一觉醒来，钱没了

前段时间，小绿书有人发帖说自己睡了一觉，醒来发现微信提示消费了一千块。

欧易(OKX)

全球三大交易所之一，注册领50U数币盲盒，币圈常用的交易平台！

立即注冊立即下载

币安(Binance)

币安是世界领先的数字货币交易平台，注册领100U。

立即注冊立即下载

再一查，建设银行的钱被转走了。
不是家人、不是同事、也不是会所喝酒喝懵后激情消费——是真被偷了。
但手机没丢，人没点确认，钱却自己“走”了。
用户声称，自己唯一干过的“风险操作”就是给手机刷了一些模块。
结果第二天早上，账户清空，银行卡被“接力转账”，转到云闪付、再跳中国银行，最后再从中国银行把钱转走了。
就很懵逼，不过这位也不是个例。
最近，玩机圈里一个包名为“com.android.append”的 zygisk.apk 的恶意模块成了主角。它最开始从一个被植入了病毒的 LSPsoed 社区版中被发现，初步分析认为（有事后分析）是在不法分子将模块植入病毒进行多次分发后，被社区中的小白下载并进行了刷写操作，最终导致了以上的情况。（LSPsoed ，是一款安卓上的框架，安装了这个框架以后，可以刷入针对不同APP开发的模块，能实现很多特殊功能。）

那么这一切是怎么发现的呢？（下面是用户声称，后面我们有进一步的发掘分析）

该用户刷完模块后正常重启（刷模块的正常步骤）

不久后发现微信突然要求重新登录（此时这个页面是上述病毒程序伪装的）

输入密码点击登录之后又要求再输入一次密码（流程明显不对应该警惕了）

再次输入后，又要求输入支付密码（不是哥们你还没反应过来？）

之后便正常登录（因为必要信息已经拿到手了）

最后一觉醒来，这位倒霉的小绿书用户就发现自己的钱不见了……
事后，有人把被植入了病毒的模块打包后拿来分析，最终找到了这个程序。
并且发现，这玩意还会静默获取短信验证码、读取密码输入等，再把这些信息上传到名为fdkss.sbs 的域名（拆包后发现该病毒还会从此域名请求下发一些别的疑似恶意文件的东西）。

从上面的截图我们不难看到，这个名为“zygisk.apk”的程序所拥有的权限不是一般的大，而且不知道何时已经被提权成了系统应用。此时，即使你想卸载，也是无法通过正常手段去卸载掉的。
进一步深挖，最终发现其最终来自于一个恶意的“内核xx驱动xxx破解.sh”脚本，LSPosed则属于是被恶意脚本寄生的对象，该脚本的主要用户群体是经常安装未知来源修改版软件/游戏辅助且刷机的那一撮人（一些sh脚本可以帮助他们隐藏root环境以更好地进行游戏作弊活动，其中不少作弊程序需要一些系统级的修改，但病毒作者也可以利用这一点）。

之后，我们对这个脚本进行发掘研究，发现更为恶毒的一点是，恶意脚本不仅能做到以上的事情，还拥有寄生的能力，在你刷入了该模块后，能把自己寄生到你刷入的其它的模块中去，且优先寄生 LSPosed（栽赃嫁祸真会玩啊）。

也就是说，哪怕你刷的模块是从 GitHub 或是开发者指定的地方下载而来，只要你执行了这个恶意脚本，并且发现不对劲后从管理器中卸载了被感染寄生的模块，你也一样无法摆脱。

这就真的很吓人了。
也很恶毒。
于是社区炸了，后续陆续也有相关的案例被网友们发帖曝光。

甚至把源码作者炸出来了（中间）
不少开发者发出公告，要求用户仅从官方提供的地址去下载自己开发的软件/模块（如官方频道，GitHub 等），避免从未知来源的渠道去下载使用。
有人说：“我只是想提点性能（然而他们并非真提性能），没想到提走的是存款。”
有人晒出了代码截图、权限记录，显示 com.android.append 在凌晨一点多连续读取短信、访问微信。

