Siber güvenlik araştırmacıları, Android cihazları hedef alan yeni bir uzaktan erişim truva atı (RAT) olan BTMOB'un, hiç kod yazmadan özel zararlı yazılımlar oluşturmayı mümkün kılan bir 'no-code' araçla Brezilya başta olmak üzere birçok ülkede yayıldığını tespit etti. ESET'in yeni analizine göre BTMOB, kimlik avı kampanyalarıyla dağıtılıyor ve bir uygulama oluşturma aracıyla birlikte cihazın tamamen ele geçirilmesini sağlıyor. Şubat 2025'te ilk kez belgelenen bu zararlı yazılım, daha önceki SpySolr ailesinden evrilmiş olup tipik bir bankacılık truva atının ötesine geçiyor. Sadece finansal bilgileri çalmakla kalmıyor, aynı zamanda veri sızdırma, ekran görüntüsü alma, cihaz aktivitelerini kaydetme ve operatörlere telefondan uzaktan kontrol etme imkanı veriyor.
BTMOB'u diğerlerinden ayıran en önemli özellik ise ticari paketlenmesi. RAT, alıcıların hızlıca yeni zararlı yazılımlar oluşturmasına ve belirli ülkeler için kimlik avı tuzaklarını yeniden düzenlemesine olanak tanıyan bir APK oluşturucu arayüzüyle birlikte geliyor. Dağıtım, tanıdık bir sosyal mühendislik modelini izliyor: Operatörler, kurbanları akış hizmetleri, kripto madencilik platformları veya diğer tanınmış markalar gibi görünen kimlik avı sitelerine yönlendiriyor ve ardından sahte uygulama mağazalarına yönlendirerek kötü amaçlı bir APK yüklemeye ikna ediyor. Cihaza yerleştikten sonra BTMOB, Android'in Erişilebilirlik Hizmetlerini (Accessibility Services) kötüye kullanarak kendi izinlerini yükseltiyor ve kullanıcı etkileşimi olmadan daha derin sistem erişimi elde ediyor. Araştırmacılar, bu araç setinin Arjantin vergi ve gümrük makamlarını taklit eden kampanyalar da dahil olmak üzere yerel kurumları taklit etmek için uyarlandığını gördü.
BTMOB, hizmet olarak kötü amaçlı yazılım (MaaS) modeliyle satılıyor ve web üzerindeki bir tanıtım sayfası aracılığıyla alıcıları bir Telegram operatörüne yönlendiriyor. Ayrıca X ve Instagram'da satıcı hesapları da bulunuyor. ESET'e göre, bildirilen 5.000 dolarlık ömür boyu lisans ve aylık destek ücreti, başarılı bir dolandırıcılık operasyonunun getirisine kıyasla mütevazı kalıyor ve bu hizmet modeli, daha az yetenekli suçluların işini kolaylaştırıyor. Bu ekonomik mantık aynı zamanda tehdidin kontrolünü de zorlaştırıyor. Ocak 2026'da bir dark web forumu, BTMOB dosyalarını kısaca ücretsiz olarak tanıttıktan sonra çevrimdışı oldu; bu da ticari kötü amaçlı yazılımların, yeniden satış ve paylaşım yaygınlaştığında nadiren yalnızca ücretli müşterilerle sınırlı kaldığını hatırlatıyor. Yeni varyantlar çok hızlı bir şekilde oluşturulabildiğinden, ESET savunmacıları sabit bir örnek seti yerine hızlı yük devri beklemeleri konusunda uyardı.
Şirket, kullanıcıların uygulamaları yalnızca resmi mağazalardan yüklemelerini, istenmeyen bağlantılara şüpheyle yaklaşmalarını ve mobil güvenlik yazılımlarını diğer cihazlarda olduğu gibi titizlikle kullanmalarını tavsiye etti. ESET, 'Kurumsal güvenlik ekipleri, çalışanlarına tek bir kötü amaçlı indirmenin şirketin en değerli varlıklarını tehlikeye atabileceğini açıkça belirtmelidir' uyarısında bulundu.