网络安全研究人员发现了六个新的安卓恶意软件家族，这些恶意软件具备从受感染设备窃取数据和进行金融欺诈的能力。

这些安卓恶意软件类型多样，既有PixRevolution、TaxiSpy RAT、BeatBanker、Mirax和Oblivion RAT等传统银行木马，也有SURXRAT等功能完整的远程管理工具。

根据Zimperium的研究，PixRevolution专门针对巴西的Pix即时支付平台，实时劫持受害者的转账操作，将资金转给威胁行为者而非预期收款人。

"这种新型恶意软件在设备内潜伏运行，直到受害者发起Pix转账的那一刻才暴露，"安全研究员Aazim Yaswant表示。"这种威胁与传统银行木马的根本区别在于其基础设计：远程端有人工或AI智能体操作员积极参与，实时观察受害者的手机屏幕，随时准备在交易的精确时刻采取行动。"

该安卓恶意软件通过伪造的Google Play Store应用列表页面传播，模仿Expedia、Sicredi和Correios等应用，诱骗用户安装恶意投放器APK文件。安装后，应用会敦促用户启用无障碍服务以实现其目标。

恶意软件还会通过TCP 9000端口连接到外部服务器，发送包含设备信息的周期性心跳消息，并使用安卓的MediaProjection API激活实时屏幕捕获。PixRevolution的主要功能是监控受害者屏幕，一旦受害者输入期望金额和收款人的Pix密钥发起支付，就会提供虚假覆盖界面。

此时，木马显示一个写着"Aguarde..."（葡语/西语中意为"请等待"）的虚假WebView覆盖界面，而在后台，它会将Pix密钥修改为攻击者的密钥以完成资金转移。在最后阶段，覆盖界面被移除，受害者在Pix应用中看到"转账完成"确认屏幕。

"从受害者的角度来看，没有发生任何异常，"Yaswant说。"应用短暂显示了一个加载指示器，这在合法银行操作中经常发生。转账已成功确认。他们打算发送的金额已从账户中扣除。"

"只有在稍后，有时是很久之后，受害者才发现资金转到了错误的账户。由于Pix转账是即时且最终的，追回资金极其困难。"

巴西用户还成为另一个名为BeatBanker的安卓恶意软件活动的目标，该恶意软件主要通过伪装成Google Play Store的钓鱼网站传播。BeatBanker得名于其使用的独特持久化机制，即循环播放几乎听不见的音频文件——一段5秒的中文录音，以防止被终止。

除了对模拟或分析环境进行运行时检查外，该恶意软件还监控电池温度和电量百分比，并验证用户是否在使用设备，以便根据需要启动或停止门罗币挖矿。它使用谷歌的Firebase云消息(FCM)进行命令和控制(C2)。

"为了实现目标，恶意APK携带多个组件，包括加密货币挖矿程序和能够完全劫持设备并伪造屏幕的银行木马等，"卡巴斯基表示。"当用户尝试进行USDT交易时，BeatBanker为币安和Trust Wallet创建覆盖页面，秘密将目标地址替换为威胁行为者的转账地址。"

银行模块还监控Chrome、Edge、Firefox、Brave、Opera、DuckDuckGo、Dolphin Browser和sBrowser等网络浏览器以获取受害者访问的URL。此外，它还支持从服务器接收大量命令来收集个人信息并完全控制设备。

该活动的最新版本被发现投放BTMOB RAT而非银行模块。它为操作员提供对受感染设备的全面远程控制、持久访问和监控。BTMOB被评估为CraxsRAT、CypherRAT和SpySolr家族的演进版本，这些家族都与一个网名为EVLF的叙利亚威胁行为者有关。

"我们还在一些暗网论坛上看到了泄露的BTMOB源代码的分发和销售，"这家俄罗斯安全供应商表示。"这可能表明BeatBanker的创建者从原作者或泄露源获取了BTMOB，并将其用作最终载荷。"

TaxiSpy RAT与PixRevolution类似，滥用安卓的无障碍服务和MediaProjection API来收集短信、联系人、通话记录、剪贴板内容、已安装应用列表、通知、锁屏PIN和击键，并通过提供覆盖界面来针对俄罗斯银行、加密货币和政府应用进行凭据窃取。

