Android-троян BTMOB продают как сервис с подпиской за 700 долларов в месяц и пожизненной лицензией за 5000 долларов. Опасность не только в самом вредоносе, но и в том, что его авторы сделали для клиентов конструктор APK: под фишинговую легенду можно быстро собрать нужную сборку без навыков разработки. Для русскоязычной IT-аудитории это еще один сигнал: рынок мобильного malware-as-a-service взрослеет, а порог входа в атаки на Android продолжает падать.
О новой активности BTMOB сообщает BleepingComputer со ссылкой на исследование ESET. Речь идет об Android RAT, то есть трояне удаленного доступа, который умеет не только красть данные, но и перехватывать финансовые операции, делать скриншоты и фактически давать оператору удаленный контроль над устройством. Судя по описанию, BTMOB уже оформлен не как разовая вредоносная кампания, а как полноценная MaaS-платформа: с публичной рекламой в открытом интернете, продажами через закрытые Telegram-каналы и интерфейсом для кастомизации полезной нагрузки.
Ключевая деталь здесь именно в сборщике. Покупатель может выбрать, какие разрешения будет запрашивать APK после установки, и заранее задать поведение приложения. Среди доступных опций: отключение Google Play, скрытие иконки, чтобы жертве было сложнее удалить приложение, и блокировка перехода устройства в спящий режим. Иными словами, Android-троян BTMOB продают не просто как файл, а как сервис по выпуску фишинговых сборок под конкретный сценарий. Для преступников это удобно: не нужно писать код, достаточно подобрать легенду, язык, набор разрешений и механику маскировки.
По данным ESET, основная активность BTMOB сосредоточена в Бразилии и в целом в Латинской Америке. Но география в таких историях успокаивает ненадолго: если модель работает в одном регионе, она быстро масштабируется на другие рынки вместе с локализацией приманок. Тем более что сама платформа, как утверждают исследователи, помогает создавать кастомные и локализованные фишинговые обманки под тему кампании. Это важный сдвиг: раньше злоумышленникам приходилось либо довольствоваться шаблонными страницами, либо отдельно вкладываться в адаптацию под страну и контекст. Здесь локализация становится частью продукта.
Сам BTMOB нельзя назвать совсем новой угрозой. В феврале 2025 года его уже разбирал ANY.RUN, а компания Cyble тогда описывала его как продвинутый Android-вредонос. По данным Cyble, за неполные две недели было замечено около 15 образцов BTMOB 2.5, что указывало на активную доработку со стороны автора. Теперь история выглядит логично продолженной: если год назад речь шла о заметной разработческой активности, то теперь мы видим оформленную коммерциализацию. ESET также связывает BTMOB с развитием семейства SpySolr, то есть перед нами не внезапно возникший проект, а, вероятно, очередная эволюция уже существующей вредоносной линии.
Схема доставки тоже вполне узнаваемая, но от этого не менее неприятная. BTMOB распространяют через фишинговые сайты, которые маскируются под стриминговые сервисы и платформы для майнинга криптовалют. Пользователей перенаправляют на страницы, имитирующие Google Play, после чего убеждают скачать поддельное приложение. Отдельно исследователи Johnk3r и Merl недавно заметили кампании, где в качестве приманки использовалось аргентинское государственное ведомство. Это хороший пример того, как подобные платформы работают на стыке массового фишинга и точечной социальной инженерии: одна и та же инфраструктура может упаковываться хоть под развлекательный сервис, хоть под госуслугу, хоть под инвестиционный оффер.
После установки Android-троян BTMOB злоупотребляет сервисами Accessibility, чтобы получить расширенные права и дополнительный доступ к системе без дальнейшего участия пользователя. Для защитников Android это уже почти классика, но именно поэтому риск никуда не девается: Accessibility остается удобной точкой входа для мобильных троянов, особенно если жертва уже прошла через несколько экранов убеждения и считает приложение легитимным. На практике это означает, что одних сигнатур и блокировок по известным хэшам недостаточно. ESET прямо предупреждает: быстрая генерация новых сборок подрывает эффективность однослойной защиты, потому что образцы меняются быстрее, чем многие организации успевают обновлять правила детекта.
Для разработчиков мобильных продуктов, банковских команд, SOC и IT-директоров здесь несколько неприятных выводов. Во-первых, мобильный фишинг все чаще выглядит как конвейер, а не как ручная кустарная работа. Во-вторых, Android-троян BTMOB показывает, насколько опасно сочетание фейкового магазина приложений, социальной инженерии и злоупотребления Accessibility. В-третьих, региональная специализация больше не означает локальную угрозу: если оператору доступен конструктор приманок, перенос кампании на другой язык и рынок становится вопросом времени и маркетинга. Со стороны защиты это подталкивает к довольно прозаичным, но обязательным мерам: ограничивать установку приложений вне официального магазина, контролировать risky permissions через MDM, проверять аномалии вокруг Accessibility и не полагаться только на Play Protect как на единственный рубеж.
Пожалуй, самый показательный момент в этой истории не в самом трояне, а в упаковке продукта. Когда вредонос продается с билдером, тарифами и локализацией под кампанию, рынок мобильных атак начинает все больше напоминать обычный SaaS, только с куда более токсичной бизнес-моделью. Для индустрии это означает неприятный, но уже устойчивый тренд: конкурировать приходится не с отдельными авторами APK, а с сервисами, которые превращают мобильный фишинг в повторяемый и масштабируемый процесс.
The post BTMOB превратили в конструктор Android-фишинга по подписке appeared first on iTech News.