Android cihazları hedef alan yeni bir uzaktan erişim truva atı (RAT) olan BTMOB, kullanıcıların tek bir satır kod yazmadan kendi kötü amaçlı yazılımlarını oluşturmasına olanak tanıyor. ESET'in yeni analizine göre, bu tehdit Brezilya başta olmak üzere birçok ülkede phishing kampanyaları aracılığıyla yayılıyor. BTMOB, daha önceki SpySolr ailesinden evrilerek geleneksel bankacılık truva atlarının ötesine geçiyor; yalnızca finansal bilgileri çalmakla kalmıyor, aynı zamanda veri sızdırma, ekran görüntüsü alma, cihaz aktivitelerini kaydetme ve operatörlere uzaktan kontrol imkanı sunuyor.
BTMOB'u diğerlerinden ayıran en önemli özellik, ticari bir paket olarak sunulması. RAT, bir APK oluşturucu arayüzü ile birlikte geliyor ve alıcıların kodlama bilgisi olmadan hızlıca yeni zararlı yazılımlar üretip belirli ülkeler için phishing tuzaklarını yeniden şekillendirmesine olanak tanıyor. Dağıtım, tanıdık bir sosyal mühendislik modelini izliyor: Operatörler, kurbanları yayın platformları, kripto madencilik siteleri veya tanınmış markalar gibi görünen phishing sayfalarına yönlendiriyor ve ardından sahte uygulama mağazaları aracılığıyla kötü amaçlı APK yüklemeye ikna ediyor. Cihaza yerleştikten sonra BTMOB, Android'in Erişilebilirlik Hizmetlerini (Accessibility Services) kötüye kullanarak kendi izinlerini yükseltiyor ve kullanıcı etkileşimi olmadan sisteme daha derin erişim sağlıyor.
BTMOB, hizmet olarak kötü amaçlı yazılım (MaaS) modeliyle satılıyor; yüzey webinde bir tanıtım sayfası, Telegram üzerinden bir operatör ve X ile Instagram'da satıcı hesapları bulunuyor. ESET, 5.000 dolarlık ömür boyu lisans ve aylık destek ücretinin başarılı bir dolandırıcılık operasyonunun getirisine kıyasla mütevazı olduğunu ve bu modelin daha az yetenekli suçlular için engeli düşürdüğünü belirtiyor. Bu ekonomik mantık aynı zamanda tehdidi kontrol altına almayı zorlaştırıyor. Ocak 2026'da bir dark web forumu, BTMOB dosyalarını kısa süreliğine ücretsiz olarak tanıttı; bu da ticari kötü amaçlı yazılımların yeniden satış ve paylaşım yoluyla sadece ödeme yapan müşterilere bağlı kalmadığını gösteriyor.
Yeni varyantların hızla oluşturulabilmesi nedeniyle ESET, savunucuları sabit bir örnek seti yerine hızlı bir yük dönüşümü beklemeleri konusunda uyarıyor. Şirket, kullanıcılara yalnızca resmi uygulama mağazalarından uygulama yüklemelerini, istenmeyen bağlantılara şüpheyle yaklaşmalarını ve mobil güvenlik yazılımlarını diğer cihazlarda olduğu gibi titizlikle kullanmalarını tavsiye ediyor. ESET, 'Kurumsal güvenlik ekipleri, çalışanlarına tek bir kötü niyetli indirmenin şirketin en değerli varlıklarını ifşa edebileceğini net bir şekilde anlatmalıdır' uyarısında bulunuyor.