已知一个伪装为zygisk针对root用户的后门,该病毒通过用户主动刷入模块感染设备,通过无障碍服务与系统及应用实现持久化,窃取手机相册和密码信息。
自查方式
/system/priv-app/zygisk/ 目录
/data/adb/service.d/ 目录下的 0.sh, 1.sh, 2.sh 脚本文件
/data/local/vendor/ 目录
/data/app/ 目录中包含 com.android.append 关键字的文件夹
在Magisk(面具)的“超级用户”授权列表中,检查是否存在 com.android.append 的授权记录。样本报毒5
报毒类型:间谍代理、下载者木马
发表回复