#012 · 樣本分析

多 Agent 並行分析 Android 銀行木馬

分析人員基於瀾砥 N2.5 模型驅動的 AVL Code,採用多 Agent 並行分析某惡意安卓 APP,確認其為仿冒正常應用的 Android 銀行木馬。

生成依據:AVL Code + 瀾砥大模型

Android 銀行木馬支付釣魚覆蓋攻擊OTP 竊取多 Agent 並行分析

案例概述

本案例針對某惡意安卓 APP,基於瀾砥 N2.5 模型驅動的 AVL Code 平台,採用多 Agent 並行分析在約 95 秒內完成全流程深度分析:該木馬偽裝為正常應用,內建 14 個以上針對中國和印度銀行/支付平台的釣魚介面,透過覆蓋攻擊、WebView 中間人攻擊、簡訊攔截竊取 OTP 等手段竊取支付憑證,並具備反解除安裝持久化、檔案竊取、多 DEX 混淆與高熵加密等對抗特徵,威脅等級嚴重(Critical)。

核心成果

  • 完整揭示 7 大惡意功能,精確對應 14 個針對中國與印度銀行/支付平台的攻擊目標
  • 擷取完整 IOC 清單,產出可直接部署於檢測防線的 YARA 檢測規則
  • 多 Agent 並行分析約 95 秒完成全流程深度分析,定性為威脅等級嚴重(Critical)的 Android 銀行木馬

技術亮點

多 Agent 並行分析熵值驅動的混淆檢測版面配置檔名語意推斷覆蓋攻擊與 OTP 竊取還原威脅情報關聯

落地價值

本案例產出的 IOC 清單和 YARA 規則可直接部署於檢測防線實現即時攔截,揭示的攻擊手法可作為防護策略最佳化依據;多 Agent 並行分析工作流可作為標準化方法論複用於同類惡意軟體的快速研判,提升威脅回應效率。

相關產物

會話回放與報告為簡體中文原始記錄 · 生成依據:AVL Code + 瀾砥大模型