Alıcıların bir satır kod yazmadan kendi özel yüklerini oluşturmalarına olanak tanıyan bir Android uzaktan erişim truva atının (RAT), Brezilya'da ve ötesinde kimlik avı kampanyaları yoluyla yayıldığı gözlemlendi.
ESET'in yeni analizine göre, BTMOB olarak bilinen kötü amaçlı yazılım, kimlik avı tabanlı teslimatı, paketli bir uygulama oluşturma aracı ve tüm cihazı ele geçirme ile eşleştiriyor.
İlk olarak Şubat 2025'te belgelenen BTMOB, daha önceki SpySolr ailesinden geliştirildi ve tipik bir bankacılık truva atının ötesine uzanıyor. Yalnızca finansal kimlik bilgilerini takip etmek yerine, verileri sızdırabilir, ekran görüntüleri yakalayabilir, cihazdaki etkinlikleri kaydedebilir ve operatörlere telefonun uzaktan kontrolünü sağlayabilir.
Ürün Olarak Satılır, Kodsuz Oluşturulur
Nasıl Önlem Alınmalı?
BTMOB'u farklı kılan ise ticari ambalajıdır. RAT, alıcıların hızlı bir şekilde yeni yükler oluşturmasına ve belirli ülkeler için kimlik avı tuzaklarını kodlama gerektirmeden yeniden düzenlemesine olanak tanıyan bir APK oluşturucu arayüzüyle birlikte gelir.
Dağıtım tanıdık bir sosyal mühendislik modelini takip ediyor. Operatörler, kurbanları yayın hizmetleri, kripto madenciliği platformları veya diğer tanınabilir markalar gibi görünen kimlik avı sitelerine yönlendiriyor ve ardından onları kötü amaçlı bir APK'nın yüklenmesini isteyen sahte uygulama mağazalarına yönlendiriyor.
BTMOB, cihaza girdikten sonra Android'in Erişilebilirlik Hizmetlerini kötüye kullanarak kendi izinlerini yükseltiyor ve daha fazla kullanıcı etkileşimi olmadan kendisine daha derin sistem erişimi sağlıyor.
Önemli Gelişmeler
Araştırmacılar, kitin, Arjantin'in vergi ve gümrük yetkililerini yanıltmaya yönelik kampanyalar da dahil olmak üzere, yerel kurumları taklit edecek şekilde uyarlandığını zaten gördü.
Android MaaS tehditleri hakkında daha fazlasını okuyun: Yeni Android Albiriox Kötü Amaçlı Yazılımları Karanlık Web Pazarlarında İlgi Kazanıyor
Ucuz Lisanslar, Hızlı Mutasyon
Uzmanların Görüşleri
BTMOB, X ve Instagram'daki satıcı hesaplarının yanı sıra alıcıları bir Telegram operatörüne yönlendiren bir yüzey web tanıtım sayfasında pazarlanan bir hizmet olarak kötü amaçlı yazılım (MaaS) modeli aracılığıyla satılmaktadır.
Teknik Analiz
ESET, rapor edilen 5.000 dolarlık ömür boyu lisans artı aylık destek ücretinin başarılı bir dolandırıcılık operasyonunun gelirlerine karşı mütevazı bir şekilde belirlendiğini ve hizmet modelinin daha az vasıflı suçlular için çıtayı düşürdüğünü söyledi.
Bu ekonomik mantık aynı zamanda kontrol altına almayı da zorlaştırıyor. Ocak 2026'da bir dark web forumu, BTMOB dosyalarının çevrimdışı olmadan önce ücretsiz olarak kısa bir reklamını yaptı; bu, ticari kötü amaçlı yazılımların yeniden satış ve paylaşım başladıktan sonra ödeme yapan müşterilere nadiren kilitlendiğini hatırlattı.
Sonuç ve Değerlendirme
Yeni değişkenler çok hızlı bir şekilde üretilebildiği için ESET, savunucuları sabit bir örnek kümesi yerine hızlı yük değişimi beklemeleri konusunda uyardı.
Şirket, kullanıcılara yalnızca resmi mağazalardan uygulama yüklemelerini, istenmeyen bağlantılara şüpheyle yaklaşmalarını ve mobil güvenlik yazılımlarını diğer cihazlara uygulanan titizlikle çalıştırmalarını tavsiye etti.
ESET, "Kurumsal güvenlik ekipleri, çalışanlara tek bir hileli indirmenin şirketin en önemli varlıklarını açığa çıkarabileceğini açıkça belirtmelidir." dedi.