En trojan för Android, kallad BTMOB, upptäcktes i aktiva kampanjer på Brasil, enligt en detaljerad analys av säkerhetsföretaget ESET. Det skadliga programmet kan ta fullständig kontroll över offrets enhet och utföra fjärråtgärder utan samtycke. Den första upptäckten av Sua inträffade i februari 2025, och sedan dess har viruset visat en anmärkningsvärd utveckling när det gäller omfattning och komplexitet i driften.
Classificado som en RAT, förkortning för “trojan för fjärråtkomst”, BTMOB tillåter angriparen att komma åt och fjärrstyra den infekterade mobiltelefonen, förbli oupptäckbar för användaren. Essa-funktionaliteten utgör ett betydande hot, eftersom det ger brottslingen omfattande möjligheter att utnyttja enhetens data och funktioner. BTMOB:s kontrollflexibilitet skiljer den från många specifika finansiella skadliga program, vilket ökar dess skadepotential.
Como eller BTMOB Rat infekterar enheter
BTMOB-infektionsprocessen börjar med spridning av länkar till falska webbplatser, som ofta simulerar välkända streamingplattformar eller kryptovalutatjänster. Genom att klicka på dessa adresser omdirigeras användare till falska appbutiker utformade för att visuellt likna Google Play Store. Nessas bedrägliga sidor, offret luras att installera ett skadligt program, varvid viruset introduceras på Android-enheten.
Após initial installation, BTMOB begär åtkomst till Serviços från Acessibilidade från Android. Essa-tillstånd, som ursprungligen utvecklades för att hjälpa personer med funktionshinder att använda mobiltelefoner, utnyttjas med uppsåt av viruset. Genom att erhålla denna åtkomst kan BTMOB öka sina behörigheter i systemet och installera sig djupare, utan att kräva ytterligare ingripande från användaren för att fortsätta sin drift.
Fjärrstyrd Controle och datastöld efter infektion
När BTMOB väl har installerats och beviljats behörigheter visar det ett brett utbud av skadliga funktioner inom den infekterade enheten. Viruset kan extrahera känslig data, fånga skärmar i realtid och registrera användaraktivitet, vilket ger värdefull information till brottslingar. Além tillåter också angriparen att fjärrstyra mobiltelefonen, utföra kommandon och kontrollera funktioner som om han var ägaren själv.
Este kontrollnivå innebär att lösenord kan ses, bankapplikationer kan nås och meddelanden kan skickas i offrets namn utan deras vetskap. BTMOB:s breda funktionalitet gör det till ett mer mångsidigt och farligt virus, eftersom det inte är begränsat till en specifik typ av stöld, utan snarare total kontroll över enheten och all information som finns i den.
Modelo “Malware-as-a-Service” gör åtkomsten enklare
BTMOB säljs under MaaS-modellen, eller “malware-as-a-service”, vilket gör att den kan förvärvas och användas av individer utan tekniska programmeringskunskaper. Esse affärsmodell underlättar spridningen av bedrägerier genom att göra verktyget tillgängligt för en bredare publik av kriminella. Plattformen innehåller ett gränssnitt för att skapa nya skadliga applikationer och anpassa kampanjer för olika länder och målgrupper.
En livstidslicens för BTMOB kostar cirka $5 000, med tillägg av en månadsavgift för teknisk support. I januari 2026 erbjöds BTMOB-filer till och med gratis på ett mörkt webbforum, innan tjänsten avaktiverades. Skadlig programvara marknadsförs aktivt på öppna kanaler på internet, inklusive reklamsidor och profiler på sociala nätverk som X och Instagram, som leder potentiella köpare till en operatör via Telegram.
Campanhas upptäckt på América Latina
Säkerhet Pesquisadores har redan spelat in BTMOB-kampanjer på América Latina, med anmärkningsvärda fall på Argentina. Nesses incidenter, viruset anpassades för att imitera argentinska statliga organ, såsom skatte- och tullmyndigheter. Imitationen av dessa institutioners visuella identitet syftar till att öka trovärdigheten för bedrägerierna och lura lokala användare att installera den skadliga applikationen.
ESET identifierar huvudversionen av viruset som MSIL/BtmobRat, medan dess varianter för Android är kategoriserade som Android/Spy.Agent.EED, Android/Spy.Agent.EIJ och Android/Spy.Agent.EIK. I februari 2025 rapporterade företaget Cyble upptäckten av cirka 15 prover av version 2.5 av viruset på bara två veckor, vilket lyfte fram aktiviteten och den snabba spridningen av skadlig programvara.
Medidas virusskydd och förebyggande
Huvudrekommendationen för att undvika infektion av BTMOB är att ladda ner applikationer exklusivt via den officiella Google Play-butiken. Sites som erbjuder APK-filer utanför denna plattform är de viktigaste ingångspunkterna för virus och andra digitala hot. Försiktighet när du installerar appar från okända källor är avgörande för enhetens säkerhet.
Det är viktigt att vara försiktig med länkar som tas emot via e-post, meddelandeappar som WhatsApp, sociala medier eller onlineannonser, även om de verkar komma från legitima källor. Kontinuerlig användning av en säkerhetsapp på din telefon kan hjälpa till att upptäcka och neutralisera hot innan de orsakar skada. Empresas och organisationer måste implementera och upprätthålla cybersäkerhetspolicyer, utbilda sina anställda om nödvändiga försiktighetsåtgärder, eftersom en enda skadlig nedladdning kan äventyra känslig företagsdata.
- Baixar-appar endast från den officiella Google Play.
- Desconfiar av misstänkta länkar och bilagor via e-post, WhatsApp eller sociala medier.
- Manter en uppdaterad säkerhetsapplikation på mobiltelefoner.
- Verificar de behörigheter som efterfrågas av nya applikationer innan de beviljas.
- Orientar anställda om bästa cybersäkerhetspraxis för att skydda företagsdata.
Medvetenhet om riskerna och antagandet av förebyggande åtgärder är avgörande för att skydda personlig och professionell information mot hot som BTMOB Rat. Konstant vaksamhet och uppdatering av säkerhetsprogramvara är den mest effektiva försvarslinjen mot dessa sofistikerade attacker.