BTMOBという名称のAndroidリモートアクセス型トロイの木馬が、フィッシング詐欺に合わせたマルウェアペイロードを生成するビルダーインターフェースとともに、サイバー犯罪者向けに提供されている。
このマルウェアは、特定データの窃取、金融取引の傍受、スクリーンショットの撮影、リモートコントロール機能など、幅広い機能を備えている。
サイバーセキュリティ企業ESETによると、BTMOBはクリアウェブ上で公然と宣伝されており、マルウェア・アズ・ア・サービス(MaaS)プラットフォームとして運営されている。提供されるAPKビルダーを使えば、コーディング不要でペイロードを簡単にカスタマイズできる。
顧客は、インストール時にAPKが要求する権限のセットから選択し、アプリが実行するアクション(例:Google Playの無効化、アイコンの非表示化によるデバイスからの削除困難化、スリープモードの防止など)を定義できる。
BTMOBは主にブラジルおよびラテンアメリカで活動していることに注目すべきである。これは新しいAndroidトロイの木馬ではなく、ANYRUN が2025年2月に分析しており、脅威インテリジェンスおよびデジタルリスク保護企業のCybleも高度なAndroidマルウェアとして記録している。
当時、Cybleは約2週間でBTMOB 2.5のサンプルを約15件発見しており、作者がマルウェアを活発に開発していたことを示している。
ESETの研究者によると、販売はプライベートなTelegramチャンネルで行われている。脅威アクターは月額700ドルのサブスクリプション、または5,000ドルの永久ライセンスで入手できる。
BTMOBはSpySolrマルウェアファミリーの進化版と見られ、ストリーミングサービスや仮想通貨マイニングプラットフォームを装ったフィッシングサイトを通じて配布されている。
ESETによると、潜在的な被害者はGoogle Playを模倣したポータルにリダイレクトされ、偽のアプリをダウンロードするよう誘導される。
研究者のJohnk3rとMerlは最近、アルゼンチン政府機関をおとりに使用したBTMOBキャンペーンを発見した。
このマルウェアプラットフォームは、キャンペーンのテーマに合わせたカスタムかつローカライズされたフィッシング誘導コンテンツの生成も支援する。インストール後は、Androidのアクセシビリティサービスを悪用して、ユーザーの追加操作なしに昇格した権限や追加のシステムアクセスを取得する。
ESETは脅威を追跡し、静的検出ルールを随時更新しているが、新しいペイロードの急速な生成により、単一層の防御の有効性が損なわれる可能性がある。
Androidユーザーは、公式のGoogle Playストアからのみアプリをインストールし、Play Protectでスキャンを行い、アクセシビリティアクセスなどの危険かつ強力な権限は明示的に必要でない場合は取り消すことが推奨される。
検証のギャップ:自動ペネトレーションテストが答えるのは一つの問いだけ。あなたには六つが必要だ。
自動ペネトレーションテストツールは真の価値を提供するが、それらは一つの問いに答えるために作られている。攻撃者はネットワークを横断できるか?それらは、コントロールが脅威をブロックするか、検出ルールが発動するか、クラウド設定が維持されるかをテストするためには作られていない。
このガイドでは、実際に検証が必要な6つの領域を解説する。
