BTMOB, il RAT Android stealthy che trasforma lo smartphone in una backdoor

BTMOB emerge come una delle minacce Android più insidiose nel panorama del malware-as-a-service, perché unisce distribuzione tramite phishing, abuso degli Accessibility Services, builder APK no-code e funzioni da remote access trojan capaci di trasformare un dispositivo infetto in una postazione controllabile a distanza. L’analisi di ESET collega questa famiglia all’evoluzione di SpySolr, ma il salto operativo è evidente: il malware non si limita al furto bancario, bensì abilita screenshot, registrazione dello schermo, esfiltrazione di dati sensibili, persistenza e takeover remoto. Le prime rilevazioni arrivano dal Brasile, ma la struttura commerciale del tool, la promozione su canali social e la possibilità di generare varianti rapidamente rendono BTMOB una minaccia potenzialmente globale. Il dato più preoccupante non riguarda solo la sofisticazione tecnica, ma la sua accessibilità: chi acquista il servizio può creare payload personalizzati senza scrivere codice, adattare i luring al contesto locale e distribuire APK malevoli attraverso falsi store che imitano servizi di streaming, piattaforme crypto o portali istituzionali.

BTMOB evolve da SpySolr e diventa un RAT Android completo

BTMOB nasce come evoluzione del malware SpySolr, ma supera il perimetro classico dei trojan Android focalizzati sul banking e assume le caratteristiche di un RAT generalista, persistente e adattabile. Il trojan consente agli attaccanti di esfiltrare una vasta gamma di dati sensibili, catturare screenshot in tempo reale, registrare ciò che avviene sullo schermo e controllare da remoto il dispositivo compromesso. Questa combinazione permette di osservare sessioni di navigazione, interazioni con app finanziarie, digitazioni, messaggi, contenuti personali e possibili dati aziendali presenti sul telefono. La minaccia diventa quindi più ampia rispetto al semplice furto di credenziali bancarie, perché offre agli operatori uno strumento di sorveglianza continua e di preparazione ad attacchi successivi. La prima descrizione pubblica risale a febbraio 2025, mentre le rilevazioni successive attribuite da ESET confermano l’attività del malware e la sua espansione. Il codice conserva elementi riconducibili al predecessore SpySolr, ma li integra con meccanismi di persistenza più robusti e con un’interfaccia di gestione semplificata per gli acquirenti del servizio. Questo passaggio è strategico perché sposta BTMOB dal ruolo di campione tecnico isolato a quello di prodotto criminale pronto all’uso, capace di alimentare campagne distribuite da gruppi diversi e con competenze molto eterogenee.

Il modello MaaS abbassa la barriera d’ingresso del cybercrime mobile

La commercializzazione di BTMOB come malware-as-a-service rappresenta il principale moltiplicatore di rischio. Gli sviluppatori offrono un kit con builder APK che consente di generare nuovi payload in pochi clic, senza competenze di programmazione e senza necessità di modificare manualmente il codice. Questo modello industrializza la produzione di varianti e permette anche ad attori meno sofisticati di lanciare campagne Android credibili, localizzate e difficili da contrastare con sole firme statiche. Il servizio viene promosso attraverso una pagina pubblica che indirizza i potenziali clienti verso un operatore su Telegram, mentre account su X e Instagram contribuiscono alla visibilità del tool. Il prezzo riportato per una licenza lifetime si aggira intorno ai 4585 euro, con una fee mensile di supporto, cifra relativamente bassa se confrontata con i potenziali guadagni di frodi, furti di identità o compromissioni aziendali. A gennaio 2026, file collegati a BTMOB sono comparsi gratuitamente su un forum dark web prima della scomparsa della risorsa, mostrando un rischio tipico dei prodotti MaaS: una volta distribuito, il tool può uscire dal controllo degli autori originali, finire in mercati secondari, essere rivenduto, riconfezionato o condiviso in gruppi chiusi. La disponibilità di un builder no-code accelera il turnover dei campioni, rende instabili gli hash come indicatori unici e costringe i difensori a concentrarsi su comportamento, infrastruttura e catena di infezione.

