摘要BTMOB 是 2025 年 2 月首次曝光、源自 SpySolr 演进的 Android 远程控制木马RAT以恶意软件即服务MaaS模式运营依托 APK 可视化生成工具、仿冒应用商店与钓鱼诱导实现规模化传播核心通过滥用无障碍服务Accessibility Service获取系统级控制权可完成短信 / 通讯录窃取、屏幕截图、录音录像、模拟点击、呼叫转移等高危操作对拉美乃至全球移动终端安全构成持续威胁。该木马具备免编码生成、免 Root 提权、高隐蔽驻留、快速变种等特征传统特征码检测与基础权限管控难以有效防御。本文以 WeLive Security 2026 年 5 月最新威胁报告为核心依据完整还原 BTMOB 的传播链路、功能架构、权限滥用机制与产业化运营模式提供可复现的攻击模拟代码、静态检测规则、动态行为监测逻辑与企业级防御配置脚本构建 “样本分析 — 行为提取 — 检测识别 — 响应处置” 的闭环防护体系。研究表明BTMOB 的核心危害在于将复杂攻击能力平民化依托社会工程与系统服务漏洞形成 “低门槛、高收益、强隐蔽” 的黑产闭环防御必须从特征匹配转向行为基线、权限最小化与服务审计相结合的纵深防护。反网络钓鱼技术专家芦笛指出面向 Android 的 MaaS 类 RAT 已成为移动威胁主流防御重心应从查杀样本转向管控高危服务、治理第三方渠道与强化授权审计。1 引言随着 Android 系统在消费终端与政企移动办公中的全面普及针对移动平台的远程控制木马呈现产业化、工具化、免杀化趋势。传统移动恶意软件多依赖漏洞利用、Root 提权或特征码绕过实现入侵而 2025 年以来兴起的 MaaS 模式彻底降低攻击门槛攻击者无需编码即可快速生成定制化载荷依托仿冒应用、钓鱼链接与社交工程实现大范围传播。BTMOB 作为此类威胁的典型代表由 SpySolr 演化而来自 2026 年起在巴西、阿根廷等拉美国家集中爆发通过伪装成流媒体、加密货币、政府税务类应用诱导用户安装借助无障碍服务绕过常规权限管控实现对设备的深度控制与数据窃取。WeLive Security 监测数据显示BTMOB 以月付 700 美元、终身授权 5000 美元的模式在 Telegram、X原 Twitter、Instagram 等平台公开销售配套 APK 生成器支持自定义图标、权限、通知文本、反检测逻辑等参数可在数分钟内生成独立样本导致变种快速迭代、检测持续滞后。当前移动安全研究多聚焦于已知漏洞利用与传统病毒查杀对 MaaS 化 RAT 的工具链、服务滥用机理、黑产运营模式与可落地防御体系的系统性论述不足。本文以 BTMOB 为研究对象严格依据权威威胁情报与 Android 官方机制遵循 “样本特征 — 传播机制 — 核心功能 — 权限滥用 — 检测方法 — 防御闭环” 的技术路线确保技术准确、逻辑严谨、论据可验证。文章不使用夸张表述与口号式结论聚焦工程实践与学术规范为终端安全防护、企业移动管理、安全运营人员提供理论参考与可直接部署的代码方案。2 BTMOB 木马概述与家族溯源2.1 基本定位与家族演化BTMOB 是一款面向 Android 平台的远程控制木马归属间谍类木马分支前身可追溯至 SpySolr 恶意软件2025 年 2 月首次被安全厂商捕获2026 年进入活跃爆发期核心传播区域集中于拉美已呈现向全球扩散的趋势。与银行木马仅聚焦金融信息窃取不同BTMOB 提供全功能设备接管能力覆盖数据窃取、行为监控、远程控制、权限维持等全链路能力本质是一套完整的移动设备劫持工具集。该木马最显著特征是MaaS 商业化运营 可视化 APK 生成器攻击者无需掌握开发知识通过图形化界面勾选权限、配置图标、编辑钓鱼文案即可生成专属载荷极大降低攻击门槛。反网络钓鱼技术专家芦笛强调MaaS 模式使黑产从 “技术驱动” 转向 “运营驱动”BTMOB 的扩散标志着移动威胁进入平民化、工业化新阶段。2.2 核心特征与危害等级BTMOB 具备以下突出特征使其成为高危害移动威胁免编码快速生成提供 Windows 端 APK 编译工具支持自定义应用名、图标、权限、通知内容、反虚拟机逻辑等无障碍服务提权核心依赖 Accessibility Service 获取屏幕读取、模拟点击、权限自动授予等系统能力全维度数据窃取支持短信、联系人、账号、通话记录、位置信息、相机 / 麦克风数据采集强隐蔽与抗分析支持隐藏图标、伪装卸载、防查杀、后台保活、反删除等机制商业化黑产运营公开定价销售、配套技术支持、快速更新变种形成完整获利链条。其危害覆盖个人隐私泄露、财产被盗、身份冒用、设备被劫持用于电信诈骗等对普通用户与企业终端均构成严重威胁。2.3 样本与检测标识依据 WeLive Security 公开情报BTMOB 相关样本 SHA256 哈希与检测名称如下节选58AC130A8EBB09E37592AC69841483EDC5695D1545B1F04F23D5B760AC17CD940A542751724A432A8448324613E0CE10393E41739A1800CBB7D5A2C648FCDC35ESET 检测标识Android/Spy.Agent.EIJ、Android/Spy.Agent.EIK、Android/Agent.FQK 等。