🛡️ **BankBot-YNRK：智能规避与精准打击** BankBot-YNRK 恶意软件具备先进的规避技术，能够检测并逃避虚拟化和仿真环境的分析。它还会识别设备制造商、型号以及是否为特定品牌（如 OPPO）或操作系统（如 ColorOS），并检查设备型号是否在预设的“已识别/支持型号列表”中。这种精准的目标定位使得恶意软件仅在目标设备上启用特定功能或优化，以最大化窃取敏感数据和执行欺诈操作的效率，包括窃取联系人、短信、位置信息、已安装应用列表和剪贴板内容，并能捕获屏幕内容以重建银行应用框架 UI，为窃取账号密码提供便利。

🔔 **DeliveryRAT：伪装传播与多重威胁** DeliveryRAT 恶意软件伪装成外卖、电商、银行服务及包裹追踪应用，主要针对俄罗斯安卓用户。它通过“恶意软件即服务”（MaaS）模式传播，并利用 Telegram 机器人获取 APK 文件或钓鱼链接。一旦安装，该应用会请求通知权限和电池优化设置权限，以便在后台持续运行并收集敏感数据。DeliveryRAT 还能访问短信和通话记录，并隐藏自身图标，使得普通用户难以察觉和卸载。部分版本甚至具备发起分布式拒绝服务（DDoS）攻击的能力，通过向外部服务器传输 URL 链接发送并发请求，或诱导用户扫描二维码捕获数据。

💳 **NFC 技术滥用：支付数据面临新风险** BankBot-YNRK 和 DeliveryRAT 的发现恰逢移动安全公司 Zimperium 的报告指出，自 2024 年 4 月以来，已有超过 760 款安卓应用滥用近场通信（NFC）技术。这些仿冒金融应用的程序会诱导用户将其设为默认支付方式，并利用安卓的主机卡模拟（HCE）功能，窃取非接触式信用卡及支付数据，这些数据随后会被用于即时从用户账户提现或在 PoS 终端进行消费。受影响的机构主要包括俄罗斯的银行和金融服务机构，以及来自巴西、波兰、捷克共和国和斯洛伐克的机构，表明支付安全面临着新的严峻挑战。

HackerNews 编译，转载请注明出处：

网络安全研究人员揭示了两款不同的安卓木马 ——BankBot-YNRK 与 DeliveryRAT，它们能够从受感染设备中窃取敏感数据。

据对 BankBot-YNRK 三个不同样本展开分析的 CYFIRMA（安全公司）介绍，该恶意软件具备规避分析的功能：首先会检测自身是否运行在虚拟化或仿真环境中，随后提取设备制造商、型号名称等信息，确认是否处于真实设备上。

BankBot-YNRK 还会检测设备是否为 OPPO 品牌，或是否运行 ColorOS 系统。

CYFIRMA 表示：“该恶意软件还包含识别特定设备的逻辑，会验证设备是否为谷歌 Pixel 或三星机型，并检查其型号是否在预设的‘已识别 / 支持型号列表’中。这使得恶意软件仅对目标设备启用特定功能或优化，避免在未识别型号上执行。”

传播该恶意软件的 APK 安装包名称如下。三款应用均以 “IdentitasKependudukanDigital.apk” 命名，这一名称疑似试图仿冒印尼官方应用 “数字居民身份”（Identitas Kependudukan Digital）。

com.westpacb4a.payqingynrk1b4acom.westpacf78.payqingynrk1f78com.westpac91a.payqingynrk191a

恶意应用安装后，设计用途包括窃取设备信息，并将音乐、铃声、通知等各类音频流音量调至零，防止受影响用户收到来电、短信及其他应用内通知的提醒。

该恶意软件还会与远程服务器（“ping.ynrkone [.] top”）建立通信，收到 “OPEN_ACCESSIBILITY”（开启辅助功能）指令后，会诱导用户启用辅助功能以实现自身目的，包括获取更高权限及执行恶意操作。

不过，该恶意软件仅能针对安卓 13 及以下版本设备发起攻击。2023 年底推出的安卓 14 新增了一项安全功能，禁止通过辅助功能自动申请或授予应用额外权限。

CYFIRMA 指出：“在安卓 13 及以前版本中，应用可通过辅助功能绕过权限请求；但在安卓 14 中，这种行为已无法实现，用户必须通过系统界面直接授予权限。”

BankBot-YNRK 利用安卓的 JobScheduler 服务在设备上实现持久化，确保设备重启后仍能启动。它还支持多种指令，可获取设备管理员权限、管理应用、与设备交互、通过 MMI 代码转接来电、拍摄照片、执行文件操作，以及窃取联系人、短信、位置信息、已安装应用列表和剪贴板内容。

该恶意软件的其他部分功能如下：

通过程序篡改应用名称与图标仿冒 “谷歌新闻”，并通过 WebView（网页视图）打开 “news.google [.] com”；捕获屏幕内容，重建银行应用等程序的 “框架 UI”（skeleton UI），为窃取账号密码提供便利；滥用辅助功能打开预设列表中的加密货币钱包应用，自动执行 UI 操作以收集敏感数据并发起未授权交易；获取 62 款待攻击金融应用的列表；显示 “个人信息正在验证” 的悬浮提示，同时执行恶意操作，包括为自身申请额外权限、将自身添加为设备管理员应用。

CYFIRMA 表示：“BankBot-YNRK 具备全面功能，旨在对受感染安卓设备实现长期控制、窃取金融数据并执行欺诈交易。”

与此同时，F6（安全机构）披露，威胁分子正分发 DeliveryRAT 的更新版本，以外卖服务、电商平台、银行服务及包裹追踪应用为伪装，针对俄罗斯安卓用户。据评估，这一移动威胁自 2024 年年中起开始活跃。

这家俄罗斯安全公司称，该恶意软件通过 “恶意软件即服务”（MaaS）模式传播，依托名为 “Bonvi Team” 的 Telegram 机器人，用户可通过该机器人获取 APK 文件或分发恶意软件的钓鱼链接。

随后，威胁分子会通过 Telegram 等即时通讯工具联系受害者，以 “跟踪虚假电商平台订单” 或 “获取远程工作机会” 为由，诱导受害者下载恶意应用。无论采用何种方式，该应用都会请求获取通知权限与电池优化设置权限，以便收集敏感数据并在后台持续运行而不被终止。

此外，这款恶意应用还能访问短信与通话记录，并在手机桌面启动器（home screen launcher）中隐藏自身图标，导致非技术用户难以将其从设备中卸载。

部分版本的 DeliveryRAT 还具备发起分布式拒绝服务（DDoS）攻击的能力，具体方式包括：向外部服务器传输的 URL 链接发送并发请求，或诱导用户扫描二维码以捕获数据。

这两款安卓恶意软件家族的发现，恰逢 Zimperium（移动安全公司）发布一份报告。该报告显示，自 2024 年 4 月以来，已发现超 760 款安卓应用滥用近场通信（NFC）技术，非法获取支付数据并发送给远程攻击者。

这些仿冒金融应用的虚假程序会诱导用户将其设为默认支付方式，同时利用安卓的主机卡模拟（HCE）功能，窃取非接触式信用卡及支付数据。

这些信息会被传输至威胁分子运营的 Telegram 频道或专用监听应用（tapper app）。随后，被盗 NFC 数据会被用于即时从用户账户提现，或在销售点（PoS）终端消费。

这家移动安全公司表示：“已有约 20 家机构被仿冒，主要是俄罗斯的银行与金融服务机构，同时也包括巴西、波兰、捷克共和国及斯洛伐克的机构。”

消息来源：thehackernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文