BTMOB, il malware-as-a-service che elimina ogni barriera tecnica al controllo
ESET ha documentato BTMOB, un RAT Android venduto come servizio con builder no-code. Per 5.000 dollari a vita, anche attaccanti low-skill possono generare payl…
Contenuto
Nota metodologica. L'analisi seguente si basa su ricerca ESET pubblicata il 26 maggio 2026, con convergenza di fonti secondarie. Solo WeLiveSecurity rappresenta fonte primaria vendor; le altre fonti riportano i risultati ESET.
ESET ha pubblicato il 26 maggio 2026 l'analisi di BTMOB, un trojan ad accesso remoto per Android evoluto dalla famiglia SpySolr. La ricerca, condotta dai ricercatori Johnk3r e Merl, documenta un ecosistema commerciale in cui un investimento di 5.000 dollari per licenza a vita — oppure 700 dollari al mese in abbonamento — consente di generare payload personalizzati, definire esche di phishing e distribuire campagne di takeover del dispositivo. Il builder APK integrato non richiede competenze di programmazione.
- BTMOB è un RAT Android venduto come MaaS con builder APK no-code.
- Prezzo: 700 dollari mensili o 5.000 dollari a vita, più supporto mensile non quantificato.
- Vendite su canali Telegram privati, promozione su X e Instagram.
- Campagne documentate: streaming, mining di criptovalute, agenzie governative; caso specifico AFIP argentina.
- Abuso di Android Accessibility Services per privilegi elevati senza interazione utente aggiuntiva.
- Capacità: exfiltrazione dati, screenshot, registrazione attività, controllo remoto, overlay su app bancarie.
Il builder no-code e la mutazione rapida dei payload
L'elemento distintivo di BTMOB è l'interfaccia di personalizzazione inclusa nell'offerta commerciale. Secondo l'analisi ESET, riportata da multiple fonti, il builder consente ai clienti di selezionare da un set predefinito i permessi richiesti dall'APK all'installazione e di definire le azioni che l'app deve eseguire.
Questa architettura produce mutazione rapida. Nuove varianti possono essere generate velocemente, con turnover rapido degli indicatori di compromissione. ESET rileva che la generazione rapida di nuovi payload può compromettere l'efficacia delle difese basate su firme singole.
ESET ha rilevato ~15 campioni di BTMOB versione 2.5 in circa due settimane all'inizio del 2025. La fonte non specifica quanti di questi campioni siano stati generati dal builder commerciale rispetto a varianti create manualmente.
Accessibility Services: il cavallo di Troia dei permessi Android
Una volta installato, BTMOB abusa dei servizi di accessibilità di Android per ottenere permessi elevati senza ulteriore interazione utente. Questa tecnica è documentata nel panorama delle minacce mobile; la sua integrazione in un prodotto commerciale ready-to-use ne amplifica l'impatto distributivo.
I servizi di accessibilità consentono alle app di leggere il contenuto dello schermo, simulare tocchi, intercettare testo inserito. BTMOB sfrutta questo canale per attacchi overlay su applicazioni bancarie e per esfiltrazione continua di dati.
La scelta di Android riflette la flessibilità del sistema di permessi, la possibilità di installare APK da fonti esterne e la frammentazione degli aggiornamenti di sicurezza. ESET sottolinea che, diversamente dai trojan bancari tradizionali, BTMOB offre opzioni più ampie: exfiltrazione di dati sensibili, cattura di screenshot, registrazione dell'attività sul dispositivo e controllo remoto.
Il mirino sulle aziende con policy BYOD
"Corporate security teams must make it clear to employees that a single rogue download could expose the company's crown jewels" — ESET (via Infosecurity Magazine)
DeafNews analizza. BTMOB mette in luce una disconnessione strutturale nella postura di sicurezza enterprise. Le aziende hanno investito in endpoint protection per workstation, EDR per server, segmentazione di rete. Il dispositivo mobile — spesso personale, con accesso a mail corporate e app SaaS — rimane una periferia con protezione inferiore.