3 BTMOB 传播机制与社会工程链路3.1 核心传播路径BTMOB 不依赖系统漏洞全程以社会工程为核心传播路径高度标准化钓鱼诱饵投放通过短信、WhatsApp、社交平台等渠道发送诱导链接伪装成流媒体、加密货币挖矿、政府税务、物流查询类服务仿冒应用商店导流跳转至模仿 Google Play 界面的虚假站点展示伪造评分、下载量、简介提升可信度APK 诱导安装提示 “官方应用更新”“验证身份”“解锁功能” 等诱导用户关闭 “未知来源应用安装” 限制并完成安装高危权限诱导引导用户开启无障碍服务、设备管理器、悬浮窗、后台运行等权限完成深度植入。在阿根廷等地区攻击者曾伪装成税务与海关机构 AFIP使用近似域名aflp-gob-ar.com搭建钓鱼页面欺骗性极强。反网络钓鱼技术专家芦笛指出BTMOB 的传播成功源于对权威机构、高频应用与刚需场景的模仿用户极易在 “合规操作” 的错觉中完成风险授权。3.2 MaaS 商业化运营模式BTMOB 采用成熟的软件化销售体系形成稳定黑产链条定价体系月费 700 美元终身授权约 5000 美元另含后续技术支持费用分销渠道公开网页宣传、Telegram 群组、X 账号、Instagram 等部分渠道曾提供免费试用版本交付内容APK 生成工具、诱饵模板、C2 服务器接入、样本免杀更新、售后技术支持快速迭代根据检测情况实时更新特征与反制逻辑保持高存活率。该模式使威胁快速扩散即使原始样本被查杀新变种可在短时间内生成并投入攻击。3.3 仿冒应用与诱饵类型BTMOB 常用伪装类型包括金融类银行客户端、支付工具、加密货币平台政务类税务、社保、公共事业查询工具生活类流媒体、物流、车辆追踪、工具类应用娱乐类影视、游戏辅助、直播类应用。仿冒页面高度还原官方界面包含伪造评分、评论、更新日志与隐私政策大幅提升诱导成功率。4 BTMOB 功能架构与核心技术实现4.1 可视化 APK 生成器功能模块BTMOB 配套 PC 端生成工具提供完整配置能力核心模块如下基础信息配置应用名称、包名、版本号、图标、通知标题与内容权限自动申请短信读写、联系人读取、位置获取、相机 / 麦克风、呼叫转移、账号读取系统能力劫持无障碍服务、悬浮窗、修改系统设置、后台数据、电池优化白名单反检测与抗分析反模拟器、反查杀、防卸载、隐藏图标、伪装卸载、后台保活行为定制屏幕截图、锁屏捕获、自动权限授予、数据回传配置。攻击者仅需勾选参数即可生成定制化载荷无需编写代码。4.2 基于无障碍服务的核心攻击逻辑Android 无障碍服务Accessibility Service初衷用于辅助残障用户操作设备可监控屏幕、获取界面元素、模拟点击、自动填充等被 BTMOB 作为核心提权通道诱导用户手动开启无障碍服务并授权给恶意应用服务启动后后台常驻监听系统界面与用户操作自动跳转权限设置页模拟点击开启悬浮窗、后台运行、设备管理器等读取短信验证码、通讯录、账号信息截取屏幕内容模拟点击完成转账、修改密码、呼叫转移等高危操作。该机制无需 Root、无需漏洞仅依赖用户一次性授权即可实现系统级控制是 BTMOB 最核心的攻击入口。4.3 攻击模拟代码仅用于安全研究以下代码模拟 BTMOB 无障碍服务核心逻辑用于防御检测研究import android.accessibilityservice.AccessibilityService;import android.view.accessibility.AccessibilityEvent;import android.view.accessibility.AccessibilityNodeInfo;import android.content.Intent;import android.net.Uri;import android.os.Build;import android.provider.Settings;public class BTMobSimService extends AccessibilityService {Overridepublic void onAccessibilityEvent(AccessibilityEvent event) {AccessibilityNodeInfo root getRootInActiveWindow();if (root null) return;// 模拟读取短信内容if (event.getEventType() AccessibilityEvent.TYPE_WINDOW_STATE_CHANGED) {readSmsContent(root);}// 自动跳转权限设置页面jumpToPermissionSettings();}// 读取短信节点信息private void readSmsContent(AccessibilityNodeInfo node) {if (node null) return;for (int i 0; i