2601_95164564 2026-02-04 04:32 采纳率: 0%
浏览 5

一次vivo与微信攻击的记录

背景信息:
受害人A,某社区党组织书记,终端设备vivoX200s;
受害人B,A的一位朋友/亲戚,终端设备为一台vivo手机;
受害人C, B的妻子,终端设备亦为一台vivo手机;
事情经过:
我是经常在社区社会实践的学生,前天A联系到了我,声称其手机被不法监听,希望我能帮忙消除监听。于是我观察到了这次漏洞攻击。
攻击特征:
A自述攻击从2025年持续到2026年,具体表现为:
1.手机麦克风疑似被窃听:
微信发送语音时有时会提示"语音被其他应用占用,或因系统错误,可尝试重启手机 录音错误,已中断”
2.手机后台管理权限被窃取:
表现为例如中午睡觉时关闭了定位服务,睡醒后发现开着;
3.微信被控制:
表现为在本人不知情的情况下向微信朋友发送信息。

尝试反入侵:
A尝试换手机(vivo换vivo),没换号,没有用;
我前天帮其恢复出厂设置、关闭vivo远程协助,使用vivo安全管家和360手机卫士交叉杀毒(提示无病毒),后面依旧有类似问题(微信录音冲突,并且收到来自B的微信消息,但是B的终端看不到);
值得注意的是,恢复出厂设置时A的vivo账号好像没有设置密码,我令其设置了密码,并且同步更改了邮箱和密码。
B发现手机有可能被窃听后,换了新手机,旧手机交给了C使用,C对旧手机执行了恢复出厂设置。

B的窃听更为严重:
昨日中午,B打电话给朋友谈论购买鞭炮问题,结果A收到了来自B的微信发送的“购买鞭炮是违法的”的类似消息;A甚至可以给B的微信进行回复,但是B自己只能看到 A发的记录,看不到被利用而发出的聊天记录。
C使用B操作过但恢复出厂后的手机后,其抖音号被登录用来发信息给A.
A,B的手机均为手机店购买,且购买时间不超过三个月。

昨天下午我尝试通过adb对A和B的手机进行分析,没有找到异常包;我指导A禁用了vivo办公套件,并且让A和B在我的备用手机上进行微信申诉并更改了密码,删除了其他登录设备(令人困惑的是好像没有可疑设备)。我对A的手机通过wireshark抓包检测到了锁屏5分钟内有多个来自于微信的push包(AI分析的),于是令A删除了没有必要的微信插件。
诡异的是,昨晚A又说收到了来自B微信号的信息,并且B不知情。并且入侵者多次提出看A的手机就像看自己的一样。

鉴于vivo刷机困难,我已经无能为力了。
A自述报警时证据不足无法立案,vivo售后查不出问题。

请问有没有其他思路?

  • 写回答

1条回答 默认 最新

  • 檀越@新空间 2026-02-04 09:30
    关注

    上午好☀️☀️☀️️
    本答案参考通义千问

    根据您提供的详细背景信息和攻击特征,可以判断这是一个高度隐蔽的网络攻击事件,可能涉及恶意软件、远程控制、数据篡改或利用系统漏洞进行监听。以下是对问题的分析及解决方案

    一、攻击特征分析

    1. 麦克风被窃听

      • 微信语音发送时出现“录音被占用”的错误提示,说明有其他进程在尝试访问麦克风
      • 这可能是恶意程序在后台运行并监听音频输入

    2. 后台权限被窃取

      • 定位服务被关闭后又自动开启,说明存在未知进程在操控系统设置
      • 可能是Root权限被获取或系统被越狱(尽管vivo手机通常较难越狱)。

    3. 微信被控制

      • 在用户不知情的情况下发送消息,说明微信账户被劫持或存在恶意插件
      • A可回复B的消息,但B看不到对方发出的内容,这表明攻击者通过某种方式伪造了聊天记录

