BTMOB: новый Android-троян удалённого доступа угрожает пользователям за пределами Латинской Америки

Впервые этот зловред описали ещё в феврале 2025 года. Он эволюционировал от более раннего вредоносного ПО SpySolr. В отличие от банковских троянов, целью которых обычно является кража учётных данных или перехват финансовых транзакций, BTMOB даёт злоумышленникам гораздо более широкие возможности. Он позволяет извлекать разнообразные конфиденциальные данные, делать снимки экрана, записывать активность на устройстве и, в конечном счёте, брать управление смартфоном под полный контроль. Особую опасность представляет конструктор APK-файлов, входящий в комплект поставки. С его помощью любой покупатель может быстро генерировать новые варианты вредоносных программ и адаптировать фишинговые сайты для конкретных регионов - причём без необходимости писать код.

Как распространяется BTMOB? Ничего неожиданного: всё начинается с обычной социальной инженерии. Операторы отправляют жертвам ссылки на фишинговые сайты, которые маскируются под сервисы потокового видео, платформы для майнинга криптовалют или другие знакомые онлайн-сервисы. Далее пользователей направляют на поддельные магазины приложений, имитирующие легитимные репозитории, и убеждают установить вредоносный APK. Злоумышленники нередко адаптируют приманки под конкретную страну. Например, исследователи Джонк3р и Мерл недавно обнаружили кампании, в которых BTMOB распространялся под видом официального приложения налоговых и таможенных органов Аргентины.

После установки троян запрашивает обширный доступ к устройству. Как это часто бывает, он злоупотребляет службой специальных возможностей Android (Android Accessibility Services) - функцией, предназначенной для помощи людям с ограниченными возможностями. Через неё вредонос получает повышенные привилегии и предоставляет себе дальнейший доступ к системе без дополнительных действий со стороны пользователя.

BTMOB построен по модели "вредоносное ПО как услуга" (MaaS - схема, при которой злоумышленники продают доступ к своей инфраструктуре за плату). Он рекламируется как программный продукт, включая промо-страницу в открытом интернете, которая направляет потенциальных покупателей на аккаунт в Telegram. Каналы продаж охватывают и социальные сети: множество аккаунтов в X и Instagram* активно предлагают этот инструмент. Цена вопроса относительно невелика: лицензия на всё время жизни продукта стоит около пяти тысяч долларов плюс ежемесячная плата за поддержку. Для преступной группировки это копейки по сравнению с потенциальным доходом от успешной операции.

Экономика подобных схем остаётся крайне привлекательной для атакующих. Более того, модель MaaS снижает порог входа для менее опытных преступников. В январе 2026 года один из форумов в даркнете якобы предлагал файлы BTMOB для свободной загрузки. Позже форум закрылся, и исследователям не удалось восстановить вредоносные образцы, но сам эпизод указывает на знакомый риск: доступ к коммерческому вредоносному ПО редко остаётся ограниченным навсегда. Инструмент может попасть на вторичные рынки через перепродажу, обмен или передачу внутри закрытых групп. Конкурирующие семейства вредоносных программ также могут позаимствовать элементы, упрощающие настройку и управление кампаниями для менее квалифицированных преступников.

Сочетание возможностей удалённого доступа с готовыми инструментами для проведения кампаний делает BTMOB особенно опасным. Защитникам инфраструктуры следует ожидать быстрой смены вариантов вредоносного ПО, а не стабильного набора угроз. Продукты ESET обнаруживают основной инструмент как MSIL/BtmobRat, а связанные варианты для Android вызывают срабатывание детектов Android/Spy.Agent.EED, Android/Spy.Agent.EIJ и Android/Spy.Agent.EIK. Согласно отчёту компании Cyble от февраля 2025 года, всего за пару недель, начиная с конца января, было замечено примерно 15 образцов BTMOB версии 2.5.

Несколько базовых правил помогут снизить риск заражения. Во-первых, следует устанавливать приложения исключительно из официального магазина Google Play. Злоумышленники полагаются на поддельные магазины, имитирующие официальный репозиторий. Организациям стоит обязать сотрудников загружать программы только из проверенных источников. Во-вторых, нужно с осторожностью относиться к любым нежелательным ссылкам, приходящим по электронной почте, в мессенджерах, социальных сетях и в виде таргетированной рекламы. В-третьих, и частным лицам, и компаниям следует использовать решения для мобильной безопасности и относиться к смартфонам с той же строгостью, что и к другим устройствам и средам. Корпоративным командам по безопасности необходимо чётко донести до сотрудников: одна неосторожная загрузка может открыть злоумышленникам доступ к самым ценным данным компании.

