Trojan akses jarak jauh Android bernama BTMOB ditawarkan kepada penjahat dunia maya dengan antarmuka pembuat untuk menghasilkan muatan malware yang disesuaikan dengan umpan phishing.
Malware ini menyediakan serangkaian fitur yang mencakup mencuri data tertentu, mencegat transaksi keuangan, menangkap tangkapan layar, dan kemampuan kendali jarak jauh.
Perusahaan keamanan siber ESET mengatakan bahwa BTMOB diiklankan secara terbuka di clearweb dan beroperasi sebagai platform malware-as-a-service (MaaS). Pembuat APK yang disertakan dalam penawaran ini memberikan penyesuaian payload yang mudah tanpa perlu membuat kode apa pun.
Pelanggan dapat memilih dari serangkaian izin yang diminta APK saat instalasi, dan menentukan tindakan apa yang harus diambil aplikasi (misalnya, menonaktifkan Google Play, menyembunyikan ikonnya agar lebih sulit dihapus dari perangkat, atau mencegah mode tidur).
Sumber: ESET
Perlu dicatat bahwa BTMOB sebagian besar aktif di Brasil dan Amerika Latin. Ini bukan trojan Android baru ANYURUN menganalisisnya pada bulan Februari 2025, dan perusahaan intelijen ancaman dan perlindungan risiko digital Cyble mendokumentasikannya sebagai malware Android tingkat lanjut.
Pada saat itu, Cyble terlihat sekitar 15 sampel BTMOB 2.5 dalam hampir dua minggu, menunjukkan bahwa pembuatnya secara aktif mengembangkan malware.
Menurut peneliti ESETpenjualan dilakukan di saluran Telegram pribadi. Pelaku ancaman bisa mendapatkannya dengan berlangganan bulanan sebesar $700, atau mereka dapat membayar $5.000 untuk lisensi seumur hidup.
Sumber: ESET
BTMOB tampaknya merupakan evolusi dari keluarga malware SpySolr dan didistribusikan melalui situs web phishing yang menyamar sebagai layanan streaming dan platform penambangan mata uang kripto.
ESET melaporkan bahwa calon korban diarahkan ke portal yang meniru Google Play dan diminta untuk mengunduh aplikasi palsu. Itu
Peneliti Johnk3r Dan Merle baru-baru ini melihat kampanye BTMOB yang menggunakan lembaga pemerintah Argentina sebagai daya tariknya.
Sumber: Merl
Platform malware ini juga membantu operator menghasilkan umpan phishing khusus dan terlokalisasi agar sesuai dengan topik kampanye. Setelah diinstal, ia menyalahgunakan Layanan Aksesibilitas Android untuk mendapatkan izin yang lebih tinggi dan akses sistem tambahan tanpa interaksi pengguna lebih lanjut.
Meskipun ESET melacak ancaman dan memperbarui aturan deteksi statis, namun generasi muatan baru yang cepat dapat melemahkan efektivitas pertahanan berlapis tunggal.
Pengguna Android disarankan untuk hanya menginstal aplikasi dari Google Play Store resmi di ponsel mereka, memindai dengan Play Protect, dan mencabut izin yang berisiko dan kuat, seperti akses Aksesibilitas, jika tidak diperlukan secara eksplisit.
Kesenjangan Validasi: Pentesting Otomatis Menjawab Satu Pertanyaan. Anda Membutuhkan Enam.
Alat pentesting otomatis memberikan nilai nyata, namun alat tersebut dibuat untuk menjawab satu pertanyaan: dapatkah penyerang bergerak melalui jaringan? Mereka tidak dibuat untuk menguji apakah kontrol Anda memblokir ancaman, aturan deteksi Anda diaktifkan, atau konfigurasi cloud Anda dipertahankan.
Panduan ini mencakup 6 permukaan yang sebenarnya perlu Anda validasi.
