Um trojan de acesso remoto (RAT), conhecido como BTMOB, tem avançado no Brasil e outros países da América Latina. Mirando em dispositivos Android, o malware chega até as vítimas por campanhas de engenharia social e canais e comunidades em redes sociais. Pesquisadores da ESET, empresa de cibersegurança, identificaram sinais de expansão no cenário local.
O BTMOB não é uma das ameaças mais detectadas no Brasil, mas tem potencial de crescimento impulsionado por dois fatores. De acordo com a ESET, a forma como o malware é distribuído para as vítimas e ofertas de compra da estrutura cibercriminosa, podem aumentar a sua adoção por cibercriminosos.
“O que observamos com o BTMOB é um movimento que vai além dos tradicionais trojans com foco em serviços bancários, muito comuns no Brasil. Essa ameaça amplia o escopo dos ataques ao permitir controle remoto completo do dispositivo, o que aumenta significativamente o impacto das campanhas”, afirma Daniel Barbosa, pesquisador de segurança da ESET Brasil.
Barbosa participou de outras apurações do TecMundo, incluindo o suposto vazamento de dados negado pelo Exército Brasileiro, e da reportagem especial sobre a exposição de informações pessoais de mais de 9 milhões de pernambucanos.
BTMOB monitora vítimas em tempo real
Classificado como um RAT, o BTMOB permite monitoramento em tempo real da tela do dispositivo infectado. Isso inclui registros de tudo o que é digitado, captura de dados sensíveis e até interações diretas com o aparelho da vítima. Aqui o foco não é só financeiro, mas principalmente, espionagem e sequestro de sessões ativas.
No Brasil, os criminosos têm distribuído o malware via aplicativos falsos e lojas maliciosas que imitam a Google Play Store. As campanhas também incluem páginas de phishing que se passam por serviços populares, como plataformas de streaming e soluções relacionadas a criptomoedas.
A Argentina também virou alvo dessas campanhas. Análises conduzidas pela ESET e por pesquisadores independentes, identificaram que criminosos chegaram a se passar por um órgão governamental argentino. Tudo para aumentar a credibilidade da fraude e ampliar o número de vítimas.
Tornar o malware um “streaming” dificulta fim das atividades
O BTMOB é comercializado como um Malware as a Service, um modelo de venda que já retratamos aqui no TecMundo como “Netflix do cibercrime”. Funciona assim, os donos da tecnologia a anunciam em grupos e fóruns cibercriminosos, com opções de assinaturas mensais, anuais ou vitalícias.
Esse modelo de venda é popular e preocupante porque não exige que os criminosos tenham experiência na área, basta assinar e a solução já está pronta. No caso do BTMOB, os criminosos fazem divulgação em páginas na internet e redirecionamento para contatos via Telegram, além de menções em redes sociais.
“Quando um malware passa a ser comercializado ou distribuído como serviço, o risco escala rapidamente. Isso facilita a criação de novas campanhas e aumenta o número de possíveis atacantes em circulação”, explica Barbosa.
O BTMOB permite a criação de múltiplas variantes, o que dificulta sua detecção e favorece a evolução constante das campanhas maliciosas.
Para especialistas, esse tipo de abordagem pode indicar uma tendência no ecossistema de ameaças. O surgimento de novas famílias de malware que combinam interfaces simplificadas e alto grau de personalização para diferentes tipos de ataques.
Como se proteger
Para se proteger, a ESET reforça a importância da conscientização dos usuários e da adoção de boas práticas de segurança digital.
Entre elas, estão inclusas evitar downloads fora de lojas oficiais, desconfiar de links recebidos por mensagens ou redes sociais e manter soluções de proteção atualizadas.
“A maioria dessas campanhas depende da interação do usuário. Por isso, combinar tecnologia com educação digital é essencial para reduzir riscos e evitar infecções”, conclui Barbosa.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.