TokyoBlackHatNews

cyberpress.org 4分で読了

新たなBTMOBマルウェアがAndroidデバイスのリモート操作を可能に

BTMOBと名付けられた新たに解析されたAndroidリモートアクセス型トロイの木馬(RAT)は、その高度なデバイス乗っ取り機能とブラジル発祥から急速に拡大している状況から、サイバーセキュリティ研究者の間で警戒が高まっています。

2025年2月に初めて記録されて以来、BTMOBは本格的なマルウェア・アズ・ア・サービス(MaaS)プラットフォームへと進化し、技術レベルの低い脅威アクターの手にも強力な監視ツールを渡すことになっています。

BTMOBはSpySolrマルウェアファミリーを起源とし、典型的なバンキング型トロイの木馬よりも遥かに広範な攻撃能力を持つ点で際立っていると、ESETは述べています。

一度展開されると、このマルウェアは機密データの窃取、スクリーンショットの撮影、画面上の操作の録画を行い、最終的には侵害されたデバイスの完全なリモート操作を攻撃者に与えます。

BTMOBが特に危険な理由は、内蔵されたAPKビルダーインターフェースにあります。このポイント&クリック型のツールセットにより、オペレーターは1行もコードを書くことなく、新たな悪意あるペイロードを生成し、特定の地域向けにフィッシングの誘い文句をカスタマイズできると、welivesecurityは述べています。

これにより、標的型キャンペーンを展開しようとするサイバー犯罪者の技術的なハードルが劇的に下がります。

感染の連鎖はソーシャルエンジニアリングから始まります。オペレーターは被害者を、ストリーミングプラットフォーム、暗号資産マイニングサービス、または政府ポータルを装ったフィッシングサイトに誘導します。

これらのサイトは被害者を正規のリポジトリを模した偽のアプリストアへと誘導し、悪意あるAPKをサイドロードするよう促します。

一度インストールされると、BTMOBはAndroidアクセシビリティサービスを積極的に悪用して権限を昇格させ、追加のユーザー操作を一切必要とせずにシステムへの持続的なアクセスを静かに確保します。

研究者のJohnk3rとMerlaxは最近、アルゼンチンの税務・税関当局を装ったアクティブなキャンペーンを特定しており、オペレーターがどのように地域の信頼性を最大化するために誘い文句を調整しているかを示しています。

BTMOBはサーフェスウェブ上で公然と販売されており、Telegramオペレーター経由で売買が行われ、XおよびInstagramでプロモーションアカウントが活動しています。

報告されている5,000ドルの永久ライセンスに加えて月額サポート費用は、成功した詐欺キャンペーンが生み出す収益と比較して、最小限のコストに過ぎません。

二次市場のダイナミクスを考慮すると、その経済的脅威はさらに深刻になります。2026年1月、ダークウェブのフォーラムがBTMOB関連ファイルを一時的に無料ダウンロードとして提供した後、オフラインになりました。

研究者はペイロードを回収できませんでしたが、この事件は持続的なリスクを浮き彫りにしています。商業マルウェアが封じ込められたままでいることはほとんどありません。ツールは転売、物々交換、またはクローズドグループでの共有を通じて必然的に拡散し、脅威の攻撃対象領域をさらに拡大させます。

注記: IPアドレスとドメインは、誤った名前解決やハイパーリンクを防ぐために意図的に無害化されています(例:[.])。再有効化はMISP、VirusTotal、またはSIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ行ってください

BTMOBのAPKビルダーは迅速なペイロード生成を可能にするため、防御側は安定した識別可能な脅威シグネチャではなく、頻繁なバリアントの入れ替わりを想定すべきです。

ESETは現在、主要ツールをMSIL/BtmobRatとして検出しており、関連するAndroidバリアントはAndroid/Spy.Agent.EED、Android/Spy.Agent.EIJ、およびAndroid/Spy.Agent.EIKとしてフラグが立てられています。

組織および個人は、公式ストアからのみアプリをダウンロードすることでリスクへの露出を減らすことができます。攻撃者は悪意あるAPKを配布するために偽のリポジトリに依存しているためです。

メール、SMS、ソーシャルメディアを通じた一方的なリンクは疑いを持って扱い、MDMポリシーを備えたモバイルセキュリティソリューションを導入してください。また、業務用デバイス上の1つの不正APKが組織全体を危険にさらす可能性があることを従業員に改めて周知する必要があります。

BTMOBが進化を続け地理的に拡大する中、コードレスのペイロード生成、フィッシング主導の配信、そして完全なデバイス乗っ取り能力の組み合わせにより、世界規模で監視すべき信頼性の高い脅威となっています。

翻訳元: https://cyberpress.org/btmob-malware-remote-control-android/

ソース: cyberpress.org
#Androidマルウェア #BTMOB #アクセシビリティサービス悪用 #サイバー犯罪 #スパイウェア #ソーシャルエンジニアリング #フィッシング #マルウェア・アズ・ア・サービス #モバイルセキュリティ #リモートアクセス型トロイの木馬

関連記事

CISAがLiteSpeed cPanelプラグインの脆弱性の悪用について警告

300以上の偽ドメインがワールドカップファンを標的にした「GHOST STADIUM」キャンペーンで使用

Tycoon 2FA AiTMキットがMFAバイパスキャンペーンでEntra IDとGoogle Workspaceを標的に