Investigadores de ESET detectaron la reaparición de BTMOB, un troyano de acceso remoto para Android que funcionaba bajo un modelo de Malware como Servicio (MaaS). Esta herramienta permite a ciberdelincuentes con escasos conocimientos técnicos crear y distribuir aplicaciones bancarias maliciosas mediante una interfaz sin necesidad de programación.
La amenaza está siendo utilizada en campañas dirigidas a usuarios de Brasil y Latinoamérica, expandiéndose a través de técnicas de phishing y sitios que imitan servicios y tiendas de aplicaciones legítimas. Su facilidad de uso, bajo coste y enfoque modular lo convierten en una herramienta accesible para múltiples actores maliciosos, permitiendo además adaptar rápidamente las campañas según la región o el objetivo.
A continuación, compartimos los Indicadores de Compromiso (IoC) para ser agregados a las herramientas de seguridad perimetral.
EL ATAQUE
Los atacantes distribuyen BTMOB mediante campañas de phishing que suplantan plataformas de streaming, aplicaciones de criptomonedas y tiendas oficiales de aplicaciones. A través de estos sitios falsos, las víctimas son inducidas a descargar archivos APK maliciosos generados automáticamente mediante una plataforma de Malware como Servicio (MaaS), permitiendo personalizar los ataques según el país o el objetivo.
Una vez instalado, el malware solicita permisos elevados abusando de los Servicios de Accesibilidad de Android, obteniendo control total del dispositivo sin requerir interacción adicional del usuario.
Entre sus principales capacidades se encuentran:
- Registrar la actividad del usuario.
- Capturar pantallas.
- Robar credenciales bancarias y datos sensibles.
- Ejecutar acciones remotas haciéndose pasar por el usuario.
- Mantener acceso persistente incluso después de reinicios o cambios en el dispositivo.
Estas funcionalidades incrementan significativamente el impacto de la infección y el riesgo para los usuarios afectados.