该恶意软件结合了传统银行木马功能和完整的RAT能力，使威胁行为者能够收集敏感数据并执行通过Firebase推送消息发送的命令。CYFIRMA和Zimperium都发现了多个TaxiSpy样本，表明攻击者正在积极努力规避基于签名的检测和黑名单防护。

"该恶意软件利用高级规避技术，如本地库加密、滚动XOR字符串混淆和通过WebSocket的实时VNC式远程控制，"CYFIRMA表示。"其设计允许全面的设备监控，包括短信、通话记录、联系人、通知和银行应用监控，突出了其金融驱动和特定地区的焦点。"

另一个值得注意的安卓银行木马是Mirax，由一个名为Mirax Bot的威胁行为者宣传，作为私人恶意软件即服务(MaaS)产品，完整版月费2500美元，轻量版月费1750美元。Mirax声称提供银行覆盖、信息收集（如击键、短信、锁屏模式）和SOCKS5代理以通过受感染设备路由恶意流量。

Mirax并非近几个月检测到的唯一安卓MaaS产品。一个名为Oblivion的新安卓远程访问木马正以每月约300美元（或每年1900美元，终身访问2200美元）的价格出售，声称能够绕过主要制造商设备的检测和安全功能。

安装后，该恶意软件采用无需受害者交互的自动权限授予机制。据卖家称，这种方法适用于MIUI/HyperOS（小米）、One UI（三星）、ColorOS（OPPO）、MagicOS（荣耀）和OxygenOS（一加）。

"让它脱颖而出的不是任何单一功能。而是组合：自动权限绕过、隐藏远程控制、深度持久化，以及一个点击式构建器，让即使技术技能最低的潜在黑客也能掌握这一切，"Certos表示。

"谷歌在连续的安卓版本中将无障碍服务滥用的渐进式限制作为优先事项。一个能够在最新版本上可信地绕过这些保护——并且能够跨三星、小米、OPPO等设备实现——的工具代表了对平台级防护的真正挑战。"

通过基于Telegram的MaaS生态系统商业分发的还有一个名为SURXRAT的安卓恶意软件家族，被评估为Arsink的改进版本。该恶意软件滥用无障碍权限进行持久控制，并与基于Firebase的C2基础设施通信以控制受感染设备。该恶意软件在由印尼威胁行为者管理的Telegram频道上销售。

一些新样本的显著特点是存在大语言模型组件，表明恶意软件背后的威胁行为者正在试验人工智能能力以及传统监控。也就是说，大语言模型模块的下载仅在受害者设备上有特定游戏应用活跃时触发，或者当它从服务器动态接收替代目标包名时——

Free Fire MAX x JUJUTSU KAISEN (com.dts.freefiremax)

Free Fire x JUJUTSU KAISEN (com.dts.freefireth)

部分SURXRAT样本还集成了勒索软件式屏幕锁定模块，使远程操作员能够劫持受害者设备的控制权，通过显示全屏锁定消息拒绝访问，直到付款为止。

"这种演进突出了现有安卓RAT框架如何继续被威胁行为者重新利用和扩展，加速恶意软件开发周期，并能快速引入新的监控和控制功能，"Cyble表示。"观察到的大语言模型集成实验进一步表明，威胁行为者正在积极探索新兴技术以提高操作效果并规避检测。"

Q&A

Q1：PixRevolution恶意软件如何劫持Pix支付？

A：PixRevolution在受害者发起Pix转账时显示虚假的"请等待"覆盖界面，在后台将收款人的Pix密钥替换为攻击者的密钥，完成资金转移后移除覆盖界面，让受害者看到正常的转账完成确认，直到后来才发现资金转到错误账户。

Q2：BeatBanker恶意软件为什么播放中文音频？

A：BeatBanker使用播放几乎听不见的5秒中文录音作为独特的持久化机制，通过循环播放这个音频文件来防止恶意软件被系统终止，这是一种规避检测的技术手段。

Q3：SURXRAT恶意软件有哪些新特点？

A：SURXRAT的显著特点是集成了大语言模型组件，表明威胁行为者正在试验人工智能能力。该模块仅在特定游戏应用（如Free Fire系列）活跃时触发，部分样本还包含勒索软件式屏幕锁定功能。