DeafNews analizza. Il modello MaaS abbassa la barriera economica e tecnica all'ingresso. Un attore senza competenze di compilazione APK può lanciare campagne localizzate, con esche che impersonano agenzie fiscali nazionali. ESET documenta che l'attaccante può adattare le caratteristiche del kit, incluse le esche di phishing, per impersonare il marchio o l'agenzia più attrattiva nel paese target.
La distribuzione avviene tramite siti web di phishing e account social media, con reindirizzamento verso falsi app store che mimano Google Play. L'utente che installa l'APK concede al malware l'accesso richiesto attraverso l'interfaccia di installazione standard Android.
Cosa fare adesso
Implicazioni operative redazionali. Le fonti ESET non forniscono direttive architetturali specifiche; i dettagli tecnici dell'infrastruttura C2 oltre gli IOC pubblicati risultano non documentati. Da questo contesto derivano le seguenti considerazioni:
Le policy BYOD richiedono rivalutazione. Un dispositivo personale con accesso a risorse aziendali che installa un APK malevolo espone dati corporate presenti sul dispositivo. La fonte non specifica tecniche di mitigazione operative; il focus ESET è sul rilevamento e sulla consapevolezza utente.
La consapevolezza utente rappresenta il punto di intervento documentato. ESET enfatizza che i team di sicurezza devono comunicare chiaramente i rischi del download di app da fonti non ufficiali. La personalizzazione rapida delle esche rende difficile il riconoscimento statico: un'agenzia fiscale locale, un servizio di streaming regionale, una piattaforma di mining nota nel paese target possono tutti essere impersonati.
Il rilevamento per firme affronta limiti strutturali. La generazione rapida di varianti uniche per campagna comprime la finestra di efficacia delle difese single-layered. ESET segnala che ~15 campioni in due settimane indicano sviluppo attivo; la fonte non quantifica la quota generata dal builder rispetto a varianti manuali.
Perché è importante
DeafNews analizza. BTMOB non rappresenta un avanzamento tecnico nel codice del malware, ma un avanzamento nel modello di distribuzione. La "fonderia" di payload — metafora editoriale per indicare la capacità di generazione industriale — trasforma competenze tecniche in commodity acquistabile.
La geografia documentata rimane Brasile e America Latina, con caso specifico dell'AFIP argentina. Il potenziale di espansione globale esiste per via della personalizzazione localizzata delle esche, ma le fonti non confermano campagne attive al di fuori della regione al momento della pubblicazione.
Il caso di gennaio 2026 — un forum dark web che ha offerto file BTMOB gratuitamente prima di andare offline — aggiunge incertezza. ESET non ha recuperato i payload; la fonte non verifica se i file fossero autentici. Questo elemento, non quantificato, introduce variabile di rischio sul controllo esclusivo del toolkit da parte degli operatori commerciali.
La ricerca ESET, con convergenza di fonti secondarie, documenta un ecosistema in cui il controllo remoto di dispositivi Android è accessibile a budget e competenze precedentemente insufficienti. Il dispositivo che entra in riunione con videocamera attiva, che accede a mail corporate, che ospita app di autenticazione — questo dispositivo, se compromesso, espone dati aziendali senza necessità di attraversare firewall o segmenti di rete tradizionali.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.
Fonti
- https://www.bleepingcomputer.com/news/security/btmob-android-malware-service-generates-custom-phishing-payloads/
- https://www.securityweek.com/new-btmob-android-malware-enables-full-device-takeover/
- https://www.welivesecurity.com/en/malware/btmob-stealthy-rat-burrowing-deep-android-devices/
- https://www.darkreading.com/cyberattacks-data-breaches/btmob-rat-brazil-latam-maas-model
- https://www.infosecurity-magazine.com/news/btmob-android-rat-maas-builder/
- https://cybersecuritynews.com/btmob-malware-control-android-devices/
- https://gbhackers.com/btmob-malware-allows-cybercriminals/
- https://www.infosecurity-magazine.com/news/cert-in-12-hour-patch-deadline-ai/
- https://www.bleepingcomputer.com/
- https://www.bleepingcomputer.com/download/
- https://deals.bleepingcomputer.com/