近期，火絨發現一款名叫“安卓修改大師”的安卓應用破解軟件攜帶後門病毒。經火絨工程師分析，該病毒軟件運行後會釋放病毒模塊，根據服務器下發的指令可以執行下載上傳任意文件、獲取用戶鍵盤記錄、獲取剪切闆記錄、獲取屏幕截圖，獲取QQ好友列表等行為。

病毒執行流程

火絨工程師分析，“安卓修改大師”軟件可以用于對安卓應用進行修改或破解，例如修改遊戲規則改變傷害數值等。

在搜索引擎輸入“安卓修改”，可以發現“安卓修改大師”官網排名首位。據“火絨威脅情報系統”監測和評估，已有數萬台終端感染該後門病毒。目前，火絨已對該網站進行攔截，火絨用戶無需擔心，可使用火絨【全盤查殺】功能查殺該病毒。

安卓修改大師官網

官網攔截圖

查殺圖

軟件破解類工具不僅影響遊戲等網站、平台的正常運營，還會給用戶本身帶來隐私洩露等安全風險。火絨工程師提醒各位網友，千萬不要抱有僥幸心理，安裝不明來源的“灰色軟件”。如若必須安裝，可以先用安全軟件進行查殺，做好安全防範工作。

該後門病毒會與C&C服務器（154.91.164.117）通訊獲取後門指令，之後針對不同的後門指令執行指定的惡意行為，包括文件操作、盜取用戶信息、降低系統安全性等操作。

（一）文件操作

黑客可以通過C&C服務器控制後門病毒下載執行任意惡意程序，進而對用戶造成更大的安全威脅。病毒還可以将任意文件内容上傳到後門服務器，嚴重威脅到用戶的信息安全。

1、後門病毒可以下載執行任意文件，相關代碼如下圖所示：

2、除下載執行外，後門病毒還可以通過虛拟映射加載的方式執行任意PE文件，如下圖所示：

執行後門指令圖

3、後門病毒可以讀取用戶電腦中的任意文件内容發送到C&C服務器，可能會造成用戶的隐私洩露。如下圖所示：

讀取任意文件内容

（二）盜取用戶信息

該後門病毒盜取用戶主機上登錄的QQ群信息、好友列表以及QQ登錄本地會話等信息，監控用戶的鍵盤、剪切闆記錄、屏幕截圖、記錄用戶打開的窗口。

1、後門病毒會獲取用戶的QQ好友以及所添加群的好友列表，如下圖所示：

竊取用戶的QQ信息圖

2、後門病毒會通過鍵盤記錄和讀取剪切闆内容來獲取用戶的個人信息、密碼等敏感信息，嚴重威脅用戶的财産和信息安全。如下圖所示：

獲取鍵盤輸入圖

3、後門病毒通過屏幕截圖獲取用戶的浏覽信息以及在窗口上輸入的内容，如下圖所示：

獲取屏幕截圖

4、後門病毒會獲取用戶電腦已安裝的軟件列表，如下圖所示：

獲取已安裝軟件列表圖

（三）降低系統安全性

黑客可以利用該後門病毒激活guest賬戶并賦予管理員權限，在執行遠程RDP的時候可以以較高的權限運行程序。

1、後門病毒激活guest賬戶并賦予管理員權限，相關代碼如下圖所示：

激活guest賬戶，賦予管理員權限圖

2、後門病毒會開啟RDP服務，使用戶電腦可以被RDP遠程控制，如下圖所示：

開啟RDP服務圖

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!