Cyfirma 的网络安全研究人员发现了一种高度复杂的新型 Android 恶意软件,称为“BankBot YNRK”。该变体与典型的移动木马的区别在于它能够执行高级设备分析和自动交互,从而有效地将受感染的手机转变为无声的金融盗窃工具。该恶意软件目前通过模仿合法实用工具的恶意应用程序进行分发,包括伪造的数字 ID 扫描仪和伪造的 Google News 版本,该版本会加载实际的 news.google.com 网站以消除用户的怀疑。
一旦安装,BankBot YNRK 就会启动一个“静默阶段”,旨在逃避检测并确保长期持续存在。它立即将设备的音频流静音——通知、铃声和媒体音量设置为零——确保受害者不知道与未经授权的交易相关的传入警报。
同时,它还会分析主机环境,检查模拟器指标(例如特定的电池电量或构建指纹),以确定安全研究人员是否正在对其进行分析。如果设备通过了此检查,恶意软件就会滥用 Android 的辅助功能服务(旨在帮助残障用户的功能)来授予自己管理权限。这一关键步骤允许机器人读取屏幕内容、导航菜单并模拟触摸输入,而无需受害者进行任何物理交互。
该恶意软件的主要目标是窃取银行凭证和加密货币资产。它与命令与控制 (C2) 服务器通信,获取 62 个金融应用程序的目标列表,特别关注越南、马来西亚、印度尼西亚和印度的主要银行机构,以及 MetaMask 和 Exodus 等全球加密货币钱包。该变体的独特之处在于它能够抓取用户界面 (UI) 元数据(例如文本、按钮位置和视图 ID),以重建目标银行应用程序的“骨架”。
这使得攻击者可以在受害者的屏幕显示为非活动状态时在后台自动执行复杂的登录和传输序列。通过将自己定位为设备管理员并安排重复的后台作业,BankBot YNRK 确保即使在系统重新启动后也能自动重新启动,这使得普通用户的删除变得异常困难。
