MalwarePhishingCyberkriminalität

BTMOB: Neuer Android-Trojaner ermöglicht vollständige Geräteübernahme

Von CyberDeutsch Redaktion
BTMOB: Neuer Android-Trojaner ermöglicht vollständige Geräteübernahme
Zusammenfassung

Die neu entdeckte Android-Malware BTMOB stellt eine wachsende Bedrohung für Mobilfunknutzer weltweit dar. Das Remote-Access-Trojanische Pferd, das vermutlich auf der SpySolr-Malware basiert, wird hauptsächlich über Phishing-Attacken verbreitet, die täuschend echte Streaming-Dienste, Kryptowährungs-Mining-Plattformen oder andere vertraute Services imitieren. Besonders besorgniserregend ist die Verfügbarkeit eines professionellen APK-Builder-Tools, mit dem Cyberkriminelle ohne technische Programmierkenntnisse maßgeschneiderte Malware-Varianten für verschiedene geografische Zielregionen erstellen können. Einmal auf einem Gerät installiert, verschafft sich BTMOB umfassende Zugriffsrechte durch Missbrauch von Android-Accessibility-Services und ermöglicht es Angreifern, sensible Daten zu stehlen, Screenshots zu erstellen, Nutzeraktivitäten aufzuzeichnen und die vollständige Kontrolle über das Gerät zu übernehmen. Während BTMOB bislang hauptsächlich in Lateinamerika beobachtet wurde, warnt ESET vor einer globalen Ausbreitung. Deutsche Nutzer, Unternehmen und Behörden sollten diese Entwicklung ernst nehmen, da die schnelle Mutation der Malware und ihre einfache Anpassbarkeit ein erhebliches Sicherheitsrisiko für Android-Geräte darstellen.

Der BTMOB-Trojaner gilt als Weiterentwicklung der älteren Malware SpySolr und stellt eine neue Qualität der Android-Bedrohung dar. Im Gegensatz zu klassischen Banking-Trojanern, die sich primär auf das Abgreifen von Zugangsdaten konzentrieren, bietet BTMOB Angreifern ein deutlich breiteres Spektrum an Möglichkeiten: Sensitive Daten werden geleert, Bildschirminhalte aufgezeichnet und die komplette Kontrolle über das Gerät übernommen.

Die Verbreitung erfolgt über Phishing-Nachrichten, die Nutzer zu gefälschten Websites führen. Diese imitieren vertrauenswürdige Dienste und leiten auf fraudulente App-Stores weiter, die das schädliche APK-Paket ausgeben. Nach Installation nutzt BTMOB die Android Accessibility Services, um erhöhte Systemrechte zu erlangen – ohne dass der Nutzer dies bemerkt.

Das Geschäftsmodell der Entwickler ist bemerkenswert: Über eine öffentlich zugängliche Website und einen Telegram-Kanal wird das Toolkit beworben, auch auf den Social-Media-Plattformen X und Instagram. Die flexible Anpassbarkeit durch den integrierten APK-Builder ermöglicht es Kriminellen, lokalisierte Köder zu erstellen, die gezielt für bestimmte Länder und Marken optimiert sind. Im Januar 2026 wurden Dateien des RAT sogar kostenlos in einem Dark-Web-Forum veröffentlicht.

Ein großer Vorteil für Angreifer ist die hohe Mutationsgeschwindigkeit des Schadcodes. ESET beobachtete zahlreiche Varianten in kurzer Zeit – eine Herausforderung für traditionelle Malware-Erkennungsmechanismen. Allerdings weisen die verschiedenen Iterationen bestimmte Infrastrukturmuster auf, die konstant bleiben und damit Forensik-Arbeit ermöglichen.

Obwohl BTMOB derzeit primär in Lateinamerika aktiv ist, betont ESET, dass die Bedrohung nicht regional begrenzt bleibt. Deutsche Nutzer sollten Vorsicht walten lassen: Phishing-Mails mit lokalisierten Ködern – etwa als vermeintliche Updates beliebter deutscher Dienste – könnten bald auftauchen. Das BSI empfiehlt, Apps ausschließlich aus dem offiziellen Google Play Store zu installieren, Zugriffsberechtigung kritisch zu prüfen und Accessibility Services nur für legitime Apps zu aktivieren.

Ähnliche Artikel