Eset analiza BTMOB, un troyano de acceso remoto con foco en Android

BTMOB, un troyano de acceso remoto (RAT, por sus siglas en inglés), se expande en América Latina y en otras regiones del mundo con campañas que apuntan, en particular, a dispositivos Android. La amenaza integra un generador de aplicaciones maliciosas, una herramienta que permite diseñar y desplegar campañas de malware de forma rápida.

A diferencia de los troyanos bancarios, cuyo objetivo principal es el robo de información financiera, los RAT tienen un alcance más amplio: pueden sustraer distintos tipos de datos, monitorear el dispositivo de forma completa y ejecutar acciones sobre el equipo comprometido. En ese marco, BTMOB reúne capacidades habituales de este tipo de malware, como keylogging, capturas de pantalla y secuestro de sesiones. También se observó transmisión de pantalla en tiempo real e incluso control remoto directo sobre el dispositivo vulnerado.

El análisis de detecciones en Brasil ubicó a ese país entre los de mayor volumen de troyanos, con predominio de troyanos bancarios. En ese contexto, BTMOB no figura entre los más detectados, aunque sus capacidades y forma de operar lo vuelven un caso a seguir por su potencial de expansión.

La distribución se apoya en campañas de ingeniería social. Entre las modalidades identificadas aparecen sitios de phishing que imitan plataformas de streaming populares y falsas plataformas de minería de criptomonedas. Como el foco está puesto en Android, muchas campañas en Brasil y otros países de la región utilizan versiones falsas de aplicaciones populares: se difunden mediante engaños y derivan a tiendas fraudulentas que imitan la apariencia de Google Play Store.

La oferta del malware también adopta un esquema comercial. BTMOB se ofrece como servicio en una página web accesible desde la web abierta; el sitio redirige, mediante enlaces, a un contacto en Telegram para adquirir la herramienta. Además, se encontraron referencias en redes sociales: una cuenta en X (antes Twitter) dirige al mismo contacto y en Instagram aparecen contenidos vinculados a su difusión.

Los análisis de investigadores independientes como Johnk3r y Merl muestran actividad en otros países latinoamericanos. En Argentina se detectó una campaña que suplantaba a una agencia gubernamental (Agencia de Recaudación y Control Aduanero) para aumentar la credibilidad del engaño.

“Los elementos presentados por BTMOB son suficientes para clasificarlo como una amenaza relevante”, dijo Martina Lopez, investigadora de Seguridad Informática de Eset Latinoamérica.

Como medidas de prevención, se recomienda descargar aplicaciones de fuentes oficiales o confiables, extremar el cuidado con enlaces recibidos por correo electrónico, apps de mensajería o anuncios en redes sociales, concientizar sobre el impacto de conductas descuidadas y reforzar controles tecnológicos con software de protección actualizado y correctamente configurado.