BankBot木马正滥用Android辅助功能（Accessibility），试图安装未经用户许可的恶意程序。

BankBot木马隐藏在Google Play 上两个应用程序中，应用 “Bubble Shooter Wild Life”宣称是一款“趣味横生”的手机游戏；应用 “Earn Real Money Gift Cards”则声称用户可免费赚取现金礼品卡。

目前，这两款应用程序的安装次数已近5000次。

8月21日，Zscaler威胁研究人员分析应用“Bubble Shooter Wild Life”后发现，这款应用使用混淆器技术隐藏恶意目的。被解密的字符串显示，这款应用启动时会请求许可开启“允许在其它应用上显示内容”（Draw Over Other Apps）的功能。获取许可后，向用户显示虚假信息欺骗用户允许应用程序启用辅助功能之前，这款应用会先等待20分钟，从而有效避免安全检测。

一旦授权成功，BankBot木马会设法安装a/sdcard/Download/app.apk file。

Zscaler研究人员高拉夫·辛德详细阐述了这款木马的活动：

这款恶意软件滥用辅助功能自动安装APK文件。BankBot首先会试图直接安装这个APK文件，但由于用户禁用了“安装未知来源的应用”，安装以失败告终。因此，这款应用程序会自行打开“设置”菜单，启用“安装未知来源的应用”，之后重启app.apk安装过程，接受这款应用的所有许可权限，并成功安装应用。

SfyLabs此后不久也检测到了这两款应用，SfyLabs认为这两款应用仍在开发阶段，不久的将来可能会出现更多恶意版本。

此类攻击提醒Android用户仅安装Google Play Store可信开发者发布的应用程序，除此之外，还应拒绝安装任何发送非必要请求许可以访问辅助功能的应用。