“安卓修改大师”携带后门病毒 黑客可任意操控用户电脑

火绒安全实验室

近期，火绒发现一款名叫“安卓修改大师”的安卓应用破解软件携带后门病毒。经火绒工程师分析，该病毒软件运行后会释放病毒模块，根据服务器下发的指令可以执行下载上传任意文件、获取用户键盘记录、获取剪切板记录、获取屏幕截图，获取QQ好友列表等行为。


病毒执行流程


火绒工程师分析，“安卓修改大师”软件可以用于对安卓应用进行修改或破解，例如修改游戏规则改变伤害数值等。

在搜索引擎输入“安卓修改”，可以发现“安卓修改大师”官网排名首位。据“火绒威胁情报系统”监测和评估，已有数万台终端感染该后门病毒。目前，火绒已对该网站进行拦截，火绒用户无需担心，可使用火绒【全盘查杀】功能查杀该病毒。



安卓修改大师官网




官网拦截图



查杀图

软件破解类工具不仅影响游戏等网站、平台的正常运营，还会给用户本身带来隐私泄露等安全风险。火绒工程师提醒各位网友，千万不要抱有侥幸心理，安装不明来源的“灰色软件”。如若必须安装，可以先用安全软件进行查杀，做好安全防范工作。

一、病毒危害行为详细分析
该后门病毒会与C&C服务器（154.91.164.117）通讯获取后门指令，之后针对不同的后门指令执行指定的恶意行为，包括文件操作、盗取用户信息、降低系统安全性等操作。

（一）文件操作
黑客可以通过C&C服务器控制后门病毒下载执行任意恶意程序，进而对用户造成更大的安全威胁。病毒还可以将任意文件内容上传到后门服务器，严重威胁到用户的信息安全。
1、后门病毒可以下载执行任意文件，相关代码如下图所示：


2、除下载执行外，后门病毒还可以通过虚拟映射加载的方式执行任意PE文件，如下图所示：


执行后门指令图

3、后门病毒可以读取用户电脑中的任意文件内容发送到C&C服务器，可能会造成用户的隐私泄露。如下图所示：


读取任意文件内容

（二）盗取用户信息
该后门病毒盗取用户主机上登录的QQ群信息、好友列表以及QQ登录本地会话等信息，监控用户的键盘、剪切板记录、屏幕截图、记录用户打开的窗口。

1、后门病毒会获取用户的QQ好友以及所添加群的好友列表，如下图所示：


窃取用户的QQ信息图

2、后门病毒会通过键盘记录和读取剪切板内容来获取用户的个人信息、密码等敏感信息，严重威胁用户的财产和信息安全。如下图所示：


获取键盘输入图

3、后门病毒通过屏幕截图获取用户的浏览信息以及在窗口上输入的内容，如下图所示：


获取屏幕截图

4、后门病毒会获取用户电脑已安装的软件列表，如下图所示：


获取已安装软件列表图

（三）降低系统安全性
黑客可以利用该后门病毒激活guest账户并赋予管理员权限，在执行远程RDP的时候可以以较高的权限运行程序。

1、后门病毒激活guest账户并赋予管理员权限，相关代码如下图所示：


激活guest账户，赋予管理员权限图

2、后门病毒会开启RDP服务，使用户电脑可以被RDP远程控制，如下图所示：


开启RDP服务图

二、病毒hash

火绒安全实验室

发布报告后，我们收到安卓修改大师官方人员@apkeditor 的留言，对于该人员的疑问，我们说明如下：

火绒报告中提到的样本，在VirusTotal平台可以查阅（与火绒报告中SHA256一致）。

该平台显示，携带后门病毒的安卓修改大师下载地址为：hxxp://down.apkeditor.cn/setup_104.exe，即安卓修改大师官方网站，可以获知我们的样本来源并非官方人员所说的“其他途径”。关于该病毒如何出现在官网104版本的“安卓修改大师”安装包中，我们不得而知。

根据VirusTotal显示，携带后门病毒的安卓修改大师安装包的首次上报时间为2021年8月2日，说明该带毒安装包至少在在2021年8月2日或更早时候就已经开始借助安卓修改大师官网传播。让我们担忧的是，在被上传至VT平台之前，该带毒安装包已不知在互联网中传播了多长时间。为了提醒广大用户，我们因此发布了本篇分析报告。

我们建议安卓修改大师官方不要过分纠结于火绒的样本来源，而应该积极专注于自身产品、研发环境的安全排查。根据火绒后台显示，有数万台终端已经感染该后门病毒。这意味着已经有数万“安卓修改大师”的用户受到影响。