    4. 设备间传播与异常行为

      • B换机后旧手机交给C使用,C的抖音账号被登录发信息给A,说明攻击者可能通过设备共享或账户泄露进行跨设备攻击

    5. ADB检测无异常、Wireshark发现异常包

      • 表明攻击者可能隐藏了自身行为,或者使用了加密通信手段,使得常规检测难以发现。

    二、可能攻击路径分析

    1. 恶意软件/木马植入

      • 攻击者可能通过钓鱼链接、恶意App或短信诱导安装
      • 由于设备为新购且未越狱,攻击者可能通过系统漏洞或厂商预装应用进行渗透

    2. 微信账户劫持

      • 攻击者可能通过社会工程学手段(如短信验证码泄露)中间人攻击获取微信账号密码。
      • 也可能通过微信漏洞或第三方插件进行控制

    3. 远程控制与监听

      • 如果设备被Root或越狱,攻击者可部署监听工具,如rootkit、keylogger等
      • vivo手机虽安全机制较强,但若存在固件漏洞或厂商合作漏洞,仍可能被利用。

    4. 数据篡改与伪造

      • 攻击者可能通过中间人攻击或伪造服务器响应,使用户看到虚假消息内容。
      • 比如,微信服务器被入侵后,伪造消息内容发送给用户。

    三、解决方案与建议

    1. 系统深度扫描与日志分析

    • 使用专业工具进行深度扫描

      • 使用 Malwarebytes for AndroidKaspersky Mobile Antivirus 等更专业的杀毒工具。
      • 检查系统日志(需root权限),查看是否有可疑进程或权限变更。

    • 检查系统权限管理

      • 打开 设置 > 应用管理 > 权限,查看是否有不寻常的应用请求了麦克风、定位、通知、后台运行等高权限

    • 检查后台进程

      • 打开 设置 > 电池 > 后台活动,查看是否有异常应用持续运行。

    2. 微信账户安全加固

    • 启用双重验证

      • 在微信中开启 “微信安全中心” > “设备锁”“登录保护”,防止他人登录。

    • 修改微信绑定手机号和邮箱

      • 确保所有绑定信息都是本人可控的。

    • 清除微信缓存和数据

      • 设置 > 应用管理 > 微信 > 存储 > 清除数据,重新登录微信。

    • 禁用所有非必要插件

      • 在微信中关闭 “公众号助手”、“文件传输助手” 等第三方插件。

    3. 检查设备是否被Root或越狱

    • 使用 Root Checker 工具

      • 下载 Root CheckeriRoot 工具,检测设备是否被Root。

    • 检查系统签名

      • 使用 ADB命令 adb shell pm list packages -s 查看是否有系统级应用被替换。

    4. 网络层检测与防护

    • 使用 Wireshark 分析流量

      • 对手机连接的WiFi进行抓包,观察是否有异常的微信推送包
      • 检查是否与非官方的微信服务器 IP 建立连接。

    • 更换网络环境

      • 尝试使用 移动数据 而不是 WiFi,以排除路由器被入侵的可能性。

    5. 设备重置与安全恢复

    • 彻底格式化设备

      • 不仅恢复出厂设置,还要删除所有个人数据,并确保没有保留任何备份文件

    • 使用官方恢复工具

      • 通过 vivo官方恢复工具(如vivo Recovery Tool) 重装系统,避免使用第三方刷机工具。

    • 更换设备

      • 若无法确认设备安全性,建议更换新设备,并将原设备彻底销毁(如硬盘物理损坏)。

    6. 法律与技术取证

    • 保存证据

      • 保留所有异常消息记录、Wireshark 抓包结果、系统日志等。
      • 如有时间戳、IP地址、设备信息等,可用于后续法律维权。

    • 联系警方或网络安全机构

      • 即使目前证据不足,也应提交相关材料,等待进一步调查。

    • 向工信部举报

      • 提交设备型号、购买时间、异常情况,要求对vivo系统进行安全审查。

    四、代码示例(ADB检测异常进程)

    # 查看当前运行的进程
adb shell ps | grep "com."

# 查看所有正在运行的服务
adb shell service list

# 查看所有已安装的应用及其权限
adb shell pm list packages -d  # 查看被禁止的应用
adb shell pm list packages -f  # 查看应用的安装位置

# 查看系统日志(需root)
adb logcat -s *:W

    五、总结与重点提示

    重点提示:

    • 设备可能已被Root或越狱,导致系统权限被窃取。
    • 微信账户可能被劫持,需立即加强安全措施。
    • 攻击者可能通过中间人攻击或伪造服务器,造成消息被篡改。
    • 建议彻底重置设备并更换新设备,以确保安全。

    如果您需要进一步协助,例如如何提取系统日志、分析Wireshark包或使用专业工具检测Root,我可以提供更详细的指导。

    评论

报告相同问题?

问题事件

  • 创建了问题 2月4日