Eset analiza BTMOB, un troyano de acceso remoto con foco en Android
La amenaza combina funciones típicas de un RAT con transmisión de pantalla en tiempo real y un generador de apps maliciosas, mientras su distribución en América Latina se apoya en ingeniería social, tiendas falsas que imitan Google Play Store y una oferta “como servicio” con contacto en Telegram
BTMOB, un troyano de acceso remoto (RAT, por sus siglas en inglés), se expande en América Latina y en otras regiones del mundo con campañas que apuntan, en particular, a dispositivos Android. La amenaza integra un generador de aplicaciones maliciosas, una herramienta que permite diseñar y desplegar campañas de malware de forma rápida.
A diferencia de los troyanos bancarios, cuyo objetivo principal es el robo de información financiera, los RAT tienen un alcance más amplio: pueden sustraer distintos tipos de datos, monitorear el dispositivo de forma completa y ejecutar acciones sobre el equipo comprometido. En ese marco, BTMOB reúne capacidades habituales de este tipo de malware, como keylogging, capturas de pantalla y secuestro de sesiones. También se observó transmisión de pantalla en tiempo real e incluso control remoto directo sobre el dispositivo vulnerado.
El análisis de detecciones en Brasil ubicó a ese país entre los de mayor volumen de troyanos, con predominio de troyanos bancarios. En ese contexto, BTMOB no figura entre los más detectados, aunque sus capacidades y forma de operar lo vuelven un caso a seguir por su potencial de expansión.
La distribución se apoya en campañas de ingeniería social. Entre las modalidades identificadas aparecen sitios de phishing que imitan plataformas de streaming populares y falsas plataformas de minería de criptomonedas. Como el foco está puesto en Android, muchas campañas en Brasil y otros países de la región utilizan versiones falsas de aplicaciones populares: se difunden mediante engaños y derivan a tiendas fraudulentas que imitan la apariencia de Google Play Store.
La oferta del malware también adopta un esquema comercial. BTMOB se ofrece como servicio en una página web accesible desde la web abierta; el sitio redirige, mediante enlaces, a un contacto en Telegram para adquirir la herramienta. Además, se encontraron referencias en redes sociales: una cuenta en X (antes Twitter) dirige al mismo contacto y en Instagram aparecen contenidos vinculados a su difusión.
Los análisis de investigadores independientes como Johnk3r y Merl muestran actividad en otros países latinoamericanos. En Argentina se detectó una campaña que suplantaba a una agencia gubernamental (Agencia de Recaudación y Control Aduanero) para aumentar la credibilidad del engaño.
“Los elementos presentados por BTMOB son suficientes para clasificarlo como una amenaza relevante”, dijo Martina Lopez, investigadora de Seguridad Informática de Eset Latinoamérica.
Como medidas de prevención, se recomienda descargar aplicaciones de fuentes oficiales o confiables, extremar el cuidado con enlaces recibidos por correo electrónico, apps de mensajería o anuncios en redes sociales, concientizar sobre el impacto de conductas descuidadas y reforzar controles tecnológicos con software de protección actualizado y correctamente configurado.
- Etiquetas
- BTMOB
- ESET Latinoamérica
- Martina Lopez
Artículos relacionados
Trabajo híbrido: la participación desigual en reuniones impacta en productividad y decisiones
Con esquemas flexibles ya instalados en el país, el foco se desplaza hacia la experiencia de reunión, con datos de Jabra, The Network Installers y Bonda que muestran el peso de los encuentros híbridos y las brechas de inclusión que pueden afectar la calidad de la colaboración y la ejecución
BST y KURU integran plataforma de gastos corporativos con tarjetas Mastercard físicas y virtuales
La alianza entre ambas firmas apunta a empresas medianas y grandes en Argentina con una solución digital para administrar gastos operativos con control en tiempo real, trazabilidad y automatización, e incorpora reglas de uso configurables, rendición digital y herramientas de Inteligencia Artificial para validar comprobantes e integrar datos a sistemas contables y ERP
If unifica su infraestructura tecnológica nórdica y báltica con la plataforma DXC OASIS
Tras la adquisición de Topdanmark, la aseguradora acordó un contrato plurianual con DXC Technology para modernizar y gestionar miles de recursos informáticos en entornos de sistema central, centros de datos y nube híbrida de Microsoft Azure en Finlandia, Suecia, Dinamarca y los países bálticos