最近发现有恶意 APK 被伪装为 “MT 终端扩展包”(包名:bin.mt.plus.termex,大小约 7.7MB),并会随机写入 Magisk / Zygisk 模块目录下的 .../priv-app/... 路径内。由于 priv-app 属于高权限目录,系统会将其中的 APK 视作“系统应用”,从而默许其敏感权限调用,风险极高。
一、紧急处置(立即执行)
- 断网:先断开手机 Wi-Fi 与移动数据(或开启飞行模式),防止恶意应用联网或下载更多组件。
- 切换到备用设备:若可能,请在备用机或隔离环境上做进一步排查,避免主机数据泄露。
- 立即备份重要数据:联系人、照片、重要文件先行离线备份(本地或可信云)。
二、快速检测(需 ADB 与 root)
下面命令假定你已在电脑安装 adb 并开启设备调试;部分命令需要 root(su)。
1) 查找模块目录下的 APK:
adb shell "su -c 'find /data/adb/modules -type f -name \"*.apk\" -exec ls -l {} \;'"2) 检查可疑包名是否存在:
adb shell "su -c 'pm list packages | grep bin.mt.plus.termex' "3) 查找模块目录中包含关键字的路径:
adb shell "su -c 'find /data/adb/modules -maxdepth 3 -iname \"*termex*\" -print' "4) 列出 /data/adb/modules 下所有模块(快速目视核查):
adb shell "su -c 'ls -la /data/adb/modules' "5) 提取可疑 APK 做取证(先 pull 到电脑再做哈希校验):
adb pull /data/adb/modules/<模块名>/system/priv-app/<某.apk> ./suspicious.apk
sha256sum suspicious.apk
# 上传 suspicious.apk 到 VirusTotal 或类似服务做检测三、确认为恶意后的安全清理(务必先备份证据)
- 取证备份:在删除前把可疑 APK 与模块目录拉回电脑保存:
adb pull /data/adb/modules/<module> ./evidence_module adb shell "su -c 'cat /data/adb/modules/<module>/system/priv-app/<apkname>' > /sdcard/apk_backup.apk adb pull /sdcard/apk_backup.apk - 删除可疑模块(删除前确认已备份证据):
adb shell "su -c 'rm -rf /data/adb/modules/<module_name>'" adb shell "su -c 'ls -la /data/adb/modules' && reboot"删除后重启设备,确保注入进程被卸载并清除内存中残留。
- 检查是否被固化为系统应用(若被移动到
/system/priv-app,需在 recovery 下或刷机方式清理):adb shell "su -c 'pm list packages -s | grep <关键字>'" adb shell "su -c 'dumpsys package bin.mt.plus.termex' " - 若不确定是否彻底清洁,建议直接刷官方固件/ROM —— 最彻底的恢复方式。
四、进阶排查(日志与行为分析)
- 查看 logcat 中的可疑日志关键词(在已断网或隔离环境下执行):
adb logcat -d | grep -i termex adb logcat -d | grep -i suspicious - 检查模块脚本或自动执行点(post-fs-data、service.d 等):
adb shell "su -c 'grep -R \"termex\\|bin.mt.plus\" /data/adb/modules /data/adb/post-fs-data.d /data/adb/service.d || true' " - 查看系统相关日志目录(如
/data/system/dropbox、/data/misc)以寻找异常行为痕迹。
五、预防与长期建议
- 只从官方或可信渠道下载模块与 APK(Magisk 官方仓库、作者主页、受信任的社区频道)。
- 下载前核验文件哈希(SHA256/MD5)与作者来源,避免直接安装群内或论坛随手流传的包。
- 在备用机或虚拟环境先行测试;不要直接在主设备上试验不明模块。
- 定期审计 / 扫描私有模块目录,并把可疑文件上传 VirusTotal 进行检测。
- 限制模块自写权限、及时更新 Magisk / KernelSU / 越狱工具,关闭自动安装/自动更新权限。
- 提高社区安全意识:分享时强调“只信原作者与官方渠道”。
📌 温馨提示: 若你当前设备可用且愿意,我可以一步步在线引导你执行检测(请先确认是否能使用 ADB 并能提供是否具 root 权限的信息)。
评论前必须登录!
立即登录 注册