Un nuevo malware de Android llamado BTMOB está dotando incluso a atacantes con poca experiencia de un control remoto total sobre los teléfonos infectados, combinando un potente motor RAT con un kit de creación de campañas sin código.

La amenaza, vista por primera vez en 2025, está evolucionando rápidamente a través de un modelo de malware como servicio (MaaS) y campañas activas de phishing en todo el mundo.

BTMOB es un troyano de acceso remoto (RAT) de Android que evolucionó de la familia SpySolr y fue documentado por primera vez a principios de 2025.

A diferencia de los troyanos bancarios clásicos centrados solo en datos financieros, BTMOB está diseñado para la vigilancia y el control total del dispositivo.

El malware puede exfiltrar una amplia gama de datos sensibles, capturar capturas de pantalla, registrar la actividad del dispositivo y otorgar a los operadores un acceso remoto persistente al teléfono comprometido.

Los investigadores señalan que sus capacidades rivalizan con las de los RAT de nivel de escritorio, lo que lo convierte en una amenaza de alto impacto tanto para consumidores como para empresas.

Una característica clave que diferencia a BTMOB es su empaquetado comercial como un producto MaaS con un generador de APK integrado.

Los compradores pueden generar nuevas cargas útiles de APK maliciosas y personalizar señuelos de phishing para países específicos sin escribir ningún código, reduciendo drásticamente la barrera de entrada.

La herramienta se comercializa a través de una página promocional en la web abierta que redirige a los compradores a Telegram, junto con cuentas de vendedores en plataformas sociales como X e Instagram.

Los informes indican licencias perpetuas de alrededor de 5,000 USD, un coste relativamente bajo en comparación con los beneficios potenciales de fraude que puede generar una campaña exitosa.

El malware BTMOB secuestra dispositivos Android

BTMOB se apoya fuertemente en la ingeniería social y la entrega basada en phishing. Los operadores dirigen a las víctimas a sitios de phishing que suplantan servicios de streaming, plataformas de criptomonedas u otras marcas conocidas, para luego redirigirlos a tiendas de aplicaciones falsas que promocionan APK maliciosas.

Los atacantes adaptan los señuelos a contextos locales, incluyendo campañas que suplantan agencias fiscales o gubernamentales en países como Argentina y otras regiones destacadas por agencias cibernéticas nacionales.

Una vez que la víctima instala el APK manualmente, el malware solicita permisos extensos y abusa de los Servicios de Accesibilidad de Android para concederse privilegios adicionales silenciosamente.

Tras la instalación, BTMOB establece canales de comando y control para permitir la administración remota del dispositivo en tiempo real.

Los operadores pueden ver la pantalla, interactuar con aplicaciones, recolectar credenciales mediante superposiciones, interceptar mensajes y exfiltrar archivos y datos del dispositivo.

Al instrumentalizar los Servicios de Accesibilidad, BTMOB puede manipular elementos de la interfaz de usuario, aprobar permisos y ejecutar acciones sin la interacción del usuario, al tiempo que realiza ataques de superposición contra aplicaciones bancarias y de pago para robar credenciales y códigos de un solo uso.

Algunas variantes pueden descargar módulos adicionales, ampliando sus capacidades según los objetivos de cada campaña.

Debido a que BTMOB se vende como una plataforma MaaS basada en un generador, se pueden crear nuevas variantes de carga útil rápidamente, lo que permite una rotación veloz de los indicadores de compromiso (IOC).

