マルウェア
このマルウェアはリモートアクセス機能と既製のキャンペーンツールを組み合わせ、デバイスの完全な侵害に対する障壁を低くしています
ブラジルにおける脅威検出の最近のレビューで、BTMOBというAndroidリモートアクセス型トロイの木馬(RAT)が浮上しました。このマルウェアは検出件数よりも、もたらし得る被害の大きさで注目されます。フィッシングによる配布、既製のアプリ構築ツール、そしてデバイス乗っ取り機能の組み合わせにより、BTMOBはブラジルやラテンアメリカをはるかに超えた範囲で監視すべき脅威となっています。
BTMOBの概要
2025年2月に初めて報告されたBTMOBは、SpySolrマルウェアから進化したものです。金融認証情報の窃取や金融取引の傍受「のみ」を目的とするバンキング型トロイの木馬とは異なり、BTMOBは攻撃者により幅広い選択肢を提供します。すなわち、幅広い機密データの流出、スクリーンショットの取得とデバイス上の活動記録、そして最終的にはリモートでのデバイス制御が可能です。このRATにはAPKビルダーインターフェースも付属しており、誰でもコードを一切書かずに新たなペイロードを生成し、特定の地域向けにフィッシングの誘い文句を素早くカスタマイズできます。

BTMOBはどのように拡散するのか?
当然のことながら、すべては普通のソーシャルエンジニアリングから始まります。オペレーターは被害者を、ストリーミングサービスや暗号通貨マイニングプラットフォームなどの身近なオンラインサービスを装ったフィッシングサイトに誘導します。そこから被害者は、正規のリポジトリを模倣した偽のアプリストアへと誘導され、悪意あるAPKのインストールを促されます。悪意ある行為者が特定の地域に合わせた誘い文句を作成していることも確認されています。
インストールされると、BTMOBはデバイスへの広範なアクセスを求めます。昨今よく見られるように、AndroidアクセシビリティサービスをSuite用して昇格した権限を取得し、ユーザーの追加操作なしにシステムへのさらなるアクセスを自ら付与します。

マルウェア・アズ・ア・サービス(MaaS)エコノミー向けに構築されているため、BTMOBはソフトウェア製品として販売されており、オープンウェブ上のプロモーションページを通じてTelegramのオペレーターへと見込み客を誘導しています。販売チャネルはソーシャルメディアプラットフォーム全体に広がっており、XやInstagramの複数のアカウントがこのツールを積極的に宣伝しています。


悪意あるキットを購入すると、その機能をカスタマイズできます。フィッシングの誘い文句も含め、特定の国で被害者を引き付けやすいブランドや機関を装うことが可能です。例えば、研究者のJohnk3rとMerlは最近、アルゼンチンの税務・税関当局を装いながらBTMOBを拡散するキャンペーンを発見しました。

