Tietoturvayhtiö ESETin yksityiskohtaisen analyysin mukaan Android:n troijalainen, nimeltään BTMOB, havaittiin Brasil:n aktiivisissa kampanjoissa. Haittaohjelma pystyy ottamaan uhrin laitteen täydellisesti hallintaansa ja suorittamaan etätoimintoja ilman lupaa. Sua:n ensimmäinen havaitseminen tapahtui helmikuussa 2025, ja sen jälkeen virus on osoittanut huomattavaa kehitystä toiminnan laajuuden ja monimutkaisuuden suhteen.
Classificado RAT:na, lyhenne sanoista “etäkäyttö troijalainen”, BTMOB mahdollistaa hyökkääjän pääsyn tartunnan saaneeseen matkapuhelimeen ja käyttää sitä etäältä, jolloin käyttäjä ei voi havaita sitä. Essa-toiminnallisuus on merkittävä uhka, sillä se antaa rikolliselle laajan mahdollisuuden hyödyntää laitteen tietoja ja toimintoja. BTMOB:n ohjauksen joustavuus erottaa sen monista erityisistä taloudellisista haittaohjelmista, mikä lisää sen vahinkopotentiaalia.
Como tai BTMOB Rat saastuttaa laitteet
BTMOB-tartuntaprosessi alkaa linkkien levittämisestä väärennetyille verkkosivustoille, jotka usein simuloivat tunnettuja suoratoistoalustoja tai kryptovaluuttapalveluita. Napsauttamalla näitä osoitteita käyttäjät ohjataan väärennettyihin sovelluskauppoihin, jotka on suunniteltu visuaalisesti muistuttamaan Google Play Store:ää. Nessas petollisilla sivuilla uhri huijataan asentamaan haitallinen sovellus, jolloin virus joutuu Android-laitteeseen.
Após alkuasennuksessa BTMOB pyytää pääsyä Serviços:ään Acessibilidade:ltä Android:ltä. Virus käyttää haitallisesti Essa-lupaa, joka on alun perin kehitetty auttamaan vammaisia käyttämään matkapuhelimia. Saatuaan tämän käyttöoikeuden BTMOB pystyy lisäämään oikeuksiaan järjestelmässä ja asentamaan itsensä syvemmälle ilman, että käyttäjä tarvitsee lisätoimia toiminnan jatkamiseksi.
Etä-Controle ja tietovarkaus tartunnan jälkeen
Kun BTMOB on asennettu ja myönnetty käyttöoikeudet, se osoittaa laajan valikoiman haitallisia ominaisuuksia tartunnan saaneessa laitteessa. Virus voi poimia arkaluonteisia tietoja, kaapata näyttöjä reaaliajassa ja tallentaa käyttäjien toimintaa, tarjoten arvokasta tietoa rikollisille. Além antaa hyökkääjälle mahdollisuuden käyttää matkapuhelinta etänä, suorittaa komentoja ja ohjata toimintoja ikään kuin hän olisi itse omistaja.
Este-hallintataso tarkoittaa, että salasanoja voidaan tarkastella, pankkisovelluksia voidaan käyttää ja viestejä voidaan lähettää uhrin nimissä hänen tietämättään. BTMOB:n toiminnallisuuden laajuus tekee siitä monipuolisemman ja vaarallisemman viruksen, sillä se ei rajoitu tiettyyn varkaustyyppiin, vaan laitteen ja kaiken sen sisältämän tiedon täydelliseen hallintaan.
Modelo “Malware-as-a-Service” helpottaa käyttöä
BTMOB myydään MaaS-mallilla eli “malware-as-a-service”, mikä mahdollistaa sen hankkimisen ja käytön yksityishenkilöille, joilla ei ole teknistä ohjelmointiosaamista. Esse-liiketoimintamalli helpottaa huijausten leviämistä tuomalla työkalun laajemman rikollisjoukon ulottuville. Alusta sisältää käyttöliittymän uusien haitallisten sovellusten luomiseen ja kampanjoiden mukauttamiseen eri maihin ja kohdeyleisöihin.
