Nach Angaben von ESET wird BTMOB als fertiges Schadpaket verkauft – inklusive einer APK-Builder-Oberfläche, mit der Angreifer ihre Köder anpassen und neue Schadpakete erzeugen können, ohne selbst Code zu schreiben. „Sobald jemand das Schadpaket kauft, kann er dessen Funktionen anpassen, einschließlich der Phishing-Köder, sodass diese die Marke oder Behörde imitieren, die im jeweiligen Land am ehesten Opfer anlockt“, so ESET.

Vermarktet wird die Schadsoftware über eine offen zugängliche Webseite, die auf einen Telegram-Kanal verweist. Zusätzlich kommen Konten auf X und Instagram zum Einsatz, um den Trojaner zu bewerben. Angeboten wird BTMOB als lebenslange Lizenz für 5.000 US-Dollar zuzüglich einer monatlichen Supportgebühr. In diesem Jahr wurden zugehörige Dateien zeitweise kostenlos in einem inzwischen offline gegangenen Darknet-Forum bereitgestellt.

Der Infektionsweg führt über Phishing-Nachrichten zu Webseiten, die sich als legitime Dienste ausgeben. Von dort werden die Opfer auf gefälschte App-Stores umgeleitet, die echte Repositorys nachahmen und die schädliche APK ausliefern.

Wird BTMOB auf einem Gerät ausgeführt, versucht der Trojaner, sich übermäßige Berechtigungen zu sichern. Dazu missbraucht er die Android-Bedienungshilfen, um seine Systemrechte ohne Zutun des Nutzers auszuweiten.

„Anders als Banking-Trojaner, die ‚nur‘ darauf abzielen, Finanzdaten zu stehlen oder Finanztransaktionen abzufangen, eröffnet BTMOB den Angreifern weiter reichende Möglichkeiten: vielfältige sensible Daten abzugreifen, Bildschirmfotos zu erstellen, Aktivitäten auf dem Gerät aufzuzeichnen und es letztlich aus der Ferne zu steuern“, erklärt ESET.

Das Unternehmen weist darauf hin, dass sich die Schadsoftware rasch verändert: Innerhalb kurzer Zeit seien zahlreiche Varianten aufgetaucht. Bestimmte Infrastrukturmuster seien jedoch über alle Versionen hinweg unverändert geblieben.