BTMOB: Androidデバイスに深く潜り込む隠密型RAT

マルウェア

このマルウェアはリモートアクセス機能と既製のキャンペーンツールを組み合わせ、デバイスの完全な侵害に対する障壁を低くしています

Image

ブラジルにおける脅威検出の最近のレビューで、BTMOBというAndroidリモートアクセス型トロイの木馬(RAT)が浮上しました。このマルウェアは検出件数よりも、もたらし得る被害の大きさで注目されます。フィッシングによる配布、既製のアプリ構築ツール、そしてデバイス乗っ取り機能の組み合わせにより、BTMOBはブラジルやラテンアメリカをはるかに超えた範囲で監視すべき脅威となっています。

BTMOBの概要

2025年2月に初めて報告されたBTMOBは、SpySolrマルウェアから進化したものです。金融認証情報の窃取や金融取引の傍受「のみ」を目的とするバンキング型トロイの木馬とは異なり、BTMOBは攻撃者により幅広い選択肢を提供します。すなわち、幅広い機密データの流出、スクリーンショットの取得とデバイス上の活動記録、そして最終的にはリモートでのデバイス制御が可能です。このRATにはAPKビルダーインターフェースも付属しており、誰でもコードを一切書かずに新たなペイロードを生成し、特定の地域向けにフィッシングの誘い文句を素早くカスタマイズできます。

Image

BTMOBはどのように拡散するのか?

当然のことながら、すべては普通のソーシャルエンジニアリングから始まります。オペレーターは被害者を、ストリーミングサービスや暗号通貨マイニングプラットフォームなどの身近なオンラインサービスを装ったフィッシングサイトに誘導します。そこから被害者は、正規のリポジトリを模倣した偽のアプリストアへと誘導され、悪意あるAPKのインストールを促されます。悪意ある行為者が特定の地域に合わせた誘い文句を作成していることも確認されています。

インストールされると、BTMOBはデバイスへの広範なアクセスを求めます。昨今よく見られるように、AndroidアクセシビリティサービスをSuite用して昇格した権限を取得し、ユーザーの追加操作なしにシステムへのさらなるアクセスを自ら付与します。

Image

マルウェア・アズ・ア・サービス(MaaS)エコノミー向けに構築されているため、BTMOBはソフトウェア製品として販売されており、オープンウェブ上のプロモーションページを通じてTelegramのオペレーターへと見込み客を誘導しています。販売チャネルはソーシャルメディアプラットフォーム全体に広がっており、XやInstagramの複数のアカウントがこのツールを積極的に宣伝しています。 

Image
Image

悪意あるキットを購入すると、その機能をカスタマイズできます。フィッシングの誘い文句も含め、特定の国で被害者を引き付けやすいブランドや機関を装うことが可能です。例えば、研究者のJohnk3rMerlは最近、アルゼンチンの税務・税関当局を装いながらBTMOBを拡散するキャンペーンを発見しました。

Image

市場の動向と検出の課題

開発者が当初ツールを有料顧客のみに限定している場合でも、攻撃者にとって経済的な優位性は維持されます。報告されている5,000ドルの永久ライセンス料と月額サポート料は、不正行為の成功によって得られる収益と比較すると安価です。

さらに、MaaSモデルは高度なスキルを持たない攻撃者への参入障壁も低下させます。2026年1月、ダークウェブのフォーラムがBTMOB関連ファイルを無料でダウンロード可能と主張しました。そのフォーラムはその後オフラインになり、我々の調査ではペイロードを回収できませんでしたが、この出来事は商業マルウェアにつきまとる周知のリスクを示しています。つまり、アクセスが永久に制限されたままになることはほとんどなく、転売・物々交換・閉鎖グループ内での共有を通じて二次市場に流出する可能性があります。競合するマルウェアファミリーが、スキルの低い犯罪者にとってペイロードのカスタマイズやキャンペーン管理を容易にする要素を一部模倣することもあります。

新しい亜種は素早く生成できるため、防御側は安定した脅威のセットではなく、ペイロードの急速な入れ替わりを想定すべきです。ESETの製品は主要ツールをMSIL/BtmobRatとして検出し、関連するAndroid亜種はAndroid/Spy.Agent.EED、Android/Spy.Agent.EIJ、Android/Spy.Agent.EIKなどの検出名でトリガーされます。2025年2月のCybleのレポートでは、BTMOB v2.5のサンプルが同年1月下旬以降、つまりわずか2週間ほどで約15件発見されたと指摘されています。

身を守る方法

いくつかの基本的なヒントに従うことで、BTMOBやその他のAndroidマルウェアからの安全を大幅に高めることができます。

  • 公式アプリストアを利用する:攻撃者はGoogle Playを模倣した偽のアプリストアを利用します。組織はユーザーが公式リポジトリのみからソフトウェアをダウンロードするよう義務付けるべきです。
  • リンクを疑ってかかる:メール、メッセージアプリ、ソーシャルメディア、ターゲット広告を通じて届く未承諾のリンクには懐疑的になりましょう。
  • セキュリティソフトを使用する:個人・組織ともにモバイルセキュリティソリューションを使用し、モバイルデバイスを他のマシンや環境と同様の厳格さで扱うべきです。企業のセキュリティチームは、1回の不正ダウンロードが会社の最重要機密を危険にさらし得ることを従業員に明示しなければなりません。

侵害の痕跡(IoC)

BTMOBは素早く「変異」するため、多くの指標は急速に陳腐化する可能性があります。それでも、特定のインフラパターンは異なるサンプル間で繰り返し現れ、トリアージの助けになります。 

IPアドレス

74.125.202.103 142.251.183.138 173.194.193.138 173.194.206.106
178.156.177.192 191.101.131.250 195.160.221.203 104.21.64.137
173.194.194.94 191.96.224.87 191.96.225.241 191.96.78.172
191.96.78.28 191.96.79.133 191.96.79.179 191.96.79.41
192.178.209.95 200.9.155.153 74.125.132.95 78.135.93.123
79.133.57.141 arbsniper.com

ハッシュ値 – SHA256

ハッシュ値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ESET検出名

検出名
Android/Agent.FQK
Android/TrojanDropper.Agent.NES
Android/Spy.Agent.EIJ
Android/Spy.Agent.EIK
Android/TrojanDropper.Agent.NDK
Android/Spy.Spysolr.A
Android/Spy.Agent.EUG
Android/Spy.Agent.EWN
Android/Spy.Agent.FFE
Android/Spy.Agent.FFL
Android/Spy.Agent.ELM
Android/Spy.Agent.FFM
Android/Spy.Agent.FEE
Android/TrojanDropper.Agent.NBO

翻訳元: https://www.welivesecurity.com/en/malware/btmob-stealthy-rat-burrowing-deep-android-devices/

ソース: welivesecurity.com