺陷 MAC有好几种实现方式 对MAC的攻击 重放攻击 重放攻击的防护 密钥推测攻击 MAC算法的缺陷 第三方证明 防止否认 前面我们在讲HMAC的时候简单讲过了什么是MAC消息认证码. ...

  4. 工程师泄露5G核心技术文档 被判有期徒刑三年缓刑四年

    2002 年至 2017 年 1 月,黄某瑜就职于中兴通讯公司,担任过射频工程师.无线架构师等职务.2008 年 4 月至 2016 年 10 月,王某就职于中兴通讯公司西安研究所,担任过 RRU 部 ...

  5. 20060518: Alert!

    Alert Received, Shrink My Blog! 转载于:https://www.cnblogs.com/yidinghe/archive/2006/05/18/403089.html

  6. 数学--数论--欧拉降幂--P5091 欧拉定理

    题目背景 出题人也想写有趣的题面,可惜并没有能力. 题目描述 给你三个正整数,a,m,ba,m,ba,m,b,你需要求:ab mod ma^b \bmod mabmodm 输入格式 一行三个整数,a, ...

  7. 从0开始搭建精灵宝可梦的检测APP

    从0开始搭建精灵宝可梦的检测APP 本文为本人原创,转载请注明来源链接 环境要求 Tensorflow1.12.0 cuda 9.0 python3.6.10 Android Studio Anaco ...

  8. Jenkins 部署(基于 windows)

    一.安装 jdk,配置环境变量 二.安装 tomcat 和 jenkins 1.检查电脑上 8080 端口是否被占用: 命令行中输入:netstat -ano 2.下载Tomcat Tomcat官方网 ...

  9. JavaWeb开发规范

    以下的建议将帮助你更有效地使用本文所描述的 Java 编程标准: ******************************************************* 当你写代码时就应该遵守 ...

  10. 用Redislive监控redis

    注意:RedisLive是使用Python2.x编写,建议使用2.7,本次环境为Centos 7.2,默认Python版本2.7. 项目地址:https://github.com/nkrode/Red ...