Güvenlik şirketi ESET tarafından yapılan ayrıntılı bir analize göre, Brasil üzerindeki aktif kampanyalarda Android için BTMOB adı verilen bir Truva atı tespit edildi. Kötü amaçlı program, kurbanın cihazının tam kontrolünü ele geçirebilir ve rızası olmadan uzaktan eylemler gerçekleştirebilir. Sua’nin ilk tespiti Şubat 2025’te gerçekleşti ve o zamandan beri virüs, operasyonun kapsamı ve karmaşıklığı açısından dikkate değer bir evrim gösterdi.
RAT olarak Classificado, “uzaktan erişim trojanı”nın kısaltması olan BTMOB, saldırganın virüslü cep telefonuna uzaktan erişmesine ve kullanıcı tarafından tespit edilemeyecek şekilde onu çalıştırmasına olanak tanır. Essa işlevselliği, suçluya cihazın verilerinden ve işlevlerinden yararlanma konusunda kapsamlı bir yetenek sağladığından önemli bir tehdit oluşturmaktadır. BTMOB’un kontrol esnekliği, onu birçok spesifik finansal kötü amaçlı yazılımdan ayırıyor ve hasar potansiyelini artırıyor.
Como veya BTMOB Rat cihazlara bulaşıyor
BTMOB enfeksiyon süreci, genellikle iyi bilinen yayın platformlarını veya kripto para birimi hizmetlerini simüle eden sahte web sitelerine bağlantıların yayılmasıyla başlar. Kullanıcılar bu adreslere tıklandığında görsel olarak Google Play Store’ye benzeyecek şekilde tasarlanmış sahte uygulama mağazalarına yönlendiriliyor. Nessas sahte sayfalarında, kurban kötü amaçlı bir uygulama yüklemesi için kandırılır ve bu noktada virüs Android cihazına bulaşır.
Após ilk kurulumu, BTMOB, Android’den Acessibilidade’den Serviços’ye erişim ister. Başlangıçta engelli kişilerin cep telefonu kullanmalarına yardımcı olmak için geliştirilen Essa izni, virüs tarafından kötü amaçlarla kullanılıyor. BTMOB, bu erişimi elde ederek, kullanıcıdan herhangi bir ek müdahaleye ihtiyaç duymadan, işleyişine devam edebilmesi için sistemdeki izinlerini arttırıp, kendisini daha derine kurabilmektedir.
Uzaktan Controle ve enfeksiyondan sonra veri hırsızlığı
Kurulduktan ve izinler verildikten sonra BTMOB, virüslü cihazda çok çeşitli kötü amaçlı yetenekler gösterir. Virüs, hassas verileri çıkarabilir, ekranları gerçek zamanlı olarak yakalayabilir ve kullanıcı etkinliğini kaydederek suçlulara değerli bilgiler sağlayabilir. Além ayrıca saldırganın cep telefonunu uzaktan çalıştırmasına, komutları yürütmesine ve işlevleri sanki sahibi kendisiymiş gibi kontrol etmesine olanak tanıyor.
Este seviyesi kontrol, mağdurun bilgisi dışında şifrelerin görüntülenebilmesi, bankacılık uygulamalarına erişilebilmesi ve mağdurun adına mesaj gönderilebilmesi anlamına geliyor. BTMOB’un geniş kapsamlı işlevselliği onu daha çok yönlü ve tehlikeli bir virüs haline getiriyor; çünkü belirli bir hırsızlık türüyle sınırlı değil, cihazın ve içindeki tüm bilgilerin tam kontrolüne sahip.
Modelo “Hizmet Olarak Kötü Amaçlı Yazılım” erişimi kolaylaştırır
BTMOB, MaaS modeli veya “hizmet olarak kötü amaçlı yazılım” adı altında satılmaktadır ve teknik programlama bilgisi olmayan kişiler tarafından edinilip kullanılmasına olanak sağlamaktadır. Esse iş modeli, aracın daha geniş bir suçlu kitlesinin kullanımına sunulmasını sağlayarak dolandırıcılığın yayılmasını kolaylaştırır. Platform, yeni kötü amaçlı uygulamalar oluşturmaya ve kampanyaları farklı ülkelere ve hedef kitlelere göre uyarlamaya yönelik bir arayüz içeriyor.