node.getChildCount(); i) {AccessibilityNodeInfo child node.getChildAt(i);if (child ! null child.getText() ! null) {String content child.getText().toString();if (content.contains(验证码) || content.contains(密码)) {// 窃取验证码并回传uploadToC2(content);}}readSmsContent(child);child.recycle();}node.recycle();}// 跳转到权限设置界面private void jumpToPermissionSettings() {if (Build.VERSION.SDK_INT Build.VERSION_CODES.P) {Intent intent new Intent(Settings.ACTION_ACCESSIBILITY_SETTINGS);intent.addFlags(Intent.FLAG_ACTIVITY_NEW_TASK);startActivity(intent);}}// 上传数据到C2服务器private void uploadToC2(String data) {// 模拟C2上传逻辑}Overridepublic void onInterrupt() {}}该代码复现了 BTMOB 最核心的屏幕读取、权限引导与数据窃取行为可用于检测规则训练与防御验证。4.4 远程控制与数据窃取能力BTMOB 完整控制能力清单信息窃取读取短信、联系人、通话记录、账号列表、剪贴板、位置信息设备监控屏幕截图、锁屏截图、相机拍照、麦克风录音、屏幕录制行为控制模拟点击、自动填写、应用安装 / 卸载、修改系统设置、开启飞行模式通信劫持短信发送 / 拦截、呼叫转移、监听通话、删除通话记录权限维持隐藏图标、伪装卸载、防删除、后台保活、自启动、设备管理器权限。获取完整权限后攻击者可完全接管设备等同于物理持有。5 BTMOB 隐蔽机制与抗检测技术5.1 静态抗检测手段自定义包名与签名每次生成使用随机包名、签名信息规避特征码匹配资源混淆混淆代码与资源文件降低反编译可读性无恶意字符串明文关键指令加密存储运行时动态解密仿冒正规应用结构目录结构、资源命名、配置文件格式高度模仿合法应用。5.2 动态隐蔽与抗分析反模拟器检测模拟器特征如 IMEI、Build 属性运行环境异常则停止恶意行为反调试与反查杀监控调试状态检测安全软件进程主动规避隐藏图标移除桌面图标仅在设置中可见降低用户发现概率伪装卸载点击卸载显示成功提示实际服务仍后台运行保活机制利用广播、相互启动、账户同步、悬浮窗等维持常驻。5.3 权限维持与持久化无障碍服务保活监听服务终止事件自动重启设备管理器权限获取管理员权限提升卸载难度开机自启动注册开机广播设备重启后自动加载多进程守护多进程相互监听单个进程被杀后立即拉起。反网络钓鱼技术专家芦笛强调BTMOB 的隐蔽能力使其可长期驻留用户与常规安全工具难以感知危害持续时间远高于普通恶意软件。6 BTMOB 威胁检测体系构建6.1 静态检测规则基于 APK 结构与权限特征构建检测规则def static_detect_btmob(apk_info):score 0# 高危权限组合permissions apk_info.get(permissions, [])risky_perms [android.permission.BIND_ACCESSIBILITY_SERVICE,android.permission.READ_SMS, android.permission.SEND_SMS,android.permission.READ_CONTACTS, android.permission.ACCESS_FINE_LOCATION,android.permission.CAMERA, android.permission.RECORD_AUDIO,android.permission.CALL_PHONE, android.permission.PROCESS_OUTGOING_CALLS]for p in risky_perms:if p in permissions: score 1# 包含无障碍服务配置if ACCESSIBILITY_SERVICE in str(apk_info.get(services, )): score 3# 隐藏图标特征if not apk_info.get(launcher_activity): score 2# 伪卸载特征if fake_uninstall in str(apk_info.get(activities, )): score 3return score 8得分越高BTMOB 疑似度越高。6.2 动态行为检测逻辑基于运行时行为的实时监测后台主动请求无障碍服务权限并引导用户开启无合理场景却读取短信、联系人、位置等敏感数据频繁获取屏幕截图、调用相机 / 麦克风隐藏图标、无法正常卸载、自动重启服务向陌生 C2 地址上传批量数据。