Recientes análisis de detección de amenazas en Brasil han identificado el BTMOB, un troyano de acceso remoto (RAT) para Android que, aunque no se destaca por su volumen de detecciones, representa un riesgo significativo debido al daño potencial que puede causar. Su combinación de entrega a través de phishing, herramientas prefabricadas para la creación de aplicaciones y capacidades de toma de control del dispositivo lo convierten en una amenaza que se debe vigilar más allá de Brasil y América Latina.
Descrito por primera vez en febrero de 2025, BTMOB ha evolucionado a partir del malware SpySolr. A diferencia de los troyanos bancarios, que buscan solo robar credenciales financieras o interceptar transacciones, BTMOB permite a los atacantes exfiltrar una variedad de datos sensibles, capturar pantallas y grabar la actividad en el dispositivo, y finalmente tomar el control remoto del mismo. Este RAT se distribuye con una interfaz de creación de APK, permitiendo que cualquier persona genere nuevas cargas útiles y adapte los cebos de phishing para regiones específicas sin necesidad de conocimientos de programación.
El proceso de propagación de BTMOB inicia típicamente con técnicas de ingeniería social comunes. Los operadores envían a las víctimas a sitios web de phishing que imitan servicios de streaming, plataformas de minería de criptomonedas o otros servicios en línea familiarizados. Desde allí, se les incita a instalar un APK malicioso desde tiendas de aplicaciones falsas que simulan ser repositorios legítimos. Además, los atacantes han sido detectados personalizando sus temas para atraer a regiones específicas.
Una vez instalado, BTMOB busca obtener un acceso amplio al dispositivo, aprovechando los Servicios de Accesibilidad de Android para conseguir permisos elevados sin necesidad de más interacción del usuario. Este malware sigue un modelo de «malware como servicio» (MaaS), siendo comercializado como un producto software y promocionado en páginas web accesibles que dirigen a posibles compradores a operadores en Telegram. La venta se extiende a través de redes sociales, donde varias cuentas en plataformas como X e Instagram están activamente ofreciendo esta herramienta.
A pesar de que el acceso al kit maligno se restringe inicialmente a clientes que pagan, la economía del malware sigue siendo favorable para los atacantes. Un informe contó que una licencia de por vida de $5,000 más una tarifa mensual de soporte se considera baja en comparación con las ganancias que una operación de fraude puede generar. Asimismo, es común que elementos del malware sean compartidos o redistribuidos en mercados secundarios, aumentando su difusión.
Con la aparición de nuevas variantes de forma rápida, se espera un alto turnover de amenazas en el horizonte. Las soluciones de seguridad y las pautas básicas de protección, que incluyen la descarga de aplicaciones solo desde el sitio oficial, la desconfianza ante enlaces sospechosos y el uso de software de seguridad, son fundamentales para combatir BTMOB y otros malware en Android.
Fuente: WeLiveSecurity by eSet.
