Secondo un’analisi dettagliata della società di sicurezza ESET, nelle campagne attive su Brasil è stato rilevato un trojan per Android, denominato BTMOB. Il programma dannoso è in grado di assumere il controllo completo del dispositivo della vittima, eseguendo azioni remote senza consenso. Il rilevamento iniziale di Sua è avvenuto nel febbraio 2025 e da allora il virus ha dimostrato una notevole evoluzione in termini di portata e complessità di funzionamento.
Classificado come RAT, acronimo di “remote access trojan”, BTMOB consente all’aggressore di accedere e utilizzare il cellulare infetto da remoto, rimanendo non rilevabile dall’utente. La funzionalità Essa rappresenta una minaccia significativa, poiché offre al criminale un’ampia capacità di sfruttare i dati e le funzioni del dispositivo. La flessibilità di controllo di BTMOB lo distingue da molti malware finanziari specifici, aumentandone il potenziale di danno.
Como o BTMOB Rat infettano i dispositivi
Il processo di infezione da BTMOB inizia con la diffusione di collegamenti a siti Web falsi, che spesso simulano piattaforme di streaming o servizi di criptovaluta noti. Facendo clic su questi indirizzi, gli utenti vengono reindirizzati a falsi app store progettati per somigliare visivamente a Google Play Store. Nessas fraudolente, la vittima viene indotta con l’inganno a installare un’applicazione dannosa, a quel punto il virus viene introdotto nel dispositivo Android.
Installazione iniziale di Após, BTMOB richiede l’accesso a Serviços da Acessibilidade da Android. L’autorizzazione Essa, originariamente sviluppata per assistere le persone con disabilità nell’uso dei telefoni cellulari, viene sfruttata in modo dannoso dal virus. Ottenendo questo accesso, BTMOB è in grado di aumentare i propri permessi nel sistema e installarsi più profondamente, senza richiedere alcun intervento aggiuntivo da parte dell’utente per continuare il suo funzionamento.
Controle remoto e furto di dati dopo l’infezione
Una volta installato e concesse le autorizzazioni, BTMOB dimostra un’ampia gamma di funzionalità dannose all’interno del dispositivo infetto. Il virus può estrarre dati sensibili, acquisire schermate in tempo reale e registrare l’attività dell’utente, fornendo informazioni preziose ai criminali. Além consente inoltre all’aggressore di utilizzare il cellulare da remoto, eseguendo comandi e controllando funzioni come se fosse lui stesso il proprietario.
Il livello di controllo Este significa che è possibile visualizzare le password, accedere alle applicazioni bancarie e inviare messaggi a nome della vittima a sua insaputa. L’ampiezza delle funzionalità di BTMOB lo rende un virus più versatile e pericoloso, poiché non si limita a un tipo specifico di furto, ma piuttosto al controllo totale del dispositivo e di tutte le informazioni in esso contenute.
Modelo “Malware-as-a-Service” semplifica l’accesso
BTMOB viene venduto secondo il modello MaaS, o “malware-as-a-service”, che consente di acquisirlo e utilizzarlo da individui senza conoscenze tecniche di programmazione. Il modello di business Esse facilita la proliferazione delle truffe rendendo lo strumento accessibile a un pubblico più ampio di criminali. La piattaforma include un’interfaccia per creare nuove applicazioni dannose e adattare le campagne a diversi paesi e destinatari.
Una licenza a vita per BTMOB costa circa 5.000 dollari, con l’aggiunta di un canone mensile per il supporto tecnico. Nel gennaio 2026, i file BTMOB venivano addirittura offerti gratuitamente su un forum del dark web, prima che il servizio fosse disattivato. Il malware viene promosso attivamente su canali aperti in Internet, comprese pagine promozionali e profili sui social network come X e Instagram, che indirizzano i potenziali acquirenti a un operatore tramite Telegram.
Campanhas rilevato su América Latina
La sicurezza Pesquisadores ha già registrato campagne BTMOB su América Latina, con casi degni di nota su Argentina. Nesses, il virus è stato adattato per impersonare enti governativi argentini, come le autorità fiscali e doganali. L’imitazione dell’identità visiva di queste istituzioni mira ad aumentare la credibilità delle truffe, inducendo con l’inganno gli utenti locali a installare l’applicazione dannosa.
ESET identifica la versione principale del virus come MSIL/BtmobRat, mentre le sue varianti per Android sono classificate come Android/Spy.Agent.EED, Android/Spy.Agent.EIJ e Android/Spy.Agent.EIK. Nel febbraio 2025 la società Cyble ha segnalato il ritrovamento di circa 15 campioni della versione 2.5 del virus in sole due settimane, evidenziando l’attività e la rapida diffusione del malware.
Protezione e prevenzione virus Medidas
La raccomandazione principale per evitare l’infezione da BTMOB è scaricare le applicazioni esclusivamente tramite lo store ufficiale Google Play. Sites che offrono APK al di fuori di questa piattaforma sono i principali punti di ingresso di virus e altre minacce digitali. Fare attenzione quando si installano app da fonti sconosciute è essenziale per la sicurezza del dispositivo.
È fondamentale diffidare dei collegamenti ricevuti tramite e-mail, app di messaggistica come WhatsApp, social media o pubblicità online, anche se sembrano provenire da fonti legittime. L’uso continuo di un’app di sicurezza sul telefono può aiutare a rilevare e neutralizzare le minacce prima che causino danni. Empresas e le organizzazioni devono implementare e applicare policy di sicurezza informatica, istruendo i propri dipendenti sulle precauzioni necessarie, poiché un singolo download dannoso può compromettere i dati aziendali sensibili.
- App Baixar solo dal Google Play ufficiale.
- Desconfiar di collegamenti e allegati sospetti tramite e-mail, WhatsApp o social media.
- Manter un’applicazione di sicurezza aggiornata sui telefoni cellulari.
- Verificar i permessi richiesti dalle nuove applicazioni prima di concederli.
- Dipendenti di Orientar sulle migliori pratiche di sicurezza informatica per proteggere i dati aziendali.
La consapevolezza dei rischi e l’adozione di misure preventive sono essenziali per proteggere le informazioni personali e professionali da minacce come BTMOB Rat. La vigilanza costante e l’aggiornamento del software di sicurezza rappresentano la linea di difesa più efficace contro questi attacchi sofisticati.