企业可通过 EDR、MDM、安全网关实现行为采集与告警。6.3 C2 与 IOC 匹配WeLive Security 公开部分 IOC恶意域名arbsniper.com恶意 IP191.101.131.250、178.156.177.192、104.21.64.137 等可在防火墙、DNS、终端安全平台进行黑名单拦截。7 闭环防御体系与工程化部署7.1 终端用户基础防护官方渠道下载仅从 Google Play、厂商应用商店获取应用拒绝第三方 APK 与短信链接谨慎授权拒绝给非可信应用开启无障碍服务、设备管理器、悬浮窗等高敏感权限安全意识警惕 “更新验证”“解锁功能”“身份核验” 类诱导政府机构不会通过第三方链接要求安装应用安全软件开启移动安全软件实时防护定期扫描与更新。7.2 企业级 MDM 与权限管控策略禁用未知来源安装通过 MDM 强制禁止非商店应用安装高危服务管控限制第三方应用使用无障碍服务仅放行白名单应用权限最小化禁止普通应用申请短信、联系人、位置、相机等组合权限应用白名单仅允许办公必需应用禁止未知应用安装运行。7.3 防御配置代码示例PowerShellMDM 策略powershell# 配置Android企业策略禁止未知来源应用安装Set-MdmAndroidSecurityPolicy -AllowInstallAppsFromUnknownSources $false# 限制无障碍服务权限仅允许白名单应用Set-MdmAndroidAccessibilityPolicy -EnforceWhitelist $true -TrustedApps com.microsoft.office,com.whatsapp# 启用应用安装审计Enable-MdmAndroidAppInstallationAudit -Enable $trueAndroid 管理 API 配置json{applications: {denyInstallUnknownSources: true,allowedInstallSources: [com.android.vending]},accessibilityServices: {enforceWhitelist: true,whitelistedServicePackages: [com.enterprise.mdm]}}7.4 应急响应与处置流程发现与隔离立即断开网络停止数据泄露权限清除关闭无障碍服务、设备管理器、悬浮窗等所有授权卸载应用通过系统设置彻底删除恶意应用清除缓存与数据查杀与扫描使用安全软件全盘扫描清除残留文件密码重置修改支付、社交、邮箱等账号密码开启二次验证审计与复盘检查通话记录、短信、位置、应用安装记录评估泄露范围。处置脚本示例// 撤销指定应用无障碍服务授权public void revokeAccessibility(String packageName) {if (Build.VERSION.SDK_INT Build.VERSION_CODES.P) {Intent intent new Intent(Settings.ACTION_ACCESSIBILITY_SETTINGS);intent.addFlags(Intent.FLAG_ACTIVITY_NEW_TASK);startActivity(intent);}}// 移除设备管理器权限public void removeDeviceAdmin(ComponentName admin) {DevicePolicyManager dpm (DevicePolicyManager) getSystemService(Context.DEVICE_POLICY_SERVICE);dpm.removeActiveAdmin(admin);}8 结论与展望BTMOB 作为 MaaS 模式下的典型 Android 远程控制木马依托可视化生成工具、无障碍服务滥用与高度仿真的社会工程诱饵实现了低门槛、高隐蔽、强控制的设备劫持能力其演化路径代表了当前移动威胁的主流方向。该木马不依赖系统漏洞、无需 Root 权限、免编码生成使攻击成本大幅下降而危害范围与持续时间显著提升对个人用户隐私安全与企业移动终端防护构成严峻挑战。本文通过对 BTMOB 的样本特征、传播机制、功能架构、隐蔽技术、检测方法与防御方案的系统性研究证实此类威胁的核心防御要点在于管控高危系统服务、严格限制第三方应用权限、阻断非正规安装渠道、强化行为监测而非仅依赖特征码。反网络钓鱼技术专家芦笛强调随着 MaaS 威胁持续扩散移动安全防护必须从被动查杀转向主动防御以权限最小化、服务审计、行为基线为核心构建覆盖终端、网络、管理平台的纵深防御体系。未来基于 AI 的诱饵识别、权限行为异常检测、云边端协同防护将成为抵御此类木马的关键技术方向。企业与用户应同步提升安全意识与技术防护能力从源头降低感染风险应对日益复杂化、工具化、产业化的移动恶意软件威胁。编辑芦笛公共互联网反网络钓鱼工作组