在我的三星 Galaxy S6 手机上,当我单击显示系统应用程序时,我在设置 > 应用程序中看到 service.odtcfactory.sec.com.odtcfactoryservice。不久前,我开始怀疑我的手机可能被黑客入侵了,当我连接到它时,我注意到在 Phone\Android\data 中有一个名为 service.odtcfactory.sec.com.odtcfactoryservice 的文件夹,该文件夹是在入侵可能发生的时候创建的已经发生(事后看来)。
在此文件夹内有一个空缓存文件夹,该文件夹的创建和修改日期时间与以下行相同,其中包含 adb logcat 输出中的字符串“odtc”:
07-15 16:12:44.502 D/MountService(3663):getExternalStorageMountMode:最终 mountMode=1,uid:1000,packageName:service.odtcfactory.sec.com.odtcfactoryservice
07-15 16:12:44.541 I/ActivityManager(3663 ): 启动 proc 5087:service.odtcfactory.sec.com.odtcfactoryservice/1000 广播 service.odtcfactory.sec.com.odtcfactoryservice/.odtcfactory.BatteryAlarmReceiver
07-15 16:12:44.561 I/SELinux (5087): SELinux: seaapp_context_lookup: seinfo=platform, pkgname=service.odtcfactory.sec.com.odtcfactoryservice
07-15 16:12:44.608 I/ActivityManager(3663): DSS on for service.odtcfactory.sec.com.odtcfactoryservice 和规模是 1.0
07- 15 16:12:44.644 D/ODTCFactoryService:BatteryAlarmReceiver(5087): ACTION_POWER_CONNECTED 收到
07-15 16:12:44.648 W/ContextImpl(5087):在没有合格用户的情况下调用系统进程中的方法:android.app.ContextImpl.sendBroadcast:906 android.content.ContextWrapper.sendBroadcast:452 android.content.ContextWrapper .sendBroadcast:452 service.odtcfactory.sec.com.odtcfactoryservice.odtcfactory.BatteryAlarmReceiver.onReceive:54 android.app.ActivityThread.handleReceiver:3309
07-15 16:12:45.067 I/ODTCFactoryService:AlarmReceiver(5087): 收到警报
07 -15 16:12:45.071 D/ODTCFactoryService:AlarmReceiver(5087):计划在 1800000 (ms) 之后发出警报,会话时间为 180000 (ms)
07-15 16:12:45.071 D/ODTCFactoryService:PowerMonitor(5087): sessionStartTime 1531696365071
07-15 16:12:45.073 W/ContextImpl(5087): 在没有合格用户的情况下调用系统进程中的方法: android.app.ContextImpl.startService:1403 android.content.ContextWrapper.startService:664 android.content.ContextWrapper .startService:664 service.odtcfactory.sec.com.odtcfactoryservice.odtcfactory.AlarmReceiver.onReceive:105 android.app.ActivityThread.handleReceiver:3309
07-15 16:12:45.078 D/ODTCFactoryService::LockscreenEncoderFactory(5087): LockscreenEncoderFactory 实例化
07-15 16:12:45.094 D/ODTCFactoryService:ProcessLockManager(5087): 锁被释放
07-15 16:12:45.105 I/ActivityManager(3663): Process service.odtcfactory.sec.com.odtcfactoryservice (pid 5087) 已经死亡(54,1194)
我已强制停止此应用程序并重新启动。本周我还两次将手机恢复出厂设置,但该应用程序仍然存在。第一次恢复出厂设置后,我安装了最新的系统更新,所以我的 Android 版本是 7.0:
内核版本 3.10.61-13731302 Mon Jun 和 4 2018内部版本
号 NRD90M.G920W8VLU6DRF1
Android 安全补丁级别 2018 年 6 月 1 日
这个系统应用合法吗?我在谷歌搜索中找不到太多关于它的信息,这让我更加怀疑。如果它无效,我该如何卸载它?我尝试运行以下命令,但得到了 DELETE_FAILED_INTERNAL_ERROR。
adb shell pm uninstall service.odtcfactory.sec.com.odtcfactoryservice
我还在与 reSIProcate 服务相关的日志文件中看到了其他看似可疑的活动。以下行是一个示例,但有许多类似的例子,就像我的手机向服务器发送消息一样。
07-15 15:51:08.226 I/reSIProcate(3132): SipResp: 200 tid=68e64ae9ac9d2c9f cseq=29 注册联系人=xxxx@[2605:8d80:2:8c1c:d6a:ab6e:8708:44c4]:6100 / 29从(电线)