文章总结： 文档揭示一款名为XX精选的Android木马通过裸聊诱骗用户安装，利用双层DEX混淆和无障碍权限实现远程控制，可窃取银行资金。关键发现包括硬编码C2地址及屏幕操控攻击链。建议用户拒绝非官方APP、警惕无障碍授权、监控异常域名并定期清理可疑应用。 综合评分： 81 文章分类： 恶意软件,移动安全,社会工程学,安全意识

警惕！网络美女牵出惊天骗局：一款APK掏空钱包，技术扒开“XX精选”木马真面目

培训中心 培训中心

深圳网安培训学院

2026年5月13日 14:49 广东

在小说阅读器读本章

去阅读

点击蓝字 关注我们

“警察同志，我完了！钱全没了！”

报案中心里，一个年轻小伙脸色惨白、双手发抖，语无伦次地诉说着自己的遭遇。

就在几小时前，他的微信突然弹出一条好友申请——头像是前凸后翘的美女，验证消息写着

“小哥哥，加我聊聊～ 可裸聊哦”

没经住诱惑的小伙，

几乎没有犹豫就通过了好友。

闲聊几句后，

对方立刻发来一个名为“XX精选”的APK文件，

温柔地说：

“小哥哥，安装这个APP，

我们就能视频裸聊啦，全程免费哦～”

被美色冲昏头脑的小伙，

稀里糊涂地点击了安装

全程没多想“为什么裸聊需要装陌生APP”。

直到手机银行弹出一连串转账提醒，

他才猛然惊醒——银行卡里的钱，

竟然在自己不知情的情况下，

被一分不剩地转走了！

惊慌失措之下，小伙丢下手机，

只留下一句“我啥都没干，钱就没了”，

便匆匆离开报案中心，

只留下一部被恶意APK完全控制的手机，

和一桩扑朔迷离的诈骗案。

这不是孤例！技术人员紧急分析手机里的“XX精选”APK，发现它根本不是什么“裸聊工具”，而是一款能完全操控手机的Android远程控制木马，专门瞄准普通人的银行app下手。今天，我们兼顾大众易懂性和技术专业性，彻底扒开这个骗局的底层逻辑，不管你是普通用户，还是技术从业者，都能看懂、会防！

技术拆解

双层DEX+无障碍权限，木马的“隐身术”

A

大众版（人话解读）

你以为安装的是一个普通APP？其实它是“套娃式伪装”，两步就能控制你的手机：

1.  外层伪装：长得和正常娱乐APP一模一样，界面简单，只弹出一个“开启无障碍服务”的提示，话术极其诱人（后面会放原话），目的就是让你放下警惕，点击“允许”；

2.  内层恶意：一旦你开启无障碍服务，APK就会解锁隐藏的恶意代码，相当于给攻击者打开了“手机后门”，对方能远程操控你的手机，做任何你能做的事——点屏幕、输密码、截屏幕，甚至偷取你的所有隐私。

B

技术版（技术人员收藏）

这款木马采用双层DEX结构，通过壳层混淆躲避检测，核心架构如下（可直接用于技术分析参考）：

诱骗话术实锤（从APK中提取，一字未改）

木马能成功得手，核心就是靠这套诱骗话术，让用户主动开启“致命权限”：

“为了确保我们的APP能够为所有用户提供最佳的使用体验，我们需要您开启无障碍功能，开启此功能后您即可浏览所有免费APP视频”，解锁裸聊权限。

设置流程：

1. 点击本页《下一步》

2. 滑到底部进入《已安装的服务》

3. 选择《XX精选》

4. 开启权限并确定”

攻击者在千里之外“操控你的手机”

√

你的手机，成了别人的“游戏机”

一旦你开启无障碍服务，就相当于把手机的“控制权”亲手交给了攻击者，对方在千里之外，就能轻松做到：

替你点击屏幕：比如偷偷点开手机银行app，点击“确认转账”；

滑开你的锁屏：就算手机锁屏，也能轻松解锁，查看所有内容；

截取所有屏幕：你的银行卡密码、身份证照片、聊天记录，全被对方看得一清二楚；

替你输入文字：偷偷修改转账收款地址，把你的钱转到攻击者的账户里，你全程毫无察觉。

√

核心控制逻辑+攻击流程

C2服务器信息

// 硬编码的C2服务器地址（APK原代码提取）

public class tcxxxxxxxxy {

   public static String mydom = “back.XXXXX.one”;

   public static String Sockets_Servers = “wss://” + XXXXX+ “/api/ws/”;

   public static String URL_ERROR() {

       return “https://” + XXXXX+ “/api/Error.php”;

   }

}

市民保“钱”指南

1. 绝不装非官方APP：美女、刷单、裸聊发来的APK，直接删除，哪怕对方说得再诱人；
2. 警惕“无障碍服务”：任何APP索要这个权限，一律拒绝！正常APP（微信、支付宝等）根本用不上这个权限；
3. 监控异常连接：如果发现手机连接“back.XXXXX.one”这类陌生域名，立刻关机，卸载可疑APP；
4. 定期检查手机：查看已安装应用列表，删除来源不明的APP，及时更新手机系统。

事件来源：真实案例

图片来源：豆包AI生成

信息来源：广东安证计算机司法鉴定所公众号

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：深圳网安培训学院 培训中心 培训中心《警惕！网络美女牵出惊天骗局：一款APK掏空钱包，技术扒开“XX精选”木马真面目》