所以，安卓厂商对于手机解锁收的越来越紧是有原因的。经过这次事件，可能解锁政策进一步收紧，国内能解锁的手机本来就不多，这可苦了玩机爱好者。
不过早在过去几年，安卓恶意软件的套路早就玩出了花，不仅限于国内，国外也是一样的。
国外安全公司 Zimperium 最近发布报告，说他们发现了 760 多款恶意安卓应用，可以通过 NFC 中继攻击 实现“隔空盗刷”。
意思是说，你的手机哪怕没被 root，只要装上了那种假冒银行、假冒应用商店的应用，攻击者就能通过模拟支付信号在别处完成交易。

你在家刷剧，他在超市帮你结账。
所以问题来了——你以为不 root 就安全了吗？
当然不一定（别忘了之前的pxx提权漏洞）。
root 只是多开了一扇门，但黑客早就学会翻窗。只是这次，他们直接进家里翻了你的钱包。
最讽刺的是，这一切的一切，不管是事前病毒作者处心积虑去写恶意脚本、搭建恶意服务器到之后的这些人刷机的过程……再到事后各方大佬的分析过程等，看起来都挺具有“技术感”。
但其目的却很直白简单——赚钱！赚钱！还是TM的赚钱！

在这个高度发达的网络时代，得益于技术的突破和批量化大规模生产，单个高科技产品的价格相较于几十年前已有了大幅度的降低，人人都可以享受到科技的乐趣。
加之教育的普及、移动设备生态的完善，以及厂商对于自家系统的不断优化改进。人均基本素质得到了一定的提升，手机的安全程度相较于以往的蛮荒（09-16年左右）年代也有了长足的进步。
但这并不意味着恶意程序已经远离我们而去，我们也要时刻警惕，不论你是 Android 用户还是 iOS 用户，都面临大量潜在的威胁。
这些威胁有很多种，他们盯上可能是你的钱包（例如今天我们所讨论的），也可能是你的隐私——这就涉及到了信息安全，但其实这一部分的恶意其实占绝大多数，他们虽不至于直接从你这里直接抢钱，但他们会好奇：你究竟在哪里工作？你身体状况如何？你有哪些联系人？你的家庭状况如何？
各位想必都莫名其妙接到过一些骚扰电话吧？你不知道对面是谁，但对方却对你的信息一清二楚，张口闭口就是你最近曾经做过的事，然后开始向你推销产品/服务。
这，其实就是你的个人信息遭到了泄露，严格意义上讲，这也是当代人所面临的最大的安全问题之一。
要想改变，其实也不难。
我们能做的，其实也很简单。
首先，加强自己的安全意识，平常不要去下载安装一些来路不明的软件。
其次，对于已安装的软件（我指的是所有），做好授权管理，这里我个人建议：

非必要不授权

非一直用授“仅使用中允许”权限

非常用要撤销授权

对于 root/iOS越狱 用户，解锁/刷机前请仔细思考：你是否需要解锁？（特别是那些开挂的，为了你那点可怜的自尊心，冒如此大的风险去在虚拟世界里“叱咤风云”值得吗）
刷写模块前，请务必多次检查你要刷写的模块是否含有恶意内容。

安装插件前，请务必多次确认你所安装的插件是否来自可信任的源。

做到上面的几点，我相信无论是一般用户还是极客玩机群体，都可以保护好自己的隐私，守护好自己的钱袋子。最后，我想说一些个人的想法：

当年的最早一批前辈为我们编写创造了许多优秀的开源软件，极大地降低了我们玩机的门槛，但这并不意味这些东西可以被个别不怀好意的人拿来滥用，也不代表这个圈子对用户素质的要求就降低了。

相反，应该提高加强这个圈子的准入门槛（举个例子：解锁前验证 GitHub 开发者，拥有一定 Star 后才允许解锁，总之是建议设置合理的门槛），以确保一些工具、权限不被有心之人滥用、被根本不了解它的人随意使用——导致例如上文所提到的结果（而这些人第一时间往往不是反思自己做错了什么反而去责怪软件开发者和厂商）。

自由，从来不是没有代价的。

只是有的人付出的是时间，有的人，付出的是金钱。

转自：https://mp.weixin.qq.com/s/UZH1rPSKhPGesANcjV9NuQ