BTMOB’un ömür boyu lisansının maliyeti, teknik destek için aylık ücretin eklenmesiyle yaklaşık 5.000 ABD dolarıdır. Ocak 2026’da, hizmet devre dışı bırakılmadan önce BTMOB dosyaları bir dark web forumunda ücretsiz olarak bile sunuldu. Kötü amaçlı yazılım, potansiyel alıcıları Telegram aracılığıyla bir operatöre yönlendiren X ve Instagram gibi sosyal ağlardaki tanıtım sayfaları ve profiller de dahil olmak üzere internetteki açık kanallarda aktif olarak tanıtılmaktadır.
América Latina’de Campanhas algılandı
Güvenlik Pesquisadores, BTMOB kampanyalarını América Latina’de zaten kaydetmiş olup, Argentina’de dikkate değer vakalar bulunmaktadır. Nesses vakalarında virüs, vergi ve gümrük yetkilileri gibi Arjantin devlet kurumlarının kimliğine bürünecek şekilde uyarlandı. Bu kurumların görsel kimliğinin taklit edilmesi, yerel kullanıcıları kötü amaçlı uygulamayı yüklemeye kandırarak dolandırıcılığın güvenilirliğini artırmayı amaçlıyor.
ESET, virüsün ana sürümünü MSIL/BtmobRat olarak tanımlarken, Android varyantları Android/Spy.Agent.EED, Android/Spy.Agent.EIJ ve Android/Spy.Agent.EIK olarak kategorize edilir. Şubat 2025’te Cyble şirketi, yalnızca iki hafta içinde virüsün 2.5 sürümünün yaklaşık 15 örneğinin keşfedildiğini bildirdi ve bu, kötü amaçlı yazılımın etkinliğini ve hızla yayılmasını vurguladı.
Medidas virüs koruması ve önleme
BTMOB’un bulaşmasını önlemek için ana öneri, uygulamaları yalnızca resmi Google Play mağazası aracılığıyla indirmektir. Bu platformun dışında APK’lar sunan Sites, virüsler ve diğer dijital tehditler için ana giriş noktalarıdır. Bilinmeyen kaynaklardan uygulama yüklerken dikkatli olunması cihazın güvenliği açısından önemlidir.
Meşru kaynaklardan geliyor gibi görünseler bile, e-posta, WhatsApp gibi mesajlaşma uygulamaları, sosyal medya veya çevrimiçi reklamlar yoluyla alınan bağlantılara karşı dikkatli olmak çok önemlidir. Telefonunuzda bir güvenlik uygulamasının sürekli kullanılması, tehditlerin zarar vermeden önce tespit edilmesine ve etkisiz hale getirilmesine yardımcı olabilir. Tek bir kötü amaçlı indirme işlemi hassas kurumsal verileri tehlikeye atabileceğinden, Empresas ve kuruluşların siber güvenlik politikalarını uygulamalı ve uygulatmalı, çalışanlarını gerekli önlemler konusunda eğitmelidir.
- Baixar uygulamaları yalnızca resmi Google Play’den alınır.
- E-posta, WhatsApp veya sosyal medya yoluyla şüpheli bağlantıların ve eklerin Desconfiar.
- Manter cep telefonlarında güncellenmiş bir güvenlik uygulamasıdır.
- Verificar Yeni uygulamaların verilmeden önce talep ettiği izinler.
- Orientar çalışanları, kurumsal verileri korumaya yönelik en iyi siber güvenlik uygulamaları hakkında.
Kişisel ve mesleki bilgilerin BTMOB Rat gibi tehditlere karşı korunması için risklerin farkındalığı ve önleyici tedbirlerin alınması esastır. Sürekli dikkatli olmak ve güvenlik yazılımını güncellemek, bu karmaşık saldırılara karşı en etkili savunma hattıdır.