5 votes

Guillermo Gomez avatar

Paquet bizarre "com.google.ccc.abuse.droidguard.droidguasso".

Demandé el 16 de Avril, 2017
Quand la question a-t-elle été
2370 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Depuis peu, mon téléphone affiche "Android commence à optimiser l'application 1 sur 1" à chaque démarrage. J'ai intercepté ce message et j'ai trouvé qu'il s'exécutait dex2oat de cette façon

/system/bin/dex2oat --runtime-arg -classpath --runtime-arg /system/framework/XposedBridge.jar --instruction-set=arm64 --instruction-set-features=default --runtime-arg -Xnorelocate --boot-image=/system/framework/boot.art --dex-file=**/data/data/com.google.android.gms/app\_fb/f.apk** --oat-fd=45 --oat-location=/data/data/com.google.android.gms/app\_fb/f.dex --runtime-arg -Xms64m --runtime-arg -Xmx512m

J'ai aussi réussi à obtenir une copie de l'APK. L'APK original et le DEX disparaît après dex2oat est fait. Son ID de paquet est com.google.ccc.abuse.droidguard.droidguasso et il ne fait que 6,5 Ko. Il n'y a même pas de META-INF dans l'APK. Google ne montre aucun résultat exact à ce sujet.
J'ai peur qu'il s'agisse d'un logiciel malveillant mais je n'arrive pas à en savoir plus. Quelqu'un peut-il m'aider ?

J'ai l'APK intercepté téléchargé sur Dropbox .

Edit : Je m'en suis débarrassé en créant un vide fichier à l'adresse /data/data/com.google.android.gms/app_fb . Mais je m'interroge toujours sur sa malice (si c'est le cas).

Demandé el 16 de Avril, 2017 par Guillermo Gomez

Réponses

Trop de publicités?

4voto

Grimoire avatar
Grimoire Points 2908

Avis de non-responsabilité

Le code de cet APK est obscurci, il est donc difficile de déterminer son objectif. Pour ceux qui ont des doutes concernant mon analyse - et je vous encourage à le faire -, n'hésitez pas à télécharger l'APK décompilé depuis mon site web. Compte MEGA .

Analyse

Avant toute chose, je tiens à préciser que cinq caractéristiques de ce code m'ont fait réfléchir :

  1. le code est obscurci ;
  2. aucune permission n'est jamais déclarée à l'intérieur de l'élément AndroidManifest.xml ;
  3. même si le code lui-même est obfusqué, il y a des chaînes qui mentionnent EGL , shaders y rendu ;
  4. une méthode dans le code sonde l'appareil carte graphique ;
  5. cet APK est non signé .

Quant au point 1, j'ai souvent décompilé les applications de Google, et ils aiment bien obscurcir leur code.

Le point 2 limite considérablement les actions néfastes qu'une application peut effectuer, tant que l'application n'hérite pas de ses autorisations par une autre application. .

Les points 3 et 4 semblent indiquer un logiciel qui est consacré à dessiner sur l'écran.

Le point 5 est fascinant, car l'installateur de paquets d'Android ne permet normalement pas d'installer des paquets non signés .

Guess

Mon avis est que c'est un morceau de logiciel développé à partir de Google, par Google . L'APK n'est pas signé, mais il pourrait théoriquement être installé par une application système, ainsi contourner la restriction de la signature .

Répondu el 16 de Avril, 2017 par Grimoire (2908 Points )

1voto

Ungureanu Liviu avatar
Ungureanu Liviu Points 1573

J'ai des raisons de croire que com.google.ccc.abuse.droidguard.droidguasso est Droidguard (un outil de sécurité de Google). Il y a très peu d'informations à son sujet sur le web, et la meilleure source d'information de SafetyNet (qui est liée à Droidguard) a explicitement dit qu'elle ne publierait pas d'informations sur ce sujet en tant que il ne serait utile qu'aux attaquants . En ce qui concerne l'autre réponse, SafetyNet n'est pas un paquet obfusqué, et ne contient que le fichier classes.dex fichier. Comme Droidguard est effectivement obfusqué alors que SafetyNet ne l'est pas, je suppose que Droidguard évolue plus lentement que SafetyNet.

Répondu el 17 de Avril, 2017 par Ungureanu Liviu (1573 Points )

Questions en vedette

Top Tags

Dans notre réseau

androidalle.com

AndroidAlle est une communauté de androiders où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X