市場の動向と検出の課題
開発者が当初ツールを有料顧客のみに限定している場合でも、攻撃者にとって経済的な優位性は維持されます。報告されている5,000ドルの永久ライセンス料と月額サポート料は、不正行為の成功によって得られる収益と比較すると安価です。
さらに、MaaSモデルは高度なスキルを持たない攻撃者への参入障壁も低下させます。2026年1月、ダークウェブのフォーラムがBTMOB関連ファイルを無料でダウンロード可能と主張しました。そのフォーラムはその後オフラインになり、我々の調査ではペイロードを回収できませんでしたが、この出来事は商業マルウェアにつきまとる周知のリスクを示しています。つまり、アクセスが永久に制限されたままになることはほとんどなく、転売・物々交換・閉鎖グループ内での共有を通じて二次市場に流出する可能性があります。競合するマルウェアファミリーが、スキルの低い犯罪者にとってペイロードのカスタマイズやキャンペーン管理を容易にする要素を一部模倣することもあります。
新しい亜種は素早く生成できるため、防御側は安定した脅威のセットではなく、ペイロードの急速な入れ替わりを想定すべきです。ESETの製品は主要ツールをMSIL/BtmobRatとして検出し、関連するAndroid亜種はAndroid/Spy.Agent.EED、Android/Spy.Agent.EIJ、Android/Spy.Agent.EIKなどの検出名でトリガーされます。2025年2月のCybleのレポートでは、BTMOB v2.5のサンプルが同年1月下旬以降、つまりわずか2週間ほどで約15件発見されたと指摘されています。
身を守る方法
いくつかの基本的なヒントに従うことで、BTMOBやその他のAndroidマルウェアからの安全を大幅に高めることができます。
- 公式アプリストアを利用する:攻撃者はGoogle Playを模倣した偽のアプリストアを利用します。組織はユーザーが公式リポジトリのみからソフトウェアをダウンロードするよう義務付けるべきです。
- リンクを疑ってかかる:メール、メッセージアプリ、ソーシャルメディア、ターゲット広告を通じて届く未承諾のリンクには懐疑的になりましょう。
- セキュリティソフトを使用する:個人・組織ともにモバイルセキュリティソリューションを使用し、モバイルデバイスを他のマシンや環境と同様の厳格さで扱うべきです。企業のセキュリティチームは、1回の不正ダウンロードが会社の最重要機密を危険にさらし得ることを従業員に明示しなければなりません。
侵害の痕跡(IoC)
BTMOBは素早く「変異」するため、多くの指標は急速に陳腐化する可能性があります。それでも、特定のインフラパターンは異なるサンプル間で繰り返し現れ、トリアージの助けになります。
IPアドレス
| 74.125.202.103 | 142.251.183.138 | 173.194.193.138 | 173.194.206.106 |
| 178.156.177.192 | 191.101.131.250 | 195.160.221.203 | 104.21.64.137 |
| 173.194.194.94 | 191.96.224.87 | 191.96.225.241 | 191.96.78.172 |
| 191.96.78.28 | 191.96.79.133 | 191.96.79.179 | 191.96.79.41 |
| 192.178.209.95 | 200.9.155.153 | 74.125.132.95 | 78.135.93.123 |
| 79.133.57.141 | arbsniper.com |
ハッシュ値 – SHA256
| ハッシュ値 |
|---|
| 58AC130A8EBB09E37592AC69841483EDC5695D1545B1F04F23D5B760AC17CD94 |
| 0A542751724A432A8448324613E0CE10393E41739A1800CBB7D5A2C648FCDC35 |
| A764D73795ABE47AE640BA09999A18C47B5340E5ECC7B897AFEBF34F3F37638F |
| 26A2268281E8043125EF72B92F8980B42912048753D56894BC378FB54C7C188A |
| 6AE94CE710016D86ED7457236DEEF2C4C51478587F3609B6E827A348828B3931 |
| E5A9FDFF900DD502E8F3DCE52D2D1B69AA9AFAFB5094A28F9037E8770DB0E63B |
| C6199E175FB988CBBEACDF0F5ACDF9ED83F5BDAAE5C95B7A6C27EE72CD11B0B1 |
| 6BBA64FA9E8A7B11CB2476CD071DE08986DB44B0783EFF211C68FA5594EF8143 |
| 5AAAF972C8BF39A98F2748E526DE3CC0370BA831997D7D9765CDABA599645C0D |
| 5AAAF972C8BF39A98F2748E526DE3CC0370BA831997D7D9765CDABA599645C0D |
| DDCE0219923D152B8FACD303F058A6286CF1F6924992B9FB9F5BF4D96436CC39 |
| D55057CD9110D12A192281356F06B94F342B9FEBB305CF0A5898A7E6AF40758F |
| 676CB2D0A60403AFC06CEA1B572CB7261F706365FAC65621B5A4907893E7AC0D |
| 75DD4FB011ED598374A46FC0D9C0D1D64A298341C34AFC83A56A6983CFD27764 |
| 702261BA38B57ECC3A5407FED28B2F0611A74C2EC0C116AEA4F9E6DEF0899AED |
| 998A7ED1572AD9DC11375BC25294E1954E606B7CFF9FABC5C120713E597CD274 |
| 244D81FD9908CD17815501D4EDADEB1BAF1C421AA25D8BD61C7CB481C939540E |
| 512EDE9F2FA794907999F3C26165557FDFD383B7AAD71BA022CE2C8BA6C0019D |
| 7AC974899E8E05AAACD417577C97E382D5E8C5F7F4A85632CFFB47EC2F6AE4E0 |
| 168F50BF9A87099094EF410E3AC33E676A6A8740A5437CD09E7B63D73DF8431A |
| 2525D1E427A9983B0B4CA0906A4B44FFB9814B23D53FD8A2E3AB6512B027C733 |
| 6101D1E1811DB052F869F7EB3402DAD28DA7E92103D4A44EE43F95846A075012 |
| 1A60CB5F7E2FB7C09FC3DC8459108B26AC98EE73131F37A28CFDAD5FC75B7A7D |
| 97A0497DE585D3BE6EC75064AB3BD0979CD85561193C1F0669CCF4DB31330687 |
| 02A52C4CC11748D44C9B49D508EE4E46425661981FA1406F30EC0830CB69DDC5 |
| 6F9832EBB4C3054BEE4A6CE5CCB69C00E2020053E1308353343097E6A4041109 |
| F76B13040C634F82A8332FF9443D84C89A5BCED51AE9ADAD7FD15C05FADB4324 |
| C99139B0053C4C698EA0246D26D747F2A984C7ABA4613DA818ECD9F97899EF3A |
| 8F09274E808E0063D51F34CAC82A5770B3DF30C792E426DA2F6A80657F27AFFC |
| 140A7F995B0336942691A2E93E2017FD575267C017C7D0728D69169306F91963 |
| A1E457C52EAB430C20D48F2AC476E080386313F16EFB135A0471902CF68CE475 |
| 5A4E86BBCF0EBC455D2995DB225D9AD682E9B37B6BAD472A604A462099D988BD |
| A892F1EF2E530D67BF948A48C734DA3F27718EB8B883CA0B686DDB0A81071731 |
| AA56F350882CE63429C6626567487B041F06168BB60F4FC371A262EABADFA660 |
| 752C1CFE783ED343E470AB95A4843A23872CDC98B7D3ED5633DD6C881C071A14 |
| 0628AD6D1FD836B13B22E75FA169502D8CE78B7AD20F0261EB5151DA98437BCA |
| 6844CE1539014571360495C6FB50965E813C2721663BDD40D577D9E5163773C6 |
ESET検出名
| 検出名 |
|---|
| Android/Agent.FQK |
| Android/TrojanDropper.Agent.NES |
| Android/Spy.Agent.EIJ |
| Android/Spy.Agent.EIK |
| Android/TrojanDropper.Agent.NDK |
| Android/Spy.Spysolr.A |
| Android/Spy.Agent.EUG |
| Android/Spy.Agent.EWN |
| Android/Spy.Agent.FFE |
| Android/Spy.Agent.FFL |
| Android/Spy.Agent.ELM |
| Android/Spy.Agent.FFM |
| Android/Spy.Agent.FEE |
| Android/TrojanDropper.Agent.NBO |
翻訳元: https://www.welivesecurity.com/en/malware/btmob-stealthy-rat-burrowing-deep-android-devices/