火绒一直认为，一款软件能得到用户的支持，必然是因为其从用户角度出发。在此之前，自身产品安全和用户的终端安全，应该是每一个软件制作者应保障的首要前提。

经检测，截至目前安卓修改大师官网安装包已无上述病毒，火绒暂已解除对该网站的拦截。受带毒版本影响的用户，可使用火绒进行扫描查杀（不影响软件正常功能）。

附VirusTotal相关内容：




https://www.virustotal.com/gui/url/73d92bda21e7aa31ec3d3daa4384119c44377c8463653847f5843c127ad8bb43/details

https://www.virustotal.com/gui/file/ae99b407fae84ab0d0a6b2bf9d09ce684750d8964157b2d97c100ecef97ab959/detection

apkeditor

严正申明：我是安卓修改大师官方，今天有用户提醒，特意过来看到此贴。经过了解，火绒是用了一份感染了病毒的安装包样品做的测评（如果widnows安装包被其他途径感染，也去测评有毒，就认定windows也是病毒软件，这是不客观，也是不道德的），出来的不正确不客观的结果，目前已经在和火绒协商，让他们出具安卓修改大师有本帖所描述的释放病毒文件的证明。刚刚我们技术做了严格测试，修改版本号重新打包（因为火绒已经认定之前的版本号有病毒，所以需要改版本号），安装后用火绒杀毒，并没有发现任何病毒。代码都是一样的，只是改了版本号就没有测试到病毒，已经说明了火绒的查毒引擎是有很大的问题的。对此，我们已经和火绒严正交涉，保留诉诸法律的进一步权利。

附件是杀毒的过程截图

ahov

apkeditor 发表于 2021-8-14 08:15
严正申明：我是安卓修改大师官方，今天有用户提醒，特意过来看到此贴。经过了解，火绒是用了一份感染了病毒 ...

你们之前官网下载渠道推送的104安装包确实带此病毒，我之前就验证过。应该是供应链污染，你们内部开发的问题。

现在是你们临时重新打包紧急替换的106包。供应链污染重新打包确实也没了啊。

所以你们并无权要求撤稿。

n1ghtc4t

火绒只字未提软件作者下的毒，只是提醒用户避免被感染，这作者上来就‘严正交涉 ’‘请自重’ 路走窄了

马云爱逛京东

这个网站隶属于上海空宇软件科技有限公司，注册于2019年11月，法定代表人为陈颖。
通过这个资料，我查到了其拥有的另一个网站（hxxp://www.androidvista.com/），该网站可能也具备木马病毒，希望广大网友注意。

ahov

setup_104.zip (656.94 KB, 下载次数: 45)

2021-8-17 08:19 上传

点击文件名下载附件

（已加密，文件已替换）你们可以自查一下当时的官网安装包@apkeditor

我都还留着呢，附件给你上传了哈

这又不是感染型病毒，后门病毒这类只能供应链污染，不然无法修改你的源程序的

ahov

apkeditor 发表于 2021-8-14 08:18
另外，吾爱破解论坛请自重，这类不实的测评带来的负面效果，你们也要担当起责任

https://bbs.kafan.cn/thread-2213865-1-1.html该样本我之前就收集过

运行后会在C:\Windows\Temp\释放Microjoft.exe，直接解压setup_104.exe也可得到Microjoft.exe，那个Microjoft.exe是带毒的

apkeditor

ahov 发表于 2021-8-14 13:36
flashplay.exe和$rs86h4t.exe，这两个疑似有问题

是的，基本确定是flashplay.exe的问题，他会在服务器创建一个web服务，拦截网站并可以上传文件，也会动态修改网页内容。目前和火绒还在沟通。

兄弟们，虽然我是安卓修改大师官方，但是我也是受害者，希望这个帖子对像我这样的网站运营者以警示。

ahov

他们当时的安装包setup_104.exe，Sha-256为078d8c37ca213e19bd19481c240ccd59c4442b41d5373a82934b0927999c159c，存在恶意行为没有错

ahov

@apkeditor 吾爱破解论坛，请你自重，请确认你们当时官网挂的安装包setup_104.exe，Sha-256为078d8c37ca213e19bd19481c240ccd59c4442b41d5373a82934b0927999c159c，如果是的话，那就没问题的了

zuxin521

这玩意儿好阴险啊

GMCN

牛啊，牛啊

GoogleXI

这软件好不道德

templs

高度警惕木马病毒。

a32010366

可怕啊，这软件不科学

97008226

这些也太.........

100288840

应该向工信部举报！

咔c君

学习了厉害了