近几个月出现了一场复杂的安卓恶意软件攻击活动，该活动以孟加拉国学生为攻击目标，将恶意软件伪装成合法的奖学金申请应用程序。 这些诈骗应用程序打着 “孟加拉国教育委员会” 的幌子，承诺为学生提供经济资助，并诱导毫无防备的用户通过短链接下载 APK 安装包。 一旦安装，该恶意软件会秘密窃取用户的个人和财务信息、拦截短信，甚至滥用设备权限进行未授权的银行交易。 该恶意软件在 VirusTotal（病毒检测平台）上的检测率较低，这表明发起这场攻击活动的威胁者在规避传统安全防护措施方面投入了大量精力。 攻击初期主要依赖 “短信钓鱼（smishing）” 活动：学生收到包含链接的短信，点击后会被重定向至恶意 APK 托管网站，例如 appsloads.top 和 downloadapp.website。 “奖学金申请” 这一诱饵 —— 搭配官方标识和学术术语 —— 会降低用户的警惕性，增加恶意软件的安装概率。 应用程序安装完成后，会提示受害者通过谷歌（Google）或脸书（Facebook）账号登录，并要求输入敏感信息，包括全名、所属院系及所在院校。 网络安全公司 Cyble 的分析师指出，攻击初期的这种社会工程学手段至关重要：既能建立用户信任，又能收集后续攻击所需的信息。 窃取完账号凭证后，恶意软件会进一步请求高风险权限，包括 “辅助功能服务（Accessibility Service）”“短信访问权限”“悬浮窗权限” 和 “通话管理权限”。 研究人员发现，一旦获得这些权限，该应用程序会注册一个 “短信广播接收器（SMSBroadcastReceiver）”，用于捕获包含孟加拉国主流银行关键词（如 “bkash”“NAGAD”“MYGP”）及特定 USSD 服务代码的 incoming 短信。 随后，被拦截的短信会被转发至一个托管在 Firebase 平台的命令与控制（C2）服务器，攻击者可通过该服务器远程协调后续恶意活动。 成功提升权限后，这款名为 “SikkahBot” 的恶意软件会进入最危险的阶段：自动执行银行交易。 该恶意软件会滥用 “辅助功能服务”，持续监控前台运行的应用程序；当检测到 bKash、NAGAD、达卡银行（Dutch-Bangla Bank）等目标银行应用时，会从 C2 服务器获取一次性密码（PIN）。 以下简短代码片段展示了其注入用户输入的过程： java

AccessibilityNodeInfo node = rootNode.findFocus(AccessibilityNodeInfo.FOCUS_INPUT);
Bundle args = new Bundle();
args.putCharSequence(AccessibilityNodeInfo.ACTION_ARGUMENT_SET_TEXT_CHARSEQUENCE, pin);
node.performAction(AccessibilityNodeInfo.ACTION_SET_TEXT, args);
node.performAction(AccessibilityNodeInfo.ACTION_CLICK);

通过这一程序，恶意软件可在无需用户交互的情况下自动完成登录。 （拨打 USSD 代码（来源：Cyble）

若目标银行应用未处于活跃状态，恶意软件会执行从服务器接收到的 USSD 代码，自动填充输入框，并点击 USSD 对话框中 “发送（SEND）” 或 “确认（OK）” 等按钮，从而在无需联网的情况下发起资金转账（见图 8—— 拨打 USSD 代码）。

感染机制与持久化策略

SikkahBot 的感染机制结合了社会工程学手段与隐蔽的权限滥用行为。

恶意 APK 初次安装后，会将自身 APK 文件复制到隐藏目录，并注册为 “设备管理员”—— 这意味着用户尝试卸载时，会触发管理员锁定通知，阻碍卸载操作。

它还会在 AndroidManifest.xml（安卓应用配置文件）中注入 “接收器组件（receiver components）”，确保设备重启后仍能持续运行；同时会定期与 Firebase 上的 C2 端点（https://update-app-sujon-default-rtdb.firebaseio.com）通信，获取新的攻击模块。

（新旧变种对比图（来源：Cyble）

通过滥用 “辅助功能服务”，即便有安全意识的用户禁用了该恶意软件的相关服务，它也能重新启用这些服务。

“设备管理员权限持久化”“配置文件声明接收器” 与 “定期 C2 通信” 的组合，使得 SikkahBot 极难被清除和检测。