文章总结： 无国界记者组织披露安卓间谍软件ResidentBat，该工具至少自2021年起通过物理接触植入监控白俄罗斯记者。它不利用数字漏洞，却能窃取通话、短信及加密应用数据。该发现揭示了物理访问作为监控路径的现实风险，强调终端安全需防范实体接触。 综合评分： 88 文章分类： 恶意软件,移动安全,威胁情报

最新手机间谍软件ResidentBat曝光

原创

网空闲话

网空闲话plus

2025年12月18日 07:25 北京

2025年12月18日，无国界记者组织（ReportersWithout Borders，RSF）披露，其数字安全实验室在一名白俄罗斯记者的安卓手机中发现了一种此前未被公开记录的间谍软件工具。该工具被命名为ResidentBat。取证分析显示，这并非一次临时或实验性使用，而是一套至少自2021年起 即已投入实际运行的监控工具，其技术设计与部署方式，与近年来广泛讨论的“高端零点击攻击”形成鲜明对照。ResidentBat的重要性，并不体现在技术炫目程度上，而在于它清晰展示了一种被长期忽视、却在现实中高度可行的监控路径：在获得设备物理接触权限的前提下，通过接触式方式完成恶意软件植入，并在之后长期隐蔽运行。这一发现，重新将注意力拉回到一个看似“低技术”、却极具现实威力的安全盲区。

ResidentBat的曝光路径

ResidentBat的发现并非源于大规模监测，而是一次典型的“个体异常触发调查”案例。

参考材料显示，该间谍软件最初是在一名白俄罗斯记者的智能手机中被检测到的。该记者此前曾接受白俄罗斯国家安全委员会的讯问。在讯问过程中，其手机被没收，并被要求在官方人员在场的情况下解锁设备。手机随后被暂时存放于储物柜中。

值得注意的是，参考材料并未声称在这一阶段当事人明确意识到设备遭到干预。真正引发警觉的是几天后：设备中安装的杀毒软件检测到“可疑组件”。这一提示本身并不等同于确认感染，但足以引发进一步核查。

随后，该记者联系了东欧非营利组织RESIDENT.NGO。该组织与无国界记者组织的数字安全实验室（DSL）合作，对设备进行了法证分析。正是在这一阶段，研究人员确认设备中存在一种此前未被记录的间谍软件，并将其命名为ResidentBat。

这一发现路径本身具有重要意义：它说明此类工具并不会主动暴露自身，往往只有在偶然条件下才会被揭示。

并非新部署，而是长期存在

在确认ResidentBat的存在后，RSF的研究人员并未止步于单一设备分析，而是将样本提交至反病毒平台，与历史样本进行比对。结果显示，研究人员识别出了多个高度相似的变种，其中至少一个样本可明确追溯至2021年。

基于这一证据，RSF得出结论：该工具至少已被使用四年之久。参考材料中并未声称这是其最早使用时间，而是谨慎地指出“至少自2021年起”。这一表述本身体现了调查结论的审慎性。

这一时间跨度意味着，ResidentBat并非为某一单一事件临时开发的工具，而更可能已被纳入一套相对稳定的技术体系之中，并在多个场景中反复使用。

典型而全面的终端监控能力

从功能层面看，ResidentBat并不追求“突破性能力”，但其覆盖范围却足以构成全面监控。

RSF的取证结果确认，该软件能够访问以下数据与资源：

*通话记录；

*短信内容；

*加密通信应用中的消息；

*麦克风录音；

*屏幕截图；

*本地存储文件。

这些功能覆盖了记者日常工作与私人生活的关键维度。尤其值得注意的是，对加密通信应用消息的访问能力。参考材料并未显示ResidentBat通过破解加密协议实现这一点，而是通过设备层面权限获取明文内容。

这意味着，一旦设备本身被控制，加密本身并不能阻止信息被读取。这并非加密技术的失败，而是终端安全失守后的必然结果。

ResidentBat的“新”：不依赖漏洞的接触式植入逻辑

ResidentBat与公众熟知的高端间谍软件之间，最关键的差异并不在功能，而在部署路径。

RSF明确指出，ResidentBat不利用数字漏洞。它的安装前提，是安全人员获得对设备的物理访问权限。参考案例中，这一条件出现在讯问场景：设备被没收，且解锁过程发生在官方人员可观察范围内。

取证团队认为，在这一过程中，安全人员可能掌握了解锁方式，并在短暂接触窗口内完成了软件植入。

这一模式的“新”，并不体现在技术复杂性上，而体现在策略选择上：避开远程攻击的不确定性，将风险转移到现实控制场景中。

公民实验室研究人员在评论中指出，这类案例表明，监控并不总是需要零日漏洞。实体控制本身，就是一种攻击面。

隐蔽性与持续性：为何这类工具难以被察觉

从参考材料提供的信息来看，ResidentBat并不会立即引发明显系统异常，也不会强制改变设备使用状态。

在本次案例中，正是由于设备中安装了杀毒软件，异常组件才被检测出来。这种发现路径具有高度偶然性。

如果用户未使用相关安全工具，或未对异常提示保持敏感，类似软件可能会在设备中长期运行而不被察觉。这一点，与其“接触式植入”策略形成了高度互补：一次短暂失控，可能带来长期监控。

此外，RSF指出，目前尚无法确认ResidentBat的开发者身份。其代码中包含英文字符串，显示该工具可能并非为单一国家环境专门开发，而更像是一种可被不同使用方采用的产品。

接触式植入的现实适用性

参考材料同时指出，类似的监控路径并非首次出现。近年来，在塞尔维亚和肯尼亚等地，也出现过记者在接受警方或安全部门讯问后，其手机被植入间谍软件的案例。

此外，公民实验室在2024年12月披露的一起案件中，也记录了在实体拘留后设备被秘密安装监控工具的情况。这些案例共同指向一个现实问题：在现实环境中，设备短暂脱离个人控制的场景并不少见，而正是在这些场景中，终端安全最为脆弱。

平台层面的应对与限制

无国界记者组织已将ResidentBat的分析结果通报给谷歌。参考材料显示，谷歌计划向所有被其识别为此次间谍软件活动目标的用户发送“政府支持的攻击”威胁通知。这一反应表明，尽管ResidentBat不依赖系统漏洞，其行为模式仍可能在平台层面被识别。然而，这种识别往往发生在事后，而非植入当下。

结语

ResidentBat的最新发现，并未展示令人震惊的技术突破，却清晰揭示了一条在现实中行之有效的监控路径：当设备被暂时剥离使用者控制权时，所有基于加密与远程防护的安全假设都可能失效。

这类工具的存在提醒人们，手机安全并不仅仅是软件和漏洞的问题，更是现实使用环境的问题。

ResidentBat并不罕见，它只是被看见了。

参考资源

1、https://therecord.media/spyware-belarus-journalist-rsf

2、https://rsf.org/en/exclusive-rsf-uncovers-new-spyware-belarus

3、https://rsf.org/sites/default/files/medias/file/2025/12/report1.pdf

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网空闲话plus 网空闲话《最新手机间谍软件ResidentBat曝光》