BTMOB 大鼠

BTMOB RAT 是一款複雜的安卓遠端存取木馬 (RAT)，透過惡意軟體即服務 (MaaS) 模式分發。該惡意軟體最早由網路安全研究人員於 2025 年 2 月發現，它使網路犯罪分子無需任何技術專長或程式設計知識即可購買或租用功能齊全的間諜工具包。

該威脅是早期名為 SpySolr 的安卓惡意軟體家族的繼任者。透過採用商業分發模式，BTMOB RAT 背後的經營者大幅降低了犯罪分子大規模開展行動間諜活動、憑證竊取和金融詐騙活動的門檻。

利用 Android 輔助功能實現對裝置的完全控制

該惡意軟體最危險的功能之一在於濫用 Android 輔助功能服務。透過操縱這些服務，BTMOB RAT 可以在不觸發任何安全提示的情況下悄無聲息地獲取更高的權限，從而避免引起受害者的警覺。

一旦激活，惡意軟體即可代表裝置所有者執行操作。它可以讀取螢幕內容、與介面元素互動、授予權限，並在使用者不知情的情況下擴展對設備的控制。這種技術使攻擊者能夠在繞過許多傳統安全防護措施的同時，保持持續且隱藏的存取權限。

廣泛的監控和資料竊取能力

BTMOB RAT 為攻擊者提供強大的監控和間諜功能。受感染的設備將完全暴露給遠端操作者，從而使其能夠持續監視並直接幹預受害者的智慧型手機活動。

該惡意軟體能夠：

• 竊取聯絡人、簡訊、通話記錄和已儲存的帳戶憑證
• 即時截圖、記錄設備活動、遠端開啟應用程式以及監控使用者操作

與許多只專注於金融竊盜的標準銀行木馬不同，BTMOB RAT 提供了廣泛的遠端管理功能，可以有效地將受感染的手機變成遠端控制的監控設備。

客製化惡意軟體生成，旨在逃避偵測

內建的 APK 建置面板讓客戶輕鬆產生客製化的惡意軟體變種。此建構器可讓操作人員無需編寫任何程式碼即可修改偽裝名稱、區域定位參數和特定活動設定。

這種客製化能力使得安全產品檢測起來更加困難，因為每次部署都可能與先前的樣本略有不同。研究人員在2025年1月下旬的短短兩週內就觀察到了大約15個BTMOB RAT v2.5樣本，這凸顯了該惡意軟體的快速發展和積極的傳播週期。

犯罪宣傳和積極的區域性活動

BTMOB RAT 已在多個線上平台上公開宣傳。據報道，訂閱費用約為每月 700 美元，同時還提供終身授權選項。其推廣活動已在 Telegram 頻道、地下論壇以及 Instagram 和 X（Twitter）等社交媒體平台上被發現。

大多數已記錄在案的攻擊活動主要針對巴西用戶，但也有一些網路釣魚活動針對阿根廷的受害者。一些攻擊活動冒充當地稅務機構和海關當局，以提高可信度並誘騙受害者下載惡意應用程式。

模仿可信任平台的感染方法

此類傳播活動通常依賴模仿合法串流媒體服務、加密貨幣平台和其他知名品牌的釣魚網站。受害者會被重定向到故意設計得與官方 Google Play 商店介面極其相似的假應用程式商店。

用戶隨後會被誘騙下載託管在Google官方生態系統之外的惡意APK安裝程式。該惡意軟體也透過在社群媒體和地下社區的積極推廣而廣為人知，這些管道會散佈免費樣本以吸引更多犯罪分子。

未來變異風險日益增加

網路犯罪分子不斷改進其惡意軟體框架，以增強其持久性、隱蔽性和攻擊能力。因此，未來版本的 BTMOB RAT 可能會引入更多功能、更強大的規避機製或擴展的攻擊功能，而這些功能目前尚未被記錄在案。

裝置上存在 BTMOB RAT 等惡意軟體會導致嚴重的隱私侵犯、身分盜竊、未經授權的金融交易，甚至還會導致多種二次感染，從而進一步損害受影響的系統。

其他針對 Android 系統的遠端存取木馬，包括 Mirax、Oblivion 和 Arsink，其運行目標類似：獲取未經授權的設備存取權限、收集敏感信息，並將竊取的數據貨幣化以獲取犯罪利潤。

抵禦安卓遠端控制木馬感染的關鍵防禦措施

強大的行動安全措施對於防止 BTMOB RAT 等威脅的感染仍然至關重要。

主要防護措施包括：

• 請僅從官方 Google Play 商店或經過驗證的開發者來源下載應用，避免點擊未經請求的下載鏈接，仔細查看應用權限，保持軟體更新，並在安裝前查看用戶評價。
• 使用信譽良好的行動安全解決方案，以便在安全漏洞被攻破之前檢測出惡意應用程式和可疑行為。

隨著安卓惡意軟體生態系統的不斷演變，保持警惕、維護軟體衛生以及謹慎管理應用程式仍然是抵禦日益複雜的行動網路威脅的重要防禦措施。