Android işletim sistemini hedef alan yeni bir uzaktan erişim truva atı (RAT), BTMOB adıyla ortaya çıktı. ESET'in yaptığı analize göre, bu kötü amaçlı yazılım, kullanıcıların hiçbir kod yazmadan kendi zararlı yüklerini oluşturmasına olanak tanıyor. Phishing saldırıları aracılığıyla Brezilya ve diğer ülkelerde yayılan BTMOB, Şubat 2025'te ilk kez belgelenmişti ve SpySolr ailesinin gelişmiş bir versiyonu olarak kabul ediliyor. Sıradan bir bankacılık truva atının ötesine geçen bu yazılım, finansal bilgilerin yanı sıra veri sızdırma, ekran görüntüsü alma, cihaz aktivitelerini kaydetme ve uzaktan kontrol sağlama gibi yeteneklere sahip.
BTMOB'u diğer zararlı yazılımlardan ayıran en önemli özellik, ticari bir paket olarak sunulmasıdır. RAT, bir APK oluşturucu arayüzü ile birlikte geliyor ve alıcıların kod yazmadan hızlıca yeni zararlı yükler oluşturmasına ve phishing tuzaklarını belirli ülkelere göre uyarlamasına olanak tanıyor. Dağıtım, tanıdık bir sosyal mühendislik modelini izliyor: Saldırganlar, kurbanları yayın hizmetleri, kripto para madenciliği platformları veya tanınmış markalar gibi görünen phishing sitelerine yönlendiriyor, ardından onları sahte uygulama mağazalarına yönlendirerek kötü amaçlı APK'yı yüklemeye ikna ediyor. Cihaza yerleştikten sonra BTMOB, Android'in Erişilebilirlik Hizmetlerini kötüye kullanarak kendi izinlerini yükseltiyor ve kullanıcı müdahalesi olmadan daha derin sistem erişimi elde ediyor.
BTMOB, hizmet olarak zararlı yazılım (MaaS) modeliyle satılıyor. Açık web'de bir tanıtım sayfası üzerinden pazarlanan bu yazılım, alıcıları Telegram operatörüne yönlendiriyor. ESET, 5.000 dolarlık ömür boyu lisans ve aylık destek ücretinin, başarılı bir dolandırıcılık operasyonunun getirisiyle karşılaştırıldığında mütevazı olduğunu ve bu hizmet modelinin daha az yetenekli suçlular için engeli düşürdüğünü belirtiyor. Bu ekonomik mantık aynı zamanda kontrolü de zorlaştırıyor. Ocak 2026'da bir dark web forumu, BTMOB dosyalarını ücretsiz olarak tanıtmış ancak daha sonra kapanmıştı. Bu durum, ticari zararlı yazılımların yeniden satış ve paylaşım yoluyla kilitli müşterilere bağlı kalmadığını gösteriyor.
Sistem Güvenliği
ESET, yeni varyantların hızla oluşturulabilmesi nedeniyle savunmacıların sabit bir örnek seti yerine hızlı yük değişimine hazırlıklı olması gerektiği konusunda uyarıyor. Şirket, kullanıcılara yalnızca resmi mağazalardan uygulama yüklemelerini, istenmeyen bağlantılara şüpheyle yaklaşmalarını ve mobil güvenlik yazılımlarını diğer cihazlardaki titizlikle kullanmalarını tavsiye ediyor. ESET, 'Kurumsal güvenlik ekipleri, çalışanlarına tek bir kötü niyetli indirmenin şirketin en değerli varlıklarını tehlikeye atabileceğini net bir şekilde anlatmalıdır' sonucuna varıyor.