H4N1K/Yara-rule-TaxiSpy-Android-Banking-RAT

# TaxiSpy Android Banking RAT – YARA 规则 ## 概述 本仓库包含一个 YARA 规则，旨在检测 **TaxiSpy Android Banking RAT**，这是一种针对俄罗斯用户的恶意 Android 恶意软件家族。该恶意软件能够窃取银行凭证、拦截短信，并与远程命令与控制 (C2) 基础设施进行通信。 该规则识别了 TaxiSpy 恶意软件样本中发现的特定指标，包括包名、硬编码的 C2 基础设施、加密密钥和编码配置模式。 ## YARA 规则 规则名称：`TaxiSpy_Android_Banking_RAT` 作者：Cyfirma Research 平台：Android 日期：2026-03-02 ## 检测逻辑 该规则通过验证 ZIP 头文件魔数 (`PK\x03\x04`) 来检查 Android APK 文件。然后搜索已知的 TaxiSpy 指标，例如： * 可疑的 Android 包名 * 硬编码的命令与控制 (C2) IP 地址 * 嵌入的 Worker 认证密钥 * 用于 Firebase 和 C2 通信的 XOR 编码配置模式 ## 使用的指标 **包名** * `ru.y34tuy.t8595` **C2 基础设施** * `193.233.112.229` **Worker 密钥** * `9bc096a5f4ec7ba133d743cbaf4b8a2e` **编码配置模式** * Firebase XOR 模式 * C2 XOR 模式 ## 规则 ``` rule TaxiSpy_Android_Banking_RAT { meta: author = "Cyfirma_Research" description = "Detects TaxiSpy Android Banking RAT targeting Russian users" date = "2026-03-02" platform = "Android" hash = "67d5d8283346f850eb560f10424ea5a9ccdca5e6769fbbbf659a3e308987cafd" strings: $apk_package = "ru.y34tuy.t8595" ascii $c2_ip = "193.233.112.229" ascii $worker_key = "9bc096a5f4ec7ba133d743cbaf4b8a2e" ascii $firebase_xor = { 3A 7F B2 1D E9 54 C8 6B } $c2_xor = { B2 1F CC E3 6A 7E 71 F4 0A C0 1D 78 7B 4B 1B 15 2A 2F 24 20 33 1C } condition: uint32(0) == 0x504B0304 and any of ($apk_package, $c2_ip, $worker_key) or any of ($firebase_xor, $c2_xor) } ``` ## 用法 使用 YARA 扫描 APK 样本： ``` yara TaxiSpy_Android_Banking_RAT.yar sample.apk ``` ## 免责声明 本规则仅供**恶意软件研究、威胁狩猎和防御性安全目的使用**。 ## 作者 Cyfirma Research

标签：AMSI绕过, C2通信, DNS信息、DNS暴力破解, DNS通配符暴力破解, SMS拦截, TaxiSpy, XOR编码, YARA规则, 云安全监控, 俄罗斯, 威胁检测, 安卓木马, 样本识别, 目录枚举, 移动安全, 网络安全, 自定义DNS解析器, 覆盖攻击, 辅助功能滥用, 远程访问木马, 银行恶意软件, 隐私保护, 静态分析