بدافزار اندرویدی BTMOB یک تروجان دسترسی از راه دور (RAT) است که در قالب یک سرویس Malware-as-a-Service (MaaS) به مجرمان سایبری عرضه میشود. این پلتفرم با استفاده از ابزار ساخت کد مخرب (Payload Builder) امکان تولید نسخههای سفارشی را فراهم میکند. بررسیها نشان میدهد بدافزار اندرویدی BTMOB به مهاجمان اجازه میدهد بدون نیاز به کدنویسی، فایلهای نصب مخرب (APK) را برای سناریوهای مختلف فیشینگ تولید و توزیع کنند.
قابلیتهای کلیدی بدافزار اندرویدی BTMOB در قالب RAT
این تروجان مجموعهای از قابلیتهای مخرب را ارائه میدهد، از جمله:
- سرقت دادههای مشخص و هدفمند
- رهگیری تراکنشهای مالی
- ثبت اسکرینشات از دستگاه
- کنترل از راه دور دستگاه آلوده
طبق اعلام ESET، بدافزار اندرویدی BTMOB بهعنوان یک سرویس MaaS بهصورت عمومی در کلیر وب یا به عبارتی بخش عمومی اینترنت (Clear Web) تبلیغ میشود. این سرویس شامل ابزار ساخت فایل APK است که امکان تولید سریع نسخههای سفارشی را بدون نیاز به کدنویسی فراهم میکند.
قابلیتهای ابزار ساخت بدافزار
این ابزار به اپراتورها اجازه میدهد مشخص کنند فایل APK هنگام اجرا چه مجوزهایی را از کاربر درخواست کند و پس از نصب چه اقداماتی را انجام دهد. برای نمونه، مهاجمان میتوانند فروشگاه گوگل پلی (Google Play) را غیرفعال کنند، آیکون برنامه را برای دشوارتر کردن شناسایی و حذف آن از دید کاربر پنهان سازند یا از ورود دستگاه به حالت Sleep جلوگیری کنند.
تمرکز جغرافیایی و سابقه فعالیت بدافزار اندرویدی BTMOB
بدافزار اندرویدی BTMOB بیشترین فعالیت خود را در برزیل و آمریکای لاتین نشان داده است. این تهدید پیشتر در فوریه 2025 توسط ANYRUN بررسی و توسط Cyble بهعنوان یک بدافزار پیشرفته ثبت شده است. در همان دوره، حدود 15 نمونه از نسخه 2.5 طی دو هفته شناسایی شد که نشاندهنده توسعه فعال آن است.
بر اساس گزارش ESET، فروش این سرویس از طریق کانالهای خصوصی تلگرام انجام میشود. دسترسی به آن با اشتراک ماهانه 700 دلار یا لایسنس دائمی 5000 دلار امکانپذیر است.
منشأ احتمالی و روش توزیع
بدافزار اندرویدی BTMOB احتمالاً نسخه تکاملیافته خانواده SpySolr است و از طریق وبسایتهای فیشینگ توزیع میشود. این سایتها خود را بهعنوان سرویسهای استریمینگ (Streaming services) و پلتفرمهای استخراج رمزارز معرفی میکنند.
سپس کاربران به صفحات جعلی مشابه گوگلپلی هدایت شده و به نصب اپلیکیشنهای مخرب ترغیب میشوند. در برخی کمپینها نیز از نام نهادهای دولتی برای فریب کاربران استفاده شده است.
طعمههای فیشینگ و سوءاستفاده از دسترسیپذیری
این پلتفرم علاوه بر تولید فایلهای APK، به اپراتورها اجازه میدهد طعمههای فیشینگ (phishing lures) سفارشی و متناسب با هر منطقه یا کمپین ایجاد کنند. بدافزار اندرویدی BTMOB پس از نصب، از سرویسهای دسترسیپذیری اندروید (Accessibility Services) برای افزایش سطح دسترسی و کنترل سیستم سوءاستفاده میکند.
چالش دفاعی و توصیهها
اگرچه ESET این تهدید را بهصورت مستمر رصد کرده و قوانین تشخیص ایستا (Static Detection Rules) را بهروزرسانی میکند، اما سرعت بالای تولید کدهای مخرب جدید میتواند کارایی راهکارهای دفاعی تکلایه را کاهش دهد. برای کاهش ریسک آلودگی، به کاربران اندروید توصیه میشود:
- تنها از فروشگاه رسمی گوگل پلی استور برای نصب اپلیکیشنها استفاده کنند.
- قابلیت محافظت گوگل پلی (Google Play Protect) را فعال کرده و برای اسکنهای دورهای استفاده کنند.
- مجوزهای حساس و پرریسک، بهویژه مجوزهای دسترسیپذیری (Accessibility) را در صورت عدم نیاز واقعی، غیرفعال یا لغو کنند.
