#012 · 样本分析
多 Agent 并行分析 Android 银行木马
分析人员基于澜砥 N2.5 模型驱动的 AVL Code,采用多 Agent 并行分析某恶意安卓 APP,确认其为仿冒正常应用的 Android 银行木马。
生成依据:AVL Code + 澜砥大模型
Android 银行木马支付钓鱼覆盖攻击OTP 窃取多 Agent 并行分析
案例概述
本案例针对某恶意安卓 APP,基于澜砥 N2.5 模型驱动的 AVL Code 平台,采用多 Agent 并行分析在约 95 秒内完成全流程深度分析:该木马伪装为正常应用,内置 14 个以上针对中国和印度银行/支付平台的钓鱼界面,通过覆盖攻击、WebView 中间人攻击、短信拦截窃取 OTP 等手段窃取支付凭证,并具备反卸载持久化、文件窃取、多 DEX 混淆与高熵加密等对抗特征,威胁等级严重(Critical)。
核心成果
- 完整揭示 7 大恶意功能,精确映射 14 个针对中国与印度银行/支付平台的攻击目标
- 提取完整 IOC 清单,产出可直接部署于检测防线的 YARA 检测规则
- 多 Agent 并行分析约 95 秒完成全流程深度分析,定性为威胁等级严重(Critical)的 Android 银行木马
技术亮点
多 Agent 并行分析熵值驱动的混淆检测布局文件名语义推断覆盖攻击与 OTP 窃取还原威胁情报关联
落地价值
本案例产出的 IOC 清单和 YARA 规则可直接部署于检测防线实现实时拦截,揭示的攻击手法可作为防护策略优化依据;多 Agent 并行分析工作流可作为标准化方法论复用于同类恶意软件的快速研判,提升威胁响应效率。
