BTMOB 大鼠

BTMOB RAT 是一款复杂的安卓远程访问木马 (RAT)，通过恶意软件即服务 (MaaS) 模式分发。该恶意软件最早由网络安全研究人员于 2025 年 2 月发现，它使网络犯罪分子无需任何技术专长或编程知识即可购买或租用功能齐全的间谍工具包。

该威胁是早期名为 SpySolr 的安卓恶意软件家族的继任者。通过采用商业分发模式，BTMOB RAT 背后的运营者大幅降低了犯罪分子大规模开展移动间谍活动、凭证窃取和金融诈骗活动的门槛。

利用 Android 辅助功能实现对设备的完全控制

该恶意软件最危险的功能之一在于滥用 Android 辅助功能服务。通过操纵这些服务，BTMOB RAT 可以在不触发任何安全提示的情况下悄无声息地获取更高的权限，从而避免引起受害者的警觉。

一旦激活，恶意软件即可代表设备所有者执行操作。它可以读取屏幕内容、与界面元素交互、授予权限，并在用户不知情的情况下扩展对设备的控制。这种技术使攻击者能够在绕过许多传统安全防护措施的同时，保持持续且隐蔽的访问权限。

广泛的监控和数据窃取能力

BTMOB RAT 为攻击者提供强大的监控和间谍功能。受感染的设备将完全暴露给远程操作者，从而使其能够持续监视并直接干预受害者的智能手机活动。

该恶意软件能够：

• 窃取联系人、短信、通话记录和已存储的帐户凭据
• 实时截屏、记录设备活动、远程打开应用程序以及监控用户操作

与许多只专注于金融盗窃的标准银行木马不同，BTMOB RAT 提供了广泛的远程管理功能，可以有效地将受感染的手机变成远程控制的监控设备。

定制恶意软件生成，旨在逃避检测

内置的 APK 构建面板让客户能够轻松生成定制化的恶意软件变种。该构建器使操作人员无需编写任何代码即可修改伪装名称、区域定位参数和特定活动设置。

这种定制化能力使得安全产品检测起来更加困难，因为每次部署都可能与之前的样本略有不同。研究人员在2025年1月下旬的短短两周内就观察到了大约15个BTMOB RAT v2.5样本，这凸显了该恶意软件的快速发展和积极的传播周期。

犯罪宣传和积极的区域性活动

BTMOB RAT 已在多个在线平台上公开宣传。据报道，订阅费用约为每月 700 美元，同时还提供终身授权选项。其推广活动已在 Telegram 频道、地下论坛以及 Instagram 和 X（Twitter）等社交媒体平台上被发现。

大多数已记录在案的攻击活动主要针对巴西用户，但也有一些网络钓鱼活动针对阿根廷的受害者。一些攻击活动冒充当地税务机构和海关当局，以提高可信度并诱骗受害者下载恶意应用程序。

模仿可信平台的感染方法

此类传播活动通常依赖于模仿合法流媒体服务、加密货币平台和其他知名品牌的钓鱼网站。受害者会被重定向到故意设计得与官方 Google Play 商店界面极其相似的虚假应用商店。

用户随后会被诱骗下载托管在谷歌官方生态系统之外的恶意APK安装程序。该恶意软件还通过在社交媒体和地下社区的积极推广而广为人知，这些渠道会散布免费样本以吸引更多犯罪分子。

未来变异风险日益增加

网络犯罪分子不断改进其恶意软件框架，以增强其持久性、隐蔽性和攻击能力。因此，未来版本的 BTMOB RAT 可能会引入更多功能、更强大的规避机制或扩展的攻击功能，而这些功能目前尚未被记录在案。

设备上存在 BTMOB RAT 等恶意软件会导致严重的隐私侵犯、身份盗窃、未经授权的金融交易，甚至还会导致多种二次感染，从而进一步损害受影响的系统。

其他针对 Android 系统的远程访问木马，包括 Mirax、Oblivion 和 Arsink，其运行目标类似：获取未经授权的设备访问权限、收集敏感信息，并将窃取的数据货币化以获取犯罪利润。

抵御安卓远程控制木马感染的关键防御措施

强大的移动安全措施对于防止 BTMOB RAT 等威胁的感染仍然至关重要。

主要防护措施包括：

• 请仅从官方 Google Play 商店或经过验证的开发者来源下载应用，避免点击未经请求的下载链接，仔细查看应用权限，保持软件更新，并在安装前查看用户评价。
• 使用信誉良好的移动安全解决方案，以便在安全漏洞被攻破之前检测出恶意应用程序和可疑行为。

随着安卓恶意软件生态系统的不断演变，保持警惕、维护软件卫生以及谨慎管理应用程序仍然是抵御日益复杂的移动网络威胁的重要防御措施。