買い手がコードを1行も書かずに独自のカスタムペイロードを構築できるAndroidリモートアクセストロイ(RAT)が、ブラジルを含む世界中でフィッシングキャンペーン経由で拡散しているのが確認されています。
ESETからの新しい分析によると、BTMOBとして知られるこのマルウェアは、フィッシングベースの配信とパッケージ化されたアプリ構築ツール、および完全なデバイス乗っ取りを組み合わせています。
2025年2月に最初に文書化されたBTMOBは、以前のSpySolrファミリーから進化し、典型的なバンキングトロイを超えています。金融認証情報の盗難に限定されず、データの流出、スクリーンショットの取得、デバイス上のアクティビティの記録、および電話の遠隔操作をオペレーターに提供することができます。
製品として販売、コード不要で構築
しかし、BTMOBを他と区別するのはその商業的パッケージングです。RATはAPKビルダーインターフェイスを備えており、買い手は迅速に新しいペイロードを生成し、特定の国向けにフィッシングルアーを再調整できます。コーディングは必要ありません。
配布は馴染みのあるソーシャルエンジニアリングパターンに従います。オペレーターは被害者をストリーミングサービス、暗号マイニングプラットフォーム、またはその他の認識可能なブランドになりすましているフィッシングサイトに誘導し、その後、悪意のあるAPKのインストールを促す偽のアプリストアに流します。
デバイス上に存在すると、BTMOBはAndroidのアクセシビリティサービスを悪用して、独自のアクセス許可をエスカレートし、ユーザーのさらなる操作なしに深いシステムアクセス権を付与します。
研究者はこのキットが地元の機関になりすましている適応を既に目撃しており、アルゼンチンの税関当局を装うキャンペーンを含みます。
Android MaaS脅威について詳しく読む:新しいAndroid Albirioxマルウェアがダークウェブマーケットプレイスで勢いを増している
安価なライセンス、高速な変異
BTMOBはマルウェア・アズ・ア・サービス(MaaS)モデルで販売され、サーフェスウェブのプロモーションページで販売されており、買い手をTelegramオペレーターにチャネルし、XおよびInstagramのセラーアカウントと並行しています。
ESETによると、報告された5,000ドルの生涯ライセンスに月額サポート料金を加えたものが、成功した詐欺操作の収益に対して控えめに設定されており、サービスモデルはスキルの低い犯罪者のハードルを下げています。
その経済的論理はまた、封じ込めを困難にします。2026年1月、ダークウェブフォーラムは一時的にBTMOBファイルを無料で宣伝してからオフラインになりました。これは、再販と共有が始まると、商用マルウェアが支払う顧客にロックされたままになることがめったにないことを示しています。
新しい変種が非常に迅速にスピンアップできるため、ESETは防御側に固定のサンプルセットではなく急速なペイロードターンオーバーを予想するよう警告しました。
同社はユーザーに、公式ストアからのみアプリをインストールし、勧誘されていないリンクを疑いの目で扱い、他のデバイスに適用される同じ厳密さで携帯セキュリティソフトウェアを実行するようアドバイスしました。
「企業のセキュリティチームは、単一の不正ダウンロードが会社の重要な資産を暴露する可能性があることを従業員に明確にする必要があります」とESETは結論付けました。
翻訳元: https://www.infosecurity-magazine.com/news/btmob-android-rat-maas-builder/