BTMOB:n elinikäinen lisenssi maksaa noin 5 000 dollaria, ja siihen lisätään kuukausimaksu teknisestä tuesta. Tammikuussa 2026 BTMOB-tiedostoja jopa tarjottiin ilmaiseksi pimeässä verkkofoorumissa, ennen kuin palvelu poistettiin käytöstä. Haittaohjelmaa mainostetaan aktiivisesti Internetin avoimissa kanavissa, mukaan lukien sosiaalisten verkostojen, kuten X ja Instagram, mainossivut ja profiilit, jotka ohjaavat potentiaaliset ostajat operaattorille Telegram:n kautta.
Campanhas havaittu América Latina:ssä
Turvallisuus Pesquisadores on jo tallentanut BTMOB-kampanjoita América Latina:lle, huomattavia tapauksia Argentina:ssä. Nesses-tapauksissa virus mukautettiin esiintymään Argentiinan hallituksen elimiä, kuten vero- ja tulliviranomaisia. Näiden laitosten visuaalisen identiteetin jäljittelyllä pyritään lisäämään huijausten uskottavuutta ja huijaamaan paikallisia käyttäjiä asentamaan haitallinen sovellus.
ESET tunnistaa viruksen pääversioksi MSIL/BtmobRat, kun taas sen muunnelmat Android:lle on luokiteltu Android/Spy.Agent.EED, Android/Spy.Agent.EIJ ja Android/Spy.Agent.EIK. Helmikuussa 2025 yritys Cyble ilmoitti löytäneensä noin 15 näytettä viruksen versiosta 2.5 vain kahdessa viikossa, mikä korosti haittaohjelman aktiivisuutta ja nopeaa leviämistä.
Medidas virustorjunta ja -torjunta
Tärkein suositus BTMOB-tartunnan välttämiseksi on ladata sovelluksia yksinomaan virallisen Google Play-kaupan kautta. Tämän alustan ulkopuolisia APK:ita tarjoavat Sites ovat virusten ja muiden digitaalisten uhkien tärkeimmät sisääntulokohdat. Varovaisuus asennettaessa sovelluksia tuntemattomista lähteistä on välttämätöntä laitteen turvallisuuden kannalta.
On erittäin tärkeää olla varovainen sähköpostilla, viestisovelluksissa, kuten WhatsAppissa, sosiaalisessa mediassa tai verkkomainoksissa vastaanotettujen linkkien suhteen, vaikka ne näyttäisivät tulevan laillisista lähteistä. Puhelimen suojaussovelluksen jatkuva käyttö voi auttaa havaitsemaan ja neutraloimaan uhkia ennen kuin ne aiheuttavat haittaa. Empresas:n ja organisaatioiden on otettava käyttöön ja valvottava kyberturvallisuuskäytäntöjä ja koulutettava työntekijöitään tarvittaviin varotoimiin, koska yksi haitallinen lataus voi vaarantaa arkaluontoiset yritystiedot.
- Baixar-sovellukset vain viralliselta Google Play:ltä.
- Desconfiar epäilyttäviä linkkejä ja liitteitä sähköpostitse, WhatsAppilla tai sosiaalisessa mediassa.
- Manter päivitetty tietoturvasovellus matkapuhelimiin.
- Verificar uusien sovellusten pyytämät käyttöoikeudet ennen niiden myöntämistä.
- Orientar:n työntekijät kertovat parhaista kyberturvallisuuskäytännöistä yritystietojen suojaamiseksi.
Tietoisuus riskeistä ja ennaltaehkäisevien toimenpiteiden toteuttaminen ovat olennaisia henkilökohtaisten ja ammatillisten tietojen suojaamiseksi uhilta, kuten BTMOB Rat. Jatkuva valppaus ja tietoturvaohjelmistojen päivitys ovat tehokkain puolustuslinja näitä kehittyneitä hyökkäyksiä vastaan.