Μια νέα και πολύ επικίνδυνη απειλή στον κόσμο των κινητών συσκευών εμφανίζεται, καθώς το κακόβουλο λογισμικό BTMOB έχει βρει ευρύ πεδίο δράσης ανάμεσα στους κυβερνοεγκληματίες. Το συγκεκριμένο trojan απομακρυσμένης πρόσβασης για Android παρέχει μια διαισθητική διεπαφή που επιτρέπει στους χρήστες του να δημιουργούν προσαρμοσμένα ωφέλιμα φορτία κακόβουλου λογισμικού, εστιάζοντας ιδιαιτέρως σε θέλγητρα phishing.
Η εταιρεία κυβερνοασφάλειας ESET έχει εντοπίσει ότι το BTMOB προσφέρεται ως υπηρεσία malware (MaaS), διευκολύνοντας έτσι την εξάπλωσή του. Αυτό το πρόγραμμα περιλαμβάνει ένα εργαλείο που επιτρέπει σε οποιονδήποτε να προσαρμόσει τον κακόβουλο κώδικα χωρίς προηγούμενη γνώση προγραμματισμού.
Οι χρήστες του BTMOB μπορούν να επιλέξουν ποια δικαιώματα θα ζητήσει το APK κατά την εγκατάσταση, ρυθμίζοντας ενέργειες όπως η απόκρυψη του εικονιδίου της εφαρμογής από τη λίστα εφαρμογών ή η παρεμπόδιση της λειτουργίας αδράνειας.
Πηγή: ESET
Είναι ενδιαφέρον ότι το BTMOB δραστηριοποιείται κυρίως στην αγορά της Βραζιλίας και γενικότερα της Λατινικής Αμερικής. Η απειλή αυτή έχει προκύψει όχι πρόσφατα, καθώς ερευνητικές αναφορές από τον Φεβρουάριο του 2025 είχαν ήδη εντοπίσει δείγματα του συγκεκριμένου κακόβουλου λογισμικού. Η Cyble, μια εταιρεία που ειδικεύεται στην ανάλυση ψηφιακών απειλών, καταγράφει το BTMOB ως μια προηγμένη απειλή για συστήματα Android.
Σύμφωνα με τις αναλύσεις της ESET, το BTMOB προσφέρεται σε εγκληματίες μέσω ιδιωτικών καναλιών στο Telegram, με τη μηνιαία συνδρομή να ανέρχεται στα 700 δολάρια ή τη δυνατότητα αγοράς άδειας ζωής γι’ αυτό το κακόβουλο εργαλείο για 5.000 δολάρια.
Πηγή: ESET
Το BTMOB φαίνεται να έχει εξελιχθεί από την οικογένεια κακόβουλου λογισμικού SpySolr και διανέμεται σε περιβάλλοντα phishing που προσποιούνται ότι είναι υπηρεσίες streaming ή πλατφόρμες κρυπτονομισμάτων, με στόχο την υποκλοπή δεδομένων. Οι χρήστες ανακατευθύνονται σε παραπλανητικές πύλες που μιμούνται το Google Play και τους ζητείται να κατεβάσουν ψεύτικες εφαρμογές.
Οι ερευνητές Johnk3r και Merl εντόπισαν πρόσφατες καμπάνιες που χρησιμοποίησαν κυβερνητικές υπηρεσίες ως δόλωμα για να προσελκύσουν θύματα από τις αρμόδιες αρχές της Αργεντινής.
Πηγή: Merl
Η πλατφόρμα τούτη επιτρέπει επίσης στους χειριστές να δημιουργούν προσαρμοσμένα θέλγητρα phishing, ανταγωνιζόμενα στη σχετική καμπάνια. Αφού εγκατασταθεί, αξιοποιεί τις Υπηρεσίες Προσβασιμότητας του Android για να αποκτήσει ειδικά δικαιώματα και πρόσβαση στο σύστημα χωρίς περαιτέρω παρέμβαση από τον χρήστη.
Αν και η ESET παρακολουθεί την εξέλιξη της απειλής και ενημερώνει τακτικά τους κανόνες ανίχνευσης, η γρήγορη παραγωγή νέων ωφέλιμων φορτίων καθιστά δύσκολη την αποτελεσματική ανίχνευση και αποτροπή των επιθέσεων.
Συνιστάται στους χρήστες Android να εγκαθιστούν αποκλειστικά εφαρμογές από το επίσημο Google Play Store, να κάνουν χρήση του Play Protect και να ανακαλούν επικίνδυνες άδειες, όπως η πρόσβαση στην Προσβασιμότητα, εάν δεν είναι απαραίτητη.
Τα αυτοματοποιημένα εργαλεία διείσδυσης προσφέρουν πραγματική αξία, αλλά κατασκευάστηκαν για να απαντήσουν σε μια ερώτηση: μπορεί ένας εισβολέας να μετακινηθεί μέσω του δικτύου; Δεν δημιουργήθηκαν για να ελέγξουν εάν τα χειριστήρια σας μπλοκάρουν απειλές, αν ενεργοποιούνται οι κανόνες ανίχνευσης ή αν διατηρούνται οι διαμορφώσεις του cloud.
Αυτός ο οδηγός καλύπτει τις 6 επιφάνειες που πρέπει πραγματικά να επικυρώσετε.