IOC de Infraestructura

Dominios

• arbsniper[.]com

Direcciones IP

• 74.125.202[.]103
• 142.251.183[.]138
• 173.194.193[.]138
• 173.194.206[.]106
• 178.156.177[.]192
• 191.101.131[.]250
• 195.160.221[.]203
• 104.21.64[.]137
• 173.194.194[.]94
• 191.96.224[.]87
• 191.96.225[.]241
• 191.96.78[.]172
• 191.96.78[.]28
• 191.96.79[.]133
• 191.96.79[.]179
• 191.96.79[.]41
• 192.178.209[.]95
• 200.9.155[.]153
• 74.125.132[.]95
• 78.135.93[.]123
• 79.133.57[.]141

IOC de Hash de Archivos

Hashes SHA256

• 58AC130A8EBB09E37592AC69841483EDC5695D1545B1F04F23D5B760AC17CD94
• 0A542751724A432A8448324613E0CE10393E41739A1800CBB7D5A2C648FCDC35
• A764D73795ABE47AE640BA09999A18C47B5340E5ECC7B897AFEBF34F3F37638F
• 26A2268281E8043125EF72B92F8980B42912048753D56894BC378FB54C7C188A
• 6AE94CE710016D86ED7457236DEEF2C4C51478587F3609B6E827A348828B3931
• E5A9FDFF900DD502E8F3DCE52D2D1B69AA9AFAFB5094A28F9037E8770DB0E63B
• C6199E175FB988CBBEACDF0F5ACDF9ED83F5BDAAE5C95B7A6C27EE72CD11B0B1
• 6BBA64FA9E8A7B11CB2476CD071DE08986DB44B0783EFF211C68FA5594EF8143
• 5AAAF972C8BF39A98F2748E526DE3CC0370BA831997D7D9765CDABA599645C0D
• DDCE0219923D152B8FACD303F058A6286CF1F6924992B9FB9F5BF4D96436CC39

IOC de Detección

Firmas de ESET

• Android/Agent.FQK
• Android/TrojanDropper.Agent.NES
• Android/Spy.Agent.EIJ
• Android/Spy.Agent.EIK
• Android/TrojanDropper.Agent.NDK
• Android/Spy.Spysolr.A
• Android/Spy.Agent.EUG
• Android/Spy.Agent.EWN
• Android/Spy.Agent.FFE
• Android/Spy.Agent.FFL

Nota: Las direcciones IP y los dominios han sido desactivados intencionalmente (por ejemplo, [.]) para evitar la resolución accidental o el hipervínculo. Actívalos solo dentro de plataformas controladas de inteligencia de amenazas como MISP, VirusTotal o tu SIEM.

Los proveedores de seguridad han observado múltiples versiones, incluyendo BTMOB v2.5, en periodos cortos de tiempo, a medida que los operadores iteran sobre las cargas útiles y las técnicas de evasión.

Según WeLiveSecurity de ESET en un informe, las muestras relacionadas con BTMOB se detectan bajo familias como MSIL/BtmobRat y múltiples firmas Android/Spy.Agent o Android/TrojanDropper, lo que refleja vínculos con malware anteriores basados en SpySolr.

Los analistas advierten que las copias filtradas o pirateadas que circulan en los foros podrían ampliar aún más el acceso e inspirar cadenas de herramientas imitadoras.

Cómo puedes mantenerte seguro

Se insta a los defensores a aplicar políticas estrictas de obtención de aplicaciones y a aumentar la concienciación del usuario.

Las organizaciones deben exigir la instalación únicamente desde tiendas oficiales, bloquear la carga lateral siempre que sea posible y entrenar a los usuarios para que traten con escepticismo los enlaces no solicitados y las aplicaciones "gratuitas" de streaming o criptomonedas.

Las soluciones de seguridad móvil con detección de comportamiento y monitoreo del abuso de accesibilidad pueden ayudar a detectar amenazas similares a BTMOB.

Si bien las empresas deben tratar los smartphones como puntos finales de alto valor, deberían aplicar el mismo registro, monitoreo estilo EDR y manuales de respuesta a incidentes que utilizan para portátiles y servidores.

Dada la evolución de BTMOB impulsada por su generador, los defensores deben combinar IOC actualizados con detección basada en anomalías para mantenerse al ritmo de las nuevas variantes.