Il phishing resta il vettore iniziale delle campagne BTMOB

Le campagne di BTMOB iniziano con una forma classica ma efficace di ingegneria sociale. Gli operatori inviano link verso siti di phishing che imitano servizi di streaming video, piattaforme di mining di criptovalute o portali legati a contesti locali. Le vittime vengono reindirizzate verso falsi store di applicazioni, costruiti per sembrare repository legittimi, e vengono spinte a scaricare un APK malevolo. La forza del modello non dipende da exploit sofisticati o vulnerabilità zero-day, ma dalla capacità di convincere l’utente a installare volontariamente il payload. Gli attaccanti adattano i luring al paese bersaglio e modificano rapidamente i messaggi in base agli eventi locali, ai brand più riconoscibili o alla fiducia verso istituzioni pubbliche. In Argentina, per esempio, sono state osservate campagne che impersonavano autorità fiscali e doganali per aumentare credibilità e urgenza. Questa modularità sociale rende BTMOB particolarmente pericoloso perché il contenuto dell’esca può cambiare più velocemente delle regole di blocco tradizionali. Una volta raggiunto il falso store, la vittima deve solo autorizzare l’installazione dell’app. Il processo appare semplice, diretto e spesso coerente con la narrativa del sito, mentre il malware inizia subito a preparare la fase successiva: la richiesta dei permessi di accessibilità, vero punto di svolta dell’infezione.

L’abuso degli Accessibility Services garantisce persistenza e controllo profondo

Dopo l’installazione, BTMOB richiede e abusa degli Accessibility Services di Android per ottenere un livello di controllo molto superiore a quello di una normale applicazione. Questa tecnica consente al malware di osservare elementi dell’interfaccia, intercettare input, automatizzare interazioni e concedersi permessi senza continue conferme manuali da parte dell’utente. L’abuso dell’accessibilità è ormai una tattica ricorrente nel malware Android moderno, ma BTMOB la usa in modo particolarmente efficace per consolidare la persistenza e operare in background con visibilità ridotta. Il trojan può mantenere l’accesso dopo il riavvio del dispositivo, monitorare lo schermo, interagire con altre applicazioni e aggirare molte protezioni comportamentali che presuppongono un utente consapevole al centro del flusso decisionale. Il carattere stealthy nasce proprio da questa ambiguità: il malware si presenta come un servizio che sfrutta funzioni legittime del sistema operativo, ma le usa per finalità offensive. Una volta concessi i permessi, la vittima perde progressivamente il controllo reale del dispositivo, anche se l’interfaccia continua ad apparire normale. Questo rende BTMOB difficile da individuare per utenti non esperti e per organizzazioni che non applicano controlli specifici sui permessi Android, sulle app installate fuori da Google Play e sull’uso anomalo dei servizi di accessibilità.

Screenshot, registrazione dello schermo ed esfiltrazione rendono BTMOB una minaccia di spionaggio

Una volta stabilito l’accesso persistente, BTMOB attiva le proprie funzioni operative più invasive. Il malware può catturare screenshot su comando o a intervalli regolari, registrare attività visuali sullo schermo, raccogliere dati sensibili e inviarli ai server di comando e controllo. Queste capacità consentono agli attaccanti di ricostruire comportamenti dell’utente, sessioni di autenticazione, interazioni con app bancarie, conversazioni, dati personali e informazioni aziendali eventualmente presenti sul dispositivo. Il controllo remoto aggiunge un ulteriore livello di rischio perché permette di aprire app, modificare impostazioni, cercare file, osservare notifiche e agire direttamente sul telefono compromesso. La combinazione di screen recording, screenshot, esfiltrazione e comando remoto rende BTMOB utilizzabile non solo per frodi finanziarie, ma anche per sorveglianza prolungata, furto di identità, estorsione o compromissione di account professionali. Il trojan riduce al minimo i segnali visibili, evitando impatti evidenti sulle prestazioni e cercando di non generare sospetti immediati. Questo approccio è coerente con un malware progettato per restare installato abbastanza a lungo da raccogliere informazioni di valore e permettere agli operatori di decidere come monetizzare l’accesso.

