BTMOB ist ein Remote-Access-Trojaner (RAT) für Android, der Cybersicherheitsexperten Sorgen bereitet. Sie gilt als Weiterentwicklung der SpySolr-Malware und zeichnet sich durch ihr Verkaufsmodell als Dienst aus, der ein APK-Erstellungstool bereitstellt. Cyberkriminelle können ohne Programmierkenntnisse raffinierte Angriffe starten.
Wie infiziert BTMOB Android-Geräte?
Der Infektionsprozess beginnt mit klassischem Social Engineering. Opfer werden auf Phishing-Seiten gelockt, die sich als Streaming-Plattformen, Kryptowährungen und sogar Regierungsbehörden ausgeben.
Diese Websites leiten die Opfer dann zu gefälschten App-Stores weiterimitieren den Google Play Store, wo sie dazu verleitet werden, eine bösartige APK-Datei herunterzuladen.
Sobald die BTMOB-Malware installiert ist, missbraucht sie Android-Eingabehilfen, um sich selbst erhöhte Berechtigungen zu gewähren. Diese gängige Technik ermöglicht einen umfassenden Zugriff, ohne dass eine zusätzliche Interaktion des Benutzers erforderlich ist.
Was macht diese Malware so gefährlich?
Im Gegensatz zu Banking-Trojanern, die in erster Linie auf Finanzdaten abzielen, bietet BTMOB viel umfassendere Möglichkeiten.
ESET-Forscher weisen auf die Exfiltration verschiedener sensibler Daten, Screenshots, die Aufzeichnung von Aktivitäten auf dem Gerät und letztendlich auf die Fernsteuerung des Geräts hin.
Die eigentliche Gefahr liegt jedoch im Malware-as-a-Service-Wirtschaftsmodell, das von einer APK-Erstellungsschnittstelle begleitet wird. “ Jeder, der schnell neue Payloads generieren und Phishing-Köder auf bestimmte Länder zuschneiden kann, ohne eine einzige Codezeile schreiben zu müssen. „
Der Schädling profitiert von starker Werbung im Internet, in sozialen Netzwerken und bei Telegram. Eine lebenslange Lizenz wird sogar für rund 5.000 US-Dollar angeboten.
