最新新聞 (TW)

ESET 警告稱，BTMOB Rat 病毒已完全控制巴西的 Android 手機

作者 Redação Portal • 2026年5月29日 • 1 min de leitura

WhatsApp Twitter Facebook Seguir no Google E-mail

Foto: Virus - krungchingpixs/ shutterstock.com

根據安全公司 ESET 的詳細分析，在巴西的活躍活動中偵測到了一種名為 BTMOB 的 Android 木馬。惡意程式能夠完全控制受害者的設備，在未經同意的情況下執行遠端操作。它的首次檢測發生在 2025 年 2 月，從那時起，病毒在運行範圍和複雜性方面表現出了顯著的演變。

BTMOB 被歸類為 RAT（「遠端存取木馬」的縮寫），允許攻擊者遠端存取和操作受感染的手機，而使用者無法察覺。此功能構成了重大威脅，因為它為犯罪分子提供了利用設備數據和功能的巨大能力。 BTMOB 的控制彈性使其有別於許多特定的金融惡意軟體，從而增加了其破壞潛力。

BTMOB Rat 如何感染設備

BTMOB 感染過程始於傳播虛假網站的鏈接，這些網站通常模擬知名的串流媒體平台或加密貨幣服務。透過點擊這些地址，用戶會被重定向到假冒的應用程式商店，其設計在視覺上類似於 Google Play 商店。在這些詐騙頁面上，受害者被誘騙安裝惡意應用程序，此時病毒就會被引入 Android 裝置。

初始安裝後，BTMOB 請求存取 Android 輔助功能服務。該權限最初是為了幫助殘疾人使用手機而開發的，但已被病毒惡意利用。透過獲得此存取權限，BTMOB 能夠增加其在系統中的權限並將其自身安裝得更深入，而無需使用者進行任何額外幹預即可繼續其操作。

感染後遠端控制和資料竊取

一旦安裝並授予權限，BTMOB 就會在受感染的裝置中展現出廣泛的惡意功能。該病毒可以提取敏感資料、即時截圖並記錄用戶活動，為犯罪分子提供有價值的資訊。此外，它還允許攻擊者遠端操作手機，執行命令和控制功能，就好像他是手機所有者一樣。

這種程度的控制意味著可以在受害者不知情的情況下查看密碼、存取銀行應用程式以及以受害者的名義發送訊息。 BTMOB 的廣泛功能使其成為一種更通用和危險的病毒，因為它不僅限於特定類型的盜竊，而是對設備及其中包含的所有資訊進行完全控制。

「惡意軟體即服務」模式使存取變得更容易

BTMOB 在 MaaS 模式或「惡意軟體即服務」下出售，允許沒有技術程式設計知識的個人獲取和使用它。這種商業模式讓更多的犯罪者可以使用該工具，從而促進了詐騙的擴散。該平台包括一個介面，用於創建新的惡意應用程式並針對不同國家和目標受眾調整活動。

BTMOB 的終身許可證費用約為 5,000 美元，另加每月的技術支援費用。 2026 年 1 月，在該服務停用之前，BTMOB 檔案甚至在暗網論壇上免費提供。該惡意軟體在網路上的開放管道上積極推廣，包括 X 和 Instagram 等社交網路上的促銷頁面和個人資料，這些管道透過 Telegram 將潛在買家引導至營運商。

在拉丁美洲偵測到的活動

安全研究人員已經記錄了拉丁美洲的 BTMOB 活動，其中最著名的案例發生在阿根廷。在這些事件中，病毒被用來冒充阿根廷政府機構，例如稅務和海關當局。模仿這些機構的視覺標識旨在提高詐騙的可信度，誘騙本地用戶安裝惡意應用程式。

ESET將該病毒的主要版本識別為MSIL/BtmobRat，而其Android變種則分類為Android/Spy.Agent.EED、Android/Spy.Agent.EIJ和Android/Spy.Agent.EIK。 2025 年 2 月，Cyble 公司報告稱，在短短兩週內就發現了大約 15 個 2.5 版病毒樣本，突顯了該惡意軟體的活動和快速傳播。