“安卓修改大师”携带后门病毒 黑客可任意操控用户电脑

火绒工程师

近期，火绒发现一款名叫“安卓修改大师”的安卓应用破解软件携带后门病毒。经火绒工程师分析，该病毒软件运行后会释放病毒模块，根据服务器下发的指令可以执行下载上传任意文件、获取用户键盘记录、获取剪切板记录、获取屏幕截图，获取QQ好友列表等行为。


病毒执行流程

火绒工程师分析，“安卓修改大师”软件可以用于对安卓应用进行修改或破解，例如修改游戏规则改变伤害数值等。

在搜索引擎输入“安卓修改”，可以发现“安卓修改大师”官网排名首位。据“火绒威胁情报系统”监测和评估，已有数万台终端感染该后门病毒。目前，火绒已对该网站进行拦截，火绒用户无需担心，可使用火绒【全盘查杀】功能查杀该病毒。


安卓修改大师官网


官网拦截图


查杀图

软件破解类工具不仅影响游戏等网站、平台的正常运营，还会给用户本身带来隐私泄露等安全风险。火绒工程师提醒各位网友，千万不要抱有侥幸心理，安装不明来源的“灰色软件”。如若必须安装，可以先用安全软件进行查杀，做好安全防范工作。

一、病毒危害行为详细分析
该后门病毒会与C&C服务器（154.91.164.117）通讯获取后门指令，之后针对不同的后门指令执行指定的恶意行为，包括文件操作、盗取用户信息、降低系统安全性等操作。

（一）文件操作
黑客可以通过C&C服务器控制后门病毒下载执行任意恶意程序，进而对用户造成更大的安全威胁。病毒还可以将任意文件内容上传到后门服务器，严重威胁到用户的信息安全。
1、后门病毒可以下载执行任意文件，相关代码如下图所示：


2、除下载执行外，后门病毒还可以通过虚拟映射加载的方式执行任意PE文件，如下图所示：


执行后门指令图
3、后门病毒可以读取用户电脑中的任意文件内容发送到C&C服务器，可能会造成用户的隐私泄露。如下图所示：


读取任意文件内容
（二）盗取用户信息
该后门病毒盗取用户主机上登录的QQ群信息、好友列表以及QQ登录本地会话等信息，监控用户的键盘、剪切板记录、屏幕截图、记录用户打开的窗口。

1、后门病毒会获取用户的QQ好友以及所添加群的好友列表，如下图所示：


窃取用户的QQ信息图

2、后门病毒会通过键盘记录和读取剪切板内容来获取用户的个人信息、密码等敏感信息，严重威胁用户的财产和信息安全。如下图所示：


获取键盘输入图

3、后门病毒通过屏幕截图获取用户的浏览信息以及在窗口上输入的内容，如下图所示：


获取屏幕截图

4、后门病毒会获取用户电脑已安装的软件列表，如下图所示：


获取已安装软件列表图

（三）降低系统安全性
黑客可以利用该后门病毒激活guest账户并赋予管理员权限，在执行远程RDP的时候可以以较高的权限运行程序。

1、后门病毒激活guest账户并赋予管理员权限，相关代码如下图所示：


激活guest账户，赋予管理员权限图

2、后门病毒会开启RDP服务，使用户电脑可以被RDP远程控制，如下图所示：


开启RDP服务图

二、病毒hash

偷电狂魔

应该是这个网址（http://www.apkeditor.cn/），我下载下来上传到VirusTotal看了一下，只有4个报毒的，网址

https://www.virustotal.com/gui/f ... 35606d90e/detection

fdsax

智量拉黑网址

正在缓冲

Avast and Kaspersky

huorong

Adguard拦截网站

秋日之殇

卡巴斯基：访问被拒绝

Jerry.Lin

MD

1. Filename        Threat Name        Severity        Initial Detect Time        Threat ID        Detect Source Type        Category       
   
2. setup_105.exe        Trojan:Win32/Wacatac.B!ml        Severe (5)        8/13/2021 12:09:40 PM        2147735505        Real Time        Trojan       
   

复制代码

MaxLen

卡巴斯基

访问被拒绝
无法提供所请求的网址
hxxp://www.apkeditor.cn/
已被 Web 威胁防护阻止
原因: 恶意链接
检测方法: 云分析

k2132

智量

Hacker-云

昨天傍晚测试，360和电脑管家访问网址扫描文件无反应（未双击），卡巴拉黑网址文件秒杀。