*虽然原作者盗刷现象疑似乌龙，但是恶意感染模块确实存在以下是 GPT-5 Thinking 在阅读了 jadx 反编译源码后给出的结论：1. 通过前台常驻服务 + 开机自启 + JobService保活；声明 usesCleartextTraffic="true" 并用明文 HTTP与固定 C2 通信（fdkss.sbs/client/*.ashx）

今天abc看了啥🤔

酷安用户 @Chara_White 提供的样本：https://drive.google.com/file/d/1kLiqeMy5_uoafcdiMVwC1lQVF6M2aGqN/view 来源：https://www.coolapk1s.com/feed/67744157

*虽然原作者盗刷现象疑似乌龙，但是恶意感染模块确实存在
以下是 GPT-5 Thinking 在阅读了 jadx 反编译源码后给出的结论：
1. 通过前台常驻服务 + 开机自启 + JobService保活；声明 usesCleartextTraffic="true" 并用明文 HTTP与固定 C2 通信（fdkss.sbs/client/*.ashx）。

2. 采集并上报设备指纹、联系人、短信、安装应用列表、位置、媒体文件，并具备屏幕截图与文件分片上传能力。

3. 借助无障碍服务 + 悬浮窗监控前台应用并弹出自家 UI，引导用户输入敏感信息。

4. 如有 root/SU，会直接访问 /data/data/<目标包> 等私有目录，打包并上传（典型：微信 mmkv 配置目录与头像缓存）。

5. 带有面向支付/银行等的大量目标包名清单（raw 资源 important_apps，见本条评论区），用于定向。