“安卓修改大師”攜帶后門病毒 黑客可任意操控用戶電腦

近期，火絨發現一款名叫“安卓修改大師”的安卓應用破解軟件攜帶后門病毒。經火絨工程師分析，該病毒軟件運行后會釋放病毒模塊，根據服務器下發的指令可以執行下載上傳任意文件、獲取用戶鍵盤記錄、獲取剪切板記錄、獲取屏幕截圖，獲取QQ好友列表等行為。

病毒執行流程

 火絨工程師分析，“安卓修改大師”軟件可以用于對安卓應用進行修改或破解，例如修改游戲規則改變傷害數值等。

 在搜索引擎輸入“安卓修改”，可以發現“安卓修改大師”官網排名首位。據“火絨威脅情報系統”監測和評估，已有數萬臺終端感染該后門病毒。目前，火絨已對該網站進行攔截，火絨用戶無需擔心，可使用火絨【全盤查殺】功能查殺該病毒。

安卓修改大師官網

官網攔截圖

查殺圖

 軟件破解類工具不僅影響游戲等網站、平臺的正常運營，還會給用戶本身帶來隱私泄露等安全風險。火絨工程師提醒各位網友，千萬不要抱有僥幸心理，安裝不明來源的“灰色軟件”。如若必須安裝，可以先用安全軟件進行查殺，做好安全防范工作。

 一、病毒危害行為詳細分析

該后門病毒會與C&C服務器（154.91.164.117）通訊獲取后門指令，之后針對不同的后門指令執行指定的惡意行為，包括文件操作、盜取用戶信息、降低系統安全性等操作。

 （一）文件操作

黑客可以通過C&C服務器控制后門病毒下載執行任意惡意程序，進而對用戶造成更大的安全威脅。病毒還可以將任意文件內容上傳到后門服務器，嚴重威脅到用戶的信息安全。

1、后門病毒可以下載執行任意文件，相關代碼如下圖所示：

2、除下載執行外，后門病毒還可以通過虛擬映射加載的方式執行任意PE文件，如下圖所示：

執行后門指令圖

3、后門病毒可以讀取用戶電腦中的任意文件內容發送到C&C服務器，可能會造成用戶的隱私泄露。如下圖所示：

讀取任意文件內容

（二）盜取用戶信息

該后門病毒盜取用戶主機上登錄的QQ群信息、好友列表以及QQ登錄本地會話等信息，監控用戶的鍵盤、剪切板記錄、屏幕截圖、記錄用戶打開的窗口。 

1、后門病毒會獲取用戶的QQ好友以及所添加群的好友列表，如下圖所示：

竊取用戶的QQ信息圖

2、后門病毒會通過鍵盤記錄和讀取剪切板內容來獲取用戶的個人信息、密碼等敏感信息，嚴重威脅用戶的財產和信息安全。如下圖所示：

獲取鍵盤輸入圖

3、后門病毒通過屏幕截圖獲取用戶的瀏覽信息以及在窗口上輸入的內容，如下圖所示：

獲取屏幕截圖

4、后門病毒會獲取用戶電腦已安裝的軟件列表，如下圖所示：

獲取已安裝軟件列表圖

（三）降低系統安全性

黑客可以利用該后門病毒激活guest賬戶并賦予管理員權限，在執行遠程RDP的時候可以以較高的權限運行程序。

1、后門病毒激活guest賬戶并賦予管理員權限，相關代碼如下圖所示：

激活guest賬戶，賦予管理員權限圖

2、后門病毒會開啟RDP服務，使用戶電腦可以被RDP遠程控制，如下圖所示：

開啟RDP服務圖 

二、病毒hash