先说好,我啥也不知道,别问我。
关于com.system.wcrash的分析,扒到一个帖子。
(21楼)
如下。
我用的V8,解锁后刷了他的538,然后发现内置了一堆垃圾,就进行分析了一下
com.system.wcrash 和 com.service.usbhelper 这两个垃圾他都集成到了 /system/framework 目录下,并且刻意修改了apk文件名来混淆视线
------------------
/system/framework/ConfigSyncs.apk
/system/priv-app/ConfigSyncs/ConfigSyncs.apk
包名 com.system.wcrash
功能分析(反编译后分析代码得出结论):
1.搜集设备数据并上传(含设备参数、imei信息、已安装app信息等)
2.执行远程服务器下发的指令
搜集的设备数据会存储在存储空间的 /tjtj/log/data.txt 文件中
目标服务器网址: bhs.jk130.com 经过查询,域名注册方是个人,名字为陈xx,域名在19年3月份会过期。
目前此域名已经停止了解析,因此这个app算是废了。
通过网络引擎搜索 com.system.wcrash 会发现早在17年6月份这个包名就已经被报道为是一个app分发渠道的推广统计组件。而通过代码分析里边用的域名,怀疑是一个数据中转服务器,但这个不好核实。
------------------
/system/framework/MobileSyncs.apk
/system/priv-app/MobileSyncs/MobileSyncs.apk
包名 com.service.usbhelper
功能分析(反编译后分析代码得出结论):
1.搜集设备数据
2.统计推广app安装数据
3.弹窗广告
4.可能存在热更新本地jar代码的能力。也就是说云端想的话,可以在你不知情的情况下更新本地代码来操控你手机(非更新apk形式)
搜集到的数据的保存在存储空间的 /.CryptLord/ 目录下,可以自行查看
----------------------
这两个app内部都做了一些混淆,并用各种手段隐藏自己,所以从他们能实现的功能来看,早早删除的好。
只是统计推广app安装数据没问题,隐藏自身很恶心,搜集设备隐私数据和能远程执行指令就后果严重了。
|