查看: 4404|回复: 15
收起左侧

[技术原创] “安卓修改大师”携带后门病毒 黑客可任意操控用户电脑

[复制链接]
火绒工程师
发表于 2021-8-13 20:35:03 | 显示全部楼层 |阅读模式
本帖最后由 火绒工程师 于 2021-8-13 20:37 编辑

近期,火绒发现一款名叫“安卓修改大师”的安卓应用破解软件携带后门病毒。经火绒工程师分析,该病毒软件运行后会释放病毒模块,根据服务器下发的指令可以执行下载上传任意文件、获取用户键盘记录、获取剪切板记录、获取屏幕截图,获取QQ好友列表等行为。


病毒执行流程

火绒工程师分析,“安卓修改大师”软件可以用于对安卓应用进行修改或破解,例如修改游戏规则改变伤害数值等。

在搜索引擎输入“安卓修改”,可以发现“安卓修改大师”官网排名首位。据“火绒威胁情报系统”监测和评估,已有数万台终端感染该后门病毒。目前,火绒已对该网站进行拦截,火绒用户无需担心,可使用火绒【全盘查杀】功能查杀该病毒。


安卓修改大师官网


官网拦截图


查杀图

软件破解类工具不仅影响游戏等网站、平台的正常运营,还会给用户本身带来隐私泄露等安全风险。火绒工程师提醒各位网友,千万不要抱有侥幸心理,安装不明来源的“灰色软件”。如若必须安装,可以先用安全软件进行查杀,做好安全防范工作。

一、病毒危害行为详细分析
该后门病毒会与C&C服务器(154.91.164.117)通讯获取后门指令,之后针对不同的后门指令执行指定的恶意行为,包括文件操作、盗取用户信息、降低系统安全性等操作。

(一)文件操作
黑客可以通过C&C服务器控制后门病毒下载执行任意恶意程序,进而对用户造成更大的安全威胁。病毒还可以将任意文件内容上传到后门服务器,严重威胁到用户的信息安全。
1、后门病毒可以下载执行任意文件,相关代码如下图所示:


2、除下载执行外,后门病毒还可以通过虚拟映射加载的方式执行任意PE文件,如下图所示:


执行后门指令图
3、后门病毒可以读取用户电脑中的任意文件内容发送到C&C服务器,可能会造成用户的隐私泄露。如下图所示:


读取任意文件内容
(二)盗取用户信息
该后门病毒盗取用户主机上登录的QQ群信息、好友列表以及QQ登录本地会话等信息,监控用户的键盘、剪切板记录、屏幕截图、记录用户打开的窗口。

1、后门病毒会获取用户的QQ好友以及所添加群的好友列表,如下图所示:


窃取用户的QQ信息图

2、后门病毒会通过键盘记录和读取剪切板内容来获取用户的个人信息、密码等敏感信息,严重威胁用户的财产和信息安全。如下图所示:


获取键盘输入图

3、后门病毒通过屏幕截图获取用户的浏览信息以及在窗口上输入的内容,如下图所示:


获取屏幕截图

4、后门病毒会获取用户电脑已安装的软件列表,如下图所示:


获取已安装软件列表图

(三)降低系统安全性
黑客可以利用该后门病毒激活guest账户并赋予管理员权限,在执行远程RDP的时候可以以较高的权限运行程序。

1、后门病毒激活guest账户并赋予管理员权限,相关代码如下图所示:


激活guest账户,赋予管理员权限图

2、后门病毒会开启RDP服务,使用户电脑可以被RDP远程控制,如下图所示:


开启RDP服务图

二、病毒hash





本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
huorong + 1 感谢绒绒提供分享

查看全部评分

偷电狂魔
头像被屏蔽
发表于 2021-8-13 21:24:16 | 显示全部楼层
应该是这个网址(http://www.apkeditor.cn/),我下载下来上传到VirusTotal看了一下,只有4个报毒的,网址

https://www.virustotal.com/gui/f ... 35606d90e/detection
fdsax
发表于 2021-8-13 21:57:24 | 显示全部楼层
智量拉黑网址

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
正在缓冲
头像被屏蔽
发表于 2021-8-13 22:20:02 | 显示全部楼层
Avast and Kaspersky

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
huorong
发表于 2021-8-13 22:43:20 | 显示全部楼层
Adguard拦截网站

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
秋日之殇
发表于 2021-8-13 22:56:48 | 显示全部楼层
卡巴斯基:访问被拒绝
Jerry.Lin
发表于 2021-8-14 01:10:04 | 显示全部楼层
MD
  1. Filename        Threat Name        Severity        Initial Detect Time        Threat ID        Detect Source Type        Category       
  2. setup_105.exe        Trojan:Win32/Wacatac.B!ml        Severe (5)        8/13/2021 12:09:40 PM        2147735505        Real Time        Trojan       
复制代码
MaxLen
发表于 2021-8-14 06:41:58 | 显示全部楼层
卡巴斯基

访问被拒绝
无法提供所请求的网址
hxxp://www.apkeditor.cn/
已被 Web 威胁防护阻止
原因: 恶意链接
检测方法: 云分析
k2132
发表于 2021-8-14 10:04:55 | 显示全部楼层
智量

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
Hacker-云
发表于 2021-8-16 09:07:31 | 显示全部楼层
昨天傍晚测试,360和电脑管家访问网址扫描文件无反应(未双击),卡巴拉黑网址文件秒杀。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-22 22:42 , Processed in 0.119091 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表