【安全警告】警惕恶意Magisk模块盗刷风险
本帖最后由 coldin04 于 2025-10-10 16:31 编辑消息来源:Telegram频道|酷安分析帖
近期出现未知来源的Magisk模块投毒攻击,恶意模块植入后门,导致用户支付工具遭隐蔽性盗刷。建议玩机玩家立即自查手机中是否存在相关特征
■ 事件背景
1️⃣ 据酷安社区反馈,近期存在植入木马的 LSPosed模块(包名 com.android.append)。
2️⃣ 攻击者通过模块后门劫持设备,定向盗刷支付工具,手法专业隐蔽,资金追回难度高!
■ 自查步骤
1. 每个模块下有没有system/priv-app/zygisk.apk
2. 是否存在/data/local/vendor文件夹
3. 是否存在/data/adb/service.d下有很多脚本
4. 系统里是否有com.android.append和/system/priv-app/zygisk.apk
■ 防护与应急
[*]仅安装知名开源模块,不乱装模块
[*]隔离支付app等关键信息,不在不安全的环境使用支付软件
■ 补充说明
• 技术细节:酷安技术帖逆向分析
他是刷了什么模块吧... 按理说root的手机都是不做生产用的
之前我用WeChat(国际版)登录root的手机,即使是Magisk Hide后也是无济于事,账号强制登出申诉才解 nyarime 发表于 2025-10-10 16:33
他是刷了什么模块吧... 按理说root的手机都是不做生产用的
之前我用WeChat(国际版)登录root的手机,即使 ...
具体不清楚,可以看下消息来源的相关频道,大概是给手机植了后门,然后黑客会针对性的进行盗刷银行卡/云闪付等。酷安上另一个帖子有人发了,恶意模块会尝试读取短信验证码。
不过我建议是,能隔离支付和玩机是最好的,如果临时需要在玩机的手机上装生产力软件,还是需要提高警惕,完成必要的步骤后及时退出登录。 不会技术的,又菜又爱玩,整天不是解bl就是root root的手机还乱装后门,怪谁 要是在我手机上装了 黑客看了看我钱包后 哭了{tieba26} 谢谢分享 6666 已经没玩机的兴趣了! mrqiu 发表于 2025-10-10 17:28
要是在我手机上装了 黑客看了看我钱包后 哭了
发现该恶意软件,请完整卸载Magisk或KSU等Root管理器,删除/data/adb下所有文件,删除/data/local/vendor目录下的所有文件,并重启手机,然后修改各个重要的密码,保护财产安全。 更新了一下,不一定存在于LSPosed - Irena模块中,但是可以确定寄生于/data/adb目录中,请搜索检查这个zygisk.apk dswqgu 发表于 2025-10-10 16:53
不会技术的,又菜又爱玩,整天不是解bl就是root
哎 那是一群心智还没成熟的小孩子,想想他们现在,有时间折腾,但分辨不了好坏。就想起来十年前的我,也跟他们一样。 又一个乱刷的,没开源加混淆的也敢刷 没混淆的不看代码就敢刷,开源的不审核代码不校验就去刷,看了啥推荐教程贴又跟着刷,没有一点安全意识 对相关实现也是一点不想了解,如果要玩机就老老实实去补齐相关知识,如果没这个想法就趁早离开,现在玩机圈和之前比是一点看不下去 root后连收款app都登不上隐藏都不行最后还是重新刷机解决 nyarime 发表于 2025-10-10 16:33
他是刷了什么模块吧... 按理说root的手机都是不做生产用的
之前我用WeChat(国际版)登录root的手机,即使 ...
这个解了还会被封,真的老实了 nyarime 发表于 2025-10-10 16:33
他是刷了什么模块吧... 按理说root的手机都是不做生产用的
之前我用WeChat(国际版)登录root的手机,即使 ...
我就是主用root机{bsn332} nyarime 发表于 2025-10-10 16:33
他是刷了什么模块吧... 按理说root的手机都是不做生产用的
之前我用WeChat(国际版)登录root的手机,即使 ...
中这种病毒的都是刷了一件隐藏环境之类的脚本,一般都是开挂的挂狗居多,正常用户中这个的概率很低 查了,没有
页:
[1]