L’infrastruttura C2 mostra pattern utili per il rilevamento

L’infrastruttura di comando e controllo di BTMOB mostra pattern ricorrenti che aiutano i team di sicurezza a correlare varianti diverse anche quando i payload cambiano rapidamente. Secondo gli indicatori forniti da ESET, le campagne coinvolgono indirizzi IP e domini associati a server di gestione, tra cui 74.125.202.103, 142.251.183.138, 173.194.193.138, 173.194.206.106, 178.156.177.192, 191.101.131.250, 195.160.221.203, 104.21.64.137, 173.194.194.94, 191.96.224.87, 191.96.225.241, 191.96.78.172, 191.96.78.28, 191.96.79.133, 191.96.79.179, 191.96.79.41, 192.178.209.95, 200.9.155.153, 74.125.132.95, 78.135.93.123, 79.133.57.141 e il dominio arbsniper.com. La comunicazione verso il C2 avviene in modo discreto e mira a evitare intercettazioni, blocchi o analisi immediate. Gli attaccanti aggiornano frequentemente server e domini per mantenere attivi i campioni già distribuiti e aggirare liste di blocco statiche. Per i difensori, il monitoraggio dell’infrastruttura diventa quindi più affidabile della semplice dipendenza dagli hash, perché consente di individuare relazioni operative tra varianti differenti. La presenza di pattern ricorrenti non elimina la difficoltà di rilevazione, ma offre un punto di partenza concreto per triage, threat hunting e correlazione nelle piattaforme SIEM, EDR mobile e soluzioni di sicurezza di rete.

Gli indicatori di compromissione supportano il triage rapido

Gli indicatori di compromissione associati a BTMOB includono un ampio insieme di hash SHA256 e nomi di rilevazione che aiutano i team di sicurezza a identificare campioni attivi nelle fasi di triage. Questi indicatori sono utili per identificazioni puntuali, ma non possono essere l’unica linea di difesa perché il builder MaaS consente di produrre rapidamente campioni con hash diversi.

La mutazione rapida delle varianti complica la difesa

La maggiore difficoltà per i difensori nasce dalla capacità di BTMOB di generare varianti in tempi molto brevi. Ogni payload può cambiare hash, nome, icona, lure, configurazione o dettagli superficiali, pur mantenendo le stesse funzioni core di abuso degli Accessibility Services, comunicazione con C2, controllo remoto ed esfiltrazione. Il modello MaaS favorisce questa proliferazione perché distribuisce il potere di produzione del malware tra più operatori, ognuno dei quali può adattare il kit al proprio scenario criminale. Le firme statiche diventano quindi rapidamente incomplete, mentre acquistano importanza l’analisi comportamentale, il monitoraggio delle richieste di accessibilità, l’identificazione dei falsi store, la correlazione dell’infrastruttura e la rilevazione di pattern comuni nei flussi di rete. BTMOB sfrutta tecniche di offuscamento e cerca di confondersi tra processi apparentemente legittimi, riducendo i segnali immediatamente riconoscibili. La natura sociale dell’infezione complica ulteriormente il quadro, perché molte campagne non hanno bisogno di vulnerabilità tecniche ma sfruttano fiducia, urgenza e abitudine all’installazione di app esterne. Per le organizzazioni, il rischio cresce quando dispositivi personali o aziendali Android accedono a email, chat interne, documenti o applicazioni cloud senza una policy rigorosa di mobile security.

Le misure di protezione riducono il rischio di infezione

La difesa contro BTMOB richiede una combinazione di igiene digitale, controllo dei permessi e monitoraggio tecnico. Scaricare applicazioni esclusivamente da Google Play riduce drasticamente l’esposizione ai falsi store usati nelle campagne di phishing, mentre la diffidenza verso link ricevuti via email, messaggistica o annunci sponsorizzati resta fondamentale per impedire l’installazione iniziale dell’APK. Gli utenti devono prestare particolare attenzione alle richieste di accesso agli Accessibility Services, soprattutto quando provengono da app appena installate, servizi non riconosciuti o software che non hanno alcun motivo legittimo per controllare lo schermo e interagire con altre applicazioni. Le aziende dovrebbero usare soluzioni di sicurezza mobile capaci di rilevare sideloading, permessi anomali, comunicazioni verso infrastrutture sospette e comportamenti tipici dei RAT Android. Aggiornare regolarmente sistema operativo e app riduce la superficie d’attacco, ma nel caso di BTMOB il punto centrale resta la prevenzione dell’installazione e il blocco dell’abuso dell’accessibilità. La formazione degli utenti diventa quindi parte della difesa tecnica, perché il malware sfrutta prima la fiducia e poi il sistema operativo. In un ecosistema mobile sempre più usato per autenticazione, pagamenti, lavoro remoto e comunicazioni sensibili, un singolo APK installato fuori canale può trasformare lo smartphone in una backdoor personale e aziendale.