Um trojan para Android, denominado BTMOB, foi detectado em campanhas ativas no Brasil, conforme análise detalhada da empresa de segurança ESET. O programa malicioso é capaz de assumir o controle completo do aparelho da vítima, realizando ações remotas sem consentimento. Sua detecção inicial ocorreu em fevereiro de 2025, e desde então, o vírus demonstrou uma evolução notável em termos de alcance e complexidade de operação.
Classificado como um RAT, sigla para “remote access trojan”, o BTMOB permite que o atacante acesse e opere o celular infectado à distância, permanecendo indetectável para o usuário. Essa funcionalidade representa uma ameaça significativa, pois confere ao criminoso vasta capacidade de exploração dos dados e funções do dispositivo. A flexibilidade de controle do BTMOB o distingue de muitos malwares financeiros específicos, ampliando seu potencial de dano.
Como o BTMOB Rat infecta aparelhos
O processo de infecção do BTMOB começa com a disseminação de links para sites falsos, que frequentemente simulam plataformas de streaming ou serviços de criptomoedas conhecidos. Ao clicar nesses endereços, os usuários são redirecionados para lojas de aplicativos falsas, projetadas para se assemelhar visualmente ao Google Play Store. Nessas páginas fraudulentas, a vítima é induzida a instalar um aplicativo malicioso, momento em que o vírus é introduzido no dispositivo Android.
Após a instalação inicial, o BTMOB solicita acesso aos Serviços de Acessibilidade do Android. Essa permissão, originalmente desenvolvida para auxiliar pessoas com deficiência no uso do celular, é explorada de forma maliciosa pelo vírus. Ao obter esse acesso, o BTMOB consegue elevar suas permissões no sistema e se instalar de maneira mais profunda, sem exigir qualquer intervenção adicional do usuário para continuar sua operação.
Controle remoto e roubo de dados após infecção
Uma vez instalado e com as permissões concedidas, o BTMOB demonstra uma ampla gama de capacidades maliciosas dentro do dispositivo infectado. O vírus consegue extrair dados sensíveis, capturar telas em tempo real e registrar a atividade do usuário, fornecendo informações valiosas aos criminosos. Além disso, permite que o atacante opere o celular remotamente, executando comandos e controlando funções como se fosse o próprio proprietário.
Este nível de controle significa que senhas podem ser visualizadas, aplicativos bancários podem ser acessados e mensagens podem ser enviadas em nome da vítima, sem seu conhecimento. A amplitude de funcionalidades do BTMOB o torna um vírus mais versátil e perigoso, visto que não se limita a um tipo específico de roubo, mas sim ao controle total do aparelho e de todas as informações nele contidas.
Modelo “Malware-as-a-Service” facilita acesso
O BTMOB é comercializado no modelo MaaS, ou “malware-as-a-service”, permitindo que seja adquirido e utilizado por indivíduos sem conhecimento técnico em programação. Esse modelo de negócio facilita a proliferação de golpes, ao tornar a ferramenta acessível a um público mais amplo de criminosos. A plataforma inclui uma interface para criar novos aplicativos maliciosos e adaptar as campanhas para diferentes países e públicos-alvo.
Uma licença vitalícia para o BTMOB custa aproximadamente US$ 5.000, com a adição de uma mensalidade para suporte técnico. Em janeiro de 2026, arquivos do BTMOB chegaram a ser oferecidos gratuitamente em um fórum na dark web, antes de o serviço ser desativado. O malware é ativamente promovido em canais abertos na internet, incluindo páginas de divulgação e perfis em redes sociais como X e Instagram, que direcionam potenciais compradores a um operador via Telegram.
Campanhas detectadas na América Latina
Pesquisadores de segurança já registraram campanhas do BTMOB na América Latina, com casos notáveis na Argentina. Nesses incidentes, o vírus foi adaptado para se passar por órgãos do governo argentino, como autoridades fiscais e aduaneiras. A imitação da identidade visual dessas instituições visa aumentar a credibilidade dos golpes, enganando os usuários locais para que instalem o aplicativo malicioso.
A ESET identifica a versão principal do vírus como MSIL/BtmobRat, enquanto suas variantes para Android são categorizadas como Android/Spy.Agent.EED, Android/Spy.Agent.EIJ e Android/Spy.Agent.EIK. Em fevereiro de 2025, a empresa Cyble reportou a descoberta de cerca de 15 amostras da versão 2.5 do vírus em apenas duas semanas, destacando a atividade e a rápida disseminação do malware.
Medidas de proteção e prevenção contra o vírus
A principal recomendação para evitar a infecção pelo BTMOB é baixar aplicativos exclusivamente através da loja oficial do Google Play. Sites que oferecem APKs fora dessa plataforma são as principais portas de entrada para o vírus e outras ameaças digitais. A cautela ao instalar apps de fontes desconhecidas é fundamental para a segurança do dispositivo.
É crucial desconfiar de links recebidos por e-mail, aplicativos de mensagens como WhatsApp, redes sociais ou anúncios online, mesmo que pareçam vir de fontes legítimas. O uso contínuo de um aplicativo de segurança no celular pode ajudar a detectar e neutralizar ameaças antes que causem danos. Empresas e organizações devem implementar e reforçar políticas de segurança cibernética, orientando seus funcionários sobre as precauções necessárias, já que um único download malicioso pode comprometer dados corporativos sensíveis.
- Baixar aplicativos apenas do Google Play oficial.
- Desconfiar de links e anexos suspeitos via e-mail, WhatsApp ou redes sociais.
- Manter um aplicativo de segurança atualizado no celular.
- Verificar as permissões solicitadas por novos aplicativos antes de concedê-las.
- Orientar funcionários sobre boas práticas de cibersegurança para proteger dados corporativos.
A conscientização sobre os riscos e a adoção de medidas preventivas são essenciais para proteger informações pessoais e profissionais contra ameaças como o BTMOB Rat. A vigilância constante e a atualização de softwares de segurança formam a linha de defesa mais eficaz contra esses ataques sofisticados.