【安全警告】警惕恶意Magisk模块盗刷风险

coldin04 · 发表于 2025-10-10 16:27:53

您需要登录才可以下载或查看，没有账号？注册

×

本帖最后由 coldin04 于 2025-10-10 16:31 编辑

近期出现未知来源的Magisk模块投毒攻击，恶意模块植入后门，导致用户支付工具遭隐蔽性盗刷。建议玩机玩家立即自查手机中是否存在相关特征

■ 事件背景
1️⃣ 据酷安社区反馈，近期存在植入木马的 LSPosed模块（包名 com.android.append）。
2️⃣ 攻击者通过模块后门劫持设备，定向盗刷支付工具，手法专业隐蔽，资金追回难度高！

■ 自查步骤

复制代码

■ 防护与应急

■ 补充说明

• 技术细节：酷安技术帖逆向分析

nyarime · 发表于 2025-10-10 16:33:35

他是刷了什么模块吧... 按理说root的手机都是不做生产用的
之前我用WeChat（国际版）登录root的手机，即使是Magisk Hide后也是无济于事，账号强制登出申诉才解

coldin04 · 发表于 2025-10-10 16:37:43

nyarime 发表于 2025-10-10 16:33
他是刷了什么模块吧... 按理说root的手机都是不做生产用的
之前我用WeChat（国际版）登录root的手机，即使 ...

具体不清楚，可以看下消息来源的相关频道，大概是给手机植了后门，然后黑客会针对性的进行盗刷银行卡/云闪付等。酷安上另一个帖子有人发了，恶意模块会尝试读取短信验证码。

不过我建议是，能隔离支付和玩机是最好的，如果临时需要在玩机的手机上装生产力软件，还是需要提高警惕，完成必要的步骤后及时退出登录。

dswqgu · 发表于 2025-10-10 16:53:30

不会技术的，又菜又爱玩，整天不是解bl就是root

soraneoumi · 发表于 2025-10-10 17:22:10

root的手机还乱装后门，怪谁

mrqiu · 发表于 2025-10-10 17:28:15

要是在我手机上装了黑客看了看我钱包后哭了

Xina · 发表于 2025-10-10 17:48:43

谢谢分享

Aoo · 发表于 2025-10-10 20:11:17

6666

luojingjun · 发表于 2025-10-10 20:24:16

已经没玩机的兴趣了！

___ · 发表于 2025-10-11 03:14:20

mrqiu 发表于 2025-10-10 17:28
要是在我手机上装了黑客看了看我钱包后哭了

发现该恶意软件，请完整卸载Magisk或KSU等Root管理器，删除/data/adb下所有文件，删除/data/local/vendor目录下的所有文件，并重启手机，然后修改各个重要的密码，保护财产安全。

___ · 发表于 2025-10-11 03:14:47

更新了一下，不一定存在于LSPosed - Irena模块中，但是可以确定寄生于/data/adb目录中，请搜索检查这个zygisk.apk

Alvis · 发表于 2025-10-11 03:16:05

dswqgu 发表于 2025-10-10 16:53
不会技术的，又菜又爱玩，整天不是解bl就是root

哎那是一群心智还没成熟的小孩子，想想他们现在，有时间折腾，但分辨不了好坏。就想起来十年前的我，也跟他们一样。

dswqgu · 发表于 2025-10-11 03:16:53

又一个乱刷的，没开源加混淆的也敢刷没混淆的不看代码就敢刷，开源的不审核代码不校验就去刷，看了啥推荐教程贴又跟着刷，没有一点安全意识对相关实现也是一点不想了解，如果要玩机就老老实实去补齐相关知识，如果没这个想法就趁早离开，现在玩机圈和之前比是一点看不下去

sound886 · 发表于 2025-10-11 11:43:32

root后连收款app都登不上隐藏都不行最后还是重新刷机解决

c919 · 发表于 2025-10-11 11:57:03

nyarime 发表于 2025-10-10 16:33
他是刷了什么模块吧... 按理说root的手机都是不做生产用的
之前我用WeChat（国际版）登录root的手机，即使 ...

这个解了还会被封，真的老实了

Tianmoy · 发表于 2025-10-12 15:32:49

nyarime 发表于 2025-10-10 16:33
他是刷了什么模块吧... 按理说root的手机都是不做生产用的
之前我用WeChat（国际版）登录root的手机，即使 ...

我就是主用root机

hahaya · 发表于 2025-10-14 08:32:36

nyarime 发表于 2025-10-10 16:33
他是刷了什么模块吧... 按理说root的手机都是不做生产用的
之前我用WeChat（国际版）登录root的手机，即使 ...

中这种病毒的都是刷了一件隐藏环境之类的脚本，一般都是开挂的挂狗居多，正常用户中这个的概率很低

hualy13 · 发表于 2025-11-4 11:25:36

查了，没有

[安全] 【安全警告】警惕恶意Magisk模块盗刷风险