資安業者 ESET 發布報告指出,一款名為
BTMOB 的 Android 遠端存取木馬(RAT)正以惡意軟體即服務(Malware-as-a-Service,MaaS)模式在巴西與拉丁美洲地區擴散。
該惡意程式內建無程式碼 APK 建置介面,使缺乏技術背景的攻擊者也能快速產生客製化惡意應用程式。
功能與背景
BTMOB 最早由資安公司 Cyble 於 2025 年記錄,被認為是 SpySolr 惡意軟體家族的演化分支。不同於多數僅鎖定金融憑證或攔截交易的銀行木馬,BTMOB 的攻擊能力更為全面,包
含竊取敏感資料、擷取螢幕畫面、錄製裝置活動,以及完整的遠端控制功能。
MaaS 模式與無程式碼建置工具
BTMOB 目前以 MaaS 平台形式在明網上公開販售,主要透過 Telegram 私人頻道進行交易,提供每月 700 美元的訂閱方案,或 5,000 美元的終身授權。
隨授權提供的 APK 建置介面讓攻擊者無需撰寫程式碼,即可選擇應用程式安裝時申請的權限,並自訂其行為,例如停用 Google Play Protect、隱藏應用程式圖示以提高移除難度,或防止裝置進入睡眠模式。ESET 研究員 Daniel Cunha Barbosa 指出,該工具也允許操作者依地區快速調整社交工程誘餌,進一步擴大地理覆蓋範圍。
2026 年 1 月,曾有暗網論壇聲稱提供 BTMOB 相關檔案的免費下載,但該論壇隨後下線,相關酬載未能取回。研究員表示,這顯示商業惡意軟體的存取管道難以長期受控,相關工具可能透過轉售、交換,或在封閉群組內共享而流入二級市場。
感染途徑
攻擊者會先將受害者引導至偽裝成串流服務、加密貨幣挖礦平台等常見線上服務的釣魚網站,再誘導其前往仿冒 Google Play 商店的假冒應用程式庫下載並安裝惡意 APK。研究人員近期也記錄到一起以阿根廷稅務與海關機構為名義的 BTMOB 攻擊活動。
安裝後,BTMOB 會濫用 Android 無障礙服務(Android Accessibility Services)取得更高的系統權限,並在不需使用者進一步操作的情況下,持續擴大對裝置的控制範圍。
防護建議
- 僅從 Google Play 官方商店下載應用程式,並警惕仿冒 Google Play 的假冒應用程式庫。
- 開啟 Google Play Protect 進行掃描,並在非必要情況下撤銷無障礙服務等高風險權限。
- 對透過電子郵件、通訊軟體、社群媒體或廣告收到的不明連結保持懷疑,避免點擊任何可疑連結。
- 個人與企業均應部署行動裝置資安解決方案,並以與其他端點一致的資安標準管理行動裝置。
- 企業應明確規範員工僅能從官方來源下載應用程式。
本文轉載自 DarkReading、BleepingComputer。