BTMOB: скрытый RAT, проникающий глубоко в устройства Android

В ходе недавнего анализа обнаруженных угроз в Бразилии мы выявили BTMOB — троян удаленного доступа (RAT) для Android, который примечателен не столько количеством обнаружений, сколько ущербом, который он может нанести. Сочетание фишинговой доставки, готовых инструментов для создания приложений и возможностей захвата устройства делает BTMOB угрозой, за которой следует следить далеко за пределами Бразилии или Латинской Америки.

Краткий обзор BTMOB

Впервые описанный в феврале 2025 года, BTMOB является развитием вредоносного ПО SpySolr. В отличие от банковских троянов, которые «только» нацелены на кражу финансовых учетных данных или перехват финансовых транзакций, BTMOB предоставляет злоумышленникам более широкие возможности: вывод различных конфиденциальных данных, создание снимков экрана и запись активности на устройстве, а в конечном итоге — получение удаленного контроля над ним. Этот RAT также продается с интерфейсом APK-билдера, позволяющим любому пользователю быстро создавать новые полезные нагрузки и адаптировать фишинговые приманки для конкретных регионов — и все это без написания кода.

Как распространяется BTMOB?

Неудивительно, что все начинается с обычного социального инжиниринга. Злоумышленники направляют жертв на фишинговые сайты, которые выдают себя за стриминговые сервисы, платформы для майнинга криптовалют или другие знакомые онлайн-сервисы. Оттуда жертв перенаправляют в поддельные магазины приложений, имитирующие легитимные репозитории, и предлагают установить вредоносный APK. Также было замечено, что злоумышленники адаптируют свои приманки под конкретные регионы.

После установки BTMOB стремится получить расширенный доступ к устройству. Как это часто бывает в наши дни, он злоупотребляет службами доступности Android, чтобы получить повышенные права и предоставить себе дальнейший доступ к системе без дополнительного взаимодействия с пользователем.

Поскольку BTMOB создан для экономики «вредоносного ПО как услуги» (MaaS), он продается как программный продукт, в том числе через рекламную страницу в открытом Интернете, которая направляет потенциальных покупателей к оператору в Telegram. Канал продаж простирается на социальные сети, где ряд аккаунтов в X и Instagram активно рекламирует этот инструмент.

После приобретения вредоносного набора пользователи могут адаптировать его функции, в том числе фишинговые приманки, чтобы выдать себя за бренд или агентство, наиболее вероятно способное привлечь жертв в той или иной стране. Например, исследователи Johnk3r и Merl недавно обнаружили кампании, распространяющие BTMOB под видом налоговых и таможенных органов Аргентины.

Динамика рынка и проблемы с обнаружением

Даже если разработчики изначально ограничивают доступ к инструменту только для платных клиентов, экономика остается выгодной для злоумышленников. Сообщаемая пожизненная лицензия за 5 000 долларов плюс ежемесячная плата за поддержку — это небольшая сумма по сравнению с доходами, которые может принести успешная мошенническая операция.

Кроме того, модель MaaS также снижает барьер для менее опытных злоумышленников. В январе 2026 года на форуме в дарквебе появилось заявление о предоставлении файлов, связанных с BTMOB, для бесплатного скачивания. Позже форум был закрыт, и наш поиск не позволил восстановить полезную нагрузку, но этот эпизод указывает на привычный риск, связанный с коммерческим вредоносным ПО: доступ редко остается ограниченным навсегда, и инструмент может попасть на вторичные рынки через перепродажу, бартер или обмен внутри закрытых групп. Конкурирующие семейства вредоносных программ также могут копировать некоторые элементы, которые упрощают настройку полезной нагрузки и управление кампаниями для менее опытных преступников.

Поскольку новые варианты могут генерироваться быстро, специалистам по защите следует ожидать быстрого обновления полезных нагрузок, а не стабильного набора угроз. Продукты ESET обнаруживают основной инструмент как MSIL/BtmobRat, в то время как связанные варианты для Android вызывают обнаружение, например, Android/Spy.Agent.EED, Android/Spy.Agent.EIJ и Android/Spy.Agent.EIK. В отчете Cyble за февраль 2025 года отмечается, что с конца января того же года, то есть всего за две недели, было обнаружено около 15 образцов BTMOB v2.5.

Как защитить себя

Несколько простых советов помогут вам защититься от BTMOB и другого вредоносного ПО для Android:

• Пользуйтесь только официальным магазином приложений: злоумышленники используют поддельные магазины приложений, имитирующие Google Play. Организации должны обязать пользователей загружать программное обеспечение исключительно из официальных репозиториев.
• С осторожностью относитесь к ссылкам: скептически относитесь к незапрашиваемым ссылкам, приходящим по электронной почте, в мессенджерах, социальных сетях и в таргетированной рекламе.
• Используйте программное обеспечение для обеспечения безопасности: как частные лица, так и организации должны использовать решения для обеспечения мобильной безопасности и относиться к мобильным устройствам с той же строгостью, что и к другим устройствам и средам. Корпоративные группы по обеспечению безопасности должны четко объяснить сотрудникам, что одна-единственная несанкционированная загрузка может подвергнуть риску самые ценные активы компании.

Индикаторы компрометации

Поскольку BTMOB быстро «мутирует», многие индикаторы могут быстро устаревать. Тем не менее, определенные паттерны инфраструктуры часто повторяются в разных образцах и помогают в их классификации.

IP-адреса

74.125.202.103	142.251.183.138	173.194.193.138	173.194.206.106
178.156.177.192	191.101.131.250	195.160.221.203	104.21.64.137
173.194.194.94	191.96.224.87	191.96.225.241	191.96.78.172
191.96.78.28	191.96.79.133	191.96.79.179	191.96.79.41
192.178.209.95	200.9.155.153	74.125.132.95	78.135.93.123
79.133.57.141	arbsniper.com

Хэши — SHA256

Названия обнаружений ESET

Читать полный анализ на WeLiveSecurity →