论坛 › ＰＣ数码 › 近期出现利用 Magisk/LSPosed 模块盗刷的木马

atomicink 发表于 2025-10-11 16:09

近期出现利用 Magisk/LSPosed 模块盗刷的木马

近期有酷安用户反映，因安装来源不明的 LSPosed 模块，导致微信等账户被盗刷。

木马基本情况

识别名称： 样本包名为 com.android.append。
性质： 一个完整的远程控制木马（C2），通过恶意的 Magisk 或 LSPosed 模块植入系统。
主要行为：

[*]获取系统极高权限，可读取短信、通讯录、各类文件，并能发送短信。
[*]重点针对微信，会窃取微信文件，并设置支付密码钓鱼。
[*]会模拟平板设备登录用户的微信账号，利用平板登录仅需扫码验证的特点，实现免密控制，进而盗取聊天记录和进行支付盗刷。

木马的持久化与感染机制

该木马具有极强的持久化能力。当其宿主模块被用户发现并删除时，它会自动感染设备上其他正常的 Magisk 模块，实现寄生。同时，它会写入 service.d 脚本，导致即使用户在 Magisk Manager 中卸载所有模块，木马依然会在下次开机时自启。

如何自查与防范
[*]检查微信登录设备： 打开 微信 - 我 - 设置 - 账号与安全 - 登录过的设备，查看列表中是否有不属于自己的未知设备（尤其是平板设备）。如发现，立即将其删除，并尽快修改微信及其他重要应用的登录与支付密码。
[*]来源审查： 拒绝安装任何来源不明、未经广泛验证的 Magisk/LSPosed 模块、执行脚本（sh文件）以及修改版软件。务必从官方或可信的开发者渠道获取。
[*]谨慎授权： 对所有需要 Root 权限的应用和操作保持警惕。

如何清除木马

由于该木马具有感染和再生能力，常规删除无法彻底清除。


[*]推荐方案（最安全）： 备份重要数据后，通过线刷方式刷入官方完整系统包，并执行恢复出厂设置
[*]高阶方案（仅限熟悉操作者）：

[*]重启手机进入 Magisk 安全模式（此模式下不加载任何模块和脚本）。
[*]使用文件管理器删除 /data/adb/ 目录下的所有文件。
[*]删除 /data/local/vendor 文件夹。
[*]注意：此操作会清除你所有的 Magisk 模块和相关配置，需重新安装。

总之，获取 Root 权限意味着将系统最高控制权交出，请务必谨慎对待每一个授权请求和未知文件。

https://www.coolapk.com/feed/67763977

Prushka 发表于 2025-10-11 16:11

玩root乱刷模块的福报，之前还有为「盗版」用户执行rm -rf的

wtyrambo 发表于 2025-10-11 17:35

主动执行的，自己蠢没话说，和上网下一个小姐姐.exe执行了的人没啥区别

noword 发表于 2025-10-11 17:52

所以目前发现了哪些模块带这个木马？

—— 来自 Xiaomi 22041211AC, Android 12, 鹅球 v3.5.99

cxc666 发表于 2025-10-12 15:21

不利于获取root权限的消息不要发

—— 来自 鹅球 v3.3.96

Midnight.Coup 发表于 2025-10-12 15:38

模块基本是封闭圈子Q群/电报上发，出这种事也正常

wx40217 发表于 2025-10-12 16:08

现在有报告的是一个一键隐藏环境的脚本
一键隐藏这个事情本身就挺蠢了 有人说是为了搞隐藏环境的挂狗 如果是真的就更蠢了

—— 来自 OnePlus PJZ110, Android 15, 鹅球 v3.5.99

nuIIptr 发表于 2025-10-12 18:20

wx40217 发表于 2025-10-12 16:08
现在有报告的是一个一键隐藏环境的脚本
一键隐藏这个事情本身就挺蠢了 有人说是为了搞隐藏环境的挂狗 如果 ...

Magisk/KernelSU这类root管理器自带的隐藏已经足够对付大部分普通软件的检测了天天折腾完美隐藏环境的绝大部分都是挂钩

—— 来自 OPPO PKJ110, Android 15, 鹅球 v3.5.99-alpha

Su7 发表于 2025-10-12 18:43

noword 发表于 2025-10-12 21:23

nuIIptr 发表于 2025-10-12 18:20
Magisk/KernelSU这类root管理器自带的隐藏已经足够对付大部分普通软件的检测了天天折腾完美隐藏环境的绝 ...

qq的检测也很离谱

darkangel0224 发表于 2025-10-18 16:14

本帖最后由 darkangel0224 于 2025-10-18 17:17 编辑

脸谱作者被收编后，自带隐藏早移除了，也不知道坛友在说什么胡话

大概是因为这个事儿，最近麻花疼检测可太起劲了。估计是后台静默升级了啥，两周封了微O三次

看了看hide applist的讨论，又有搞出了请求故意犯错，检测app安装的手段

scikirbypoke 发表于 2025-10-18 16:29

隐藏一般也就为了银行app，现在随便都能搞定，也不知道有什么用非官库模块的必要

Midnight.Coup 发表于 2025-10-18 17:08

搬运一下

经研究，某些加固（如 Protectt.ai）通过直接启动对应应用主界面（如 KernelSU 管理器）的方式进行检测。由于直接启动活动并不在软件包可见性的限制范围内，用户需要手动启用激进的意图过滤器，HMA 才能拦截。之前我认为这种方式会破坏用户体验，因此加固不会使用，看来我高估它们的底线了。

举个例子说明为什么默认不启用该功能：如果用户对京东启用了白名单，且未将微信加入可见应用列表，则若未开启激进的意图过滤器，京东是可以直接拉起微信支付的；若开启了激进的意图过滤器，京东则无法拉起微信。因此，建议用户在任何时候都只使用黑名单模式。

此外，AOSP 仍存在大量软件包可见性问题（如我们昨天发现，通过传递错误的 display id 可以在不启动应用的情况下探测软件包存在性），考虑到谷歌认为非跨用户的软件包可见性问题均为低危，在可预计的将来，HMA 将仍是必需品。

查看完整版本: 近期出现利用 Magisk/LSPosed 模块盗刷的木马