BTMOB - яркий пример того, как коммерциализация вредоносного ПО и упрощение доступа к сложным инструментам атаки создают новые вызовы для индустрии информационной безопасности. Угроза больше не ограничивается географией или уровнем подготовки злоумышленника, и игнорировать этот тренд больше нельзя.

* Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.

IPv4

• 104.21.64.137
• 142.251.183.138
• 173.194.193.138
• 173.194.194.94
• 173.194.206.106
• 178.156.177.192
• 191.101.131.250
• 191.96.224.87
• 191.96.225.241
• 191.96.78.172
• 191.96.78.28
• 191.96.79.133
• 191.96.79.179
• 191.96.79.41
• 192.178.209.95
• 195.160.221.203
• 200.9.155.153
• 74.125.132.95
• 74.125.202.103
• 78.135.93.123
• 79.133.57.141

Domains

• arbsniper.com

SHA256

• 02a52c4cc11748d44c9b49d508ee4e46425661981fa1406f30ec0830cb69ddc5
• 0628ad6d1fd836b13b22e75fa169502d8ce78b7ad20f0261eb5151da98437bca
• 0a542751724a432a8448324613e0ce10393e41739a1800cbb7d5a2c648fcdc35
• 140a7f995b0336942691a2e93e2017fd575267c017c7d0728d69169306f91963
• 168f50bf9a87099094ef410e3ac33e676a6a8740a5437cd09e7b63d73df8431a
• 1a60cb5f7e2fb7c09fc3dc8459108b26ac98ee73131f37a28cfdad5fc75b7a7d
• 244d81fd9908cd17815501d4edadeb1baf1c421aa25d8bd61c7cb481c939540e
• 2525d1e427a9983b0b4ca0906a4b44ffb9814b23d53fd8a2e3ab6512b027c733
• 26a2268281e8043125ef72b92f8980b42912048753d56894bc378fb54c7c188a
• 512ede9f2fa794907999f3c26165557fdfd383b7aad71ba022ce2c8ba6c0019d
• 58ac130a8ebb09e37592ac69841483edc5695d1545b1f04f23d5b760ac17cd94
• 5a4e86bbcf0ebc455d2995db225d9ad682e9b37b6bad472a604a462099d988bd
• 5aaaf972c8bf39a98f2748e526de3cc0370ba831997d7d9765cdaba599645c0d
• 6101d1e1811db052f869f7eb3402dad28da7e92103d4a44ee43f95846a075012
• 676cb2d0a60403afc06cea1b572cb7261f706365fac65621b5a4907893e7ac0d
• 6844ce1539014571360495c6fb50965e813c2721663bdd40d577d9e5163773c6
• 6ae94ce710016d86ed7457236deef2c4c51478587f3609b6e827a348828b3931
• 6bba64fa9e8a7b11cb2476cd071de08986db44b0783eff211c68fa5594ef8143
• 6f9832ebb4c3054bee4a6ce5ccb69c00e2020053e1308353343097e6a4041109
• 702261ba38b57ecc3a5407fed28b2f0611a74c2ec0c116aea4f9e6def0899aed
• 752c1cfe783ed343e470ab95a4843a23872cdc98b7d3ed5633dd6c881c071a14
• 75dd4fb011ed598374a46fc0d9c0d1d64a298341c34afc83a56a6983cfd27764
• 7ac974899e8e05aaacd417577c97e382d5e8c5f7f4a85632cffb47ec2f6ae4e0
• 8f09274e808e0063d51f34cac82a5770b3df30c792e426da2f6a80657f27affc
• 97a0497de585d3be6ec75064ab3bd0979cd85561193c1f0669ccf4db31330687
• 998a7ed1572ad9dc11375bc25294e1954e606b7cff9fabc5c120713e597cd274
• a1e457c52eab430c20d48f2ac476e080386313f16efb135a0471902cf68ce475
• a764d73795abe47ae640ba09999a18c47b5340e5ecc7b897afebf34f3f37638f
• a892f1ef2e530d67bf948a48c734da3f27718eb8b883ca0b686ddb0a81071731
• aa56f350882ce63429c6626567487b041f06168bb60f4fc371a262eabadfa660
• c6199e175fb988cbbeacdf0f5acdf9ed83f5bdaae5c95b7a6c27ee72cd11b0b1
• c99139b0053c4c698ea0246d26d747f2a984c7aba4613da818ecd9f97899ef3a
• d55057cd9110d12a192281356f06b94f342b9febb305cf0a5898a7e6af40758f
• ddce0219923d152b8facd303f058a6286cf1f6924992b9fb9f5bf4d96436cc39
• e5a9fdff900dd502e8f3dce52d2d1b69aa9afafb5094a28f9037e8770db0e63b
• f76b13040c634f82a8332ff9443d84c89a5bced51ae9adad7fd15c05fadb4324