Vertrieben wird BTMOB an Cyberkriminelle über Telegram-Kanäle und weitere Websites. Die eigentlichen Opfer werden über Phishing-Seiten angegriffen, die Streaming-Dienste, Kryptowährungs-Plattformen und legitime App-Stores nachahmen. Von dort werden die Nutzer zu gefälschten App-Stores gelotst, die echte Repositorien imitieren und zur Installation einer schädlichen APK auffordern.
Der Preis ist vergleichsweise niedrig: Eine zeitlich unbegrenzte Lizenz kostet 5.000 US-Dollar. Jacob Krell, Senior Director für sichere KI-Lösungen und Cybersicherheit bei Suzu Labs, bezeichnet das in der digitalen Ökonomie der Kompromittierung mobiler Geräte als vergleichsweise günstig. „Mobilgeräte sind der Punkt, an dem die Ökonomie der industrialisierten Cyberkriminalität auf die höchsten Renditen im Exploit-Markt trifft", sagt er. Er verweist darauf, dass Crowdfense, ein bekannter Marktplatz für Schwachstellenforschung, derzeit bis zu fünf Millionen US-Dollar für eine einzelne Android-Zero-Click-Kette zahle. Bei solchen Renditen schlage sich jede Verbesserung der Werkzeuge für mobile Kampagnen unmittelbar in Gewinn nieder.
Das MaaS-Modell senkt zudem die Hürde für weniger versierte Angreifer. Barbosa verweist auf ein Dark-Web-Forum, das in diesem Jahr BTMOB-bezogene Dateien zum kostenlosen Download angeboten haben soll. „Das Forum ging später offline, und unsere Suche förderte die Schadlast nicht zutage", schreibt Barbosa. Der Vorfall verweise jedoch auf ein bekanntes Risiko bei kommerzieller Schadsoftware: Der Zugang bleibe selten dauerhaft eingegrenzt, und das Werkzeug könne über Weiterverkauf, Tausch oder das Teilen in geschlossenen Gruppen in Zweitmärkte gelangen.
Weil sich die Köder gezielt an einzelne Regionen anpassen lassen, verschafft BTMOB den Angreifern starke Möglichkeiten für Social Engineering und eine geografisch unbegrenzte Reichweite. Als jüngeres Beispiel nennt Barbosa eine Kampagne in Argentinien, bei der sich BTMOB als argentinische Steuer- und Zollbehörde ausgab. In Kombination mit den erweiterten Fähigkeiten des RAT reiche die Bedrohung damit über die derzeitige Verbreitungsregion hinaus. „Die Kombination aus Phishing-gestützter Verbreitung, fertigen Werkzeugen zum App-Bau und Funktionen zur Geräteübernahme macht BTMOB zu einer Bedrohung, die man weit über Brasilien oder Lateinamerika hinaus im Auge behalten sollte", schreibt Barbosa.
Nach der Installation versucht BTMOB, sich umfassenden Zugriff auf das Gerät zu verschaffen. Dazu missbraucht die Schadsoftware die Android-Bedienungshilfen (Accessibility Services), um sich erweiterte Berechtigungen sowie weiteren Systemzugriff und Kontrolle über das Gerät zu verschaffen – ohne dass dafür zusätzliche Nutzerinteraktion nötig ist.
ESET empfiehlt einige grundlegende Schutzmaßnahmen: Apps sollten ausschließlich aus dem offiziellen Google Play Store bezogen werden, wobei vor Nachahmungen des Marktplatzes zu warnen sei; Unternehmen sollten dies für ihre Beschäftigten verbindlich machen. Hinzu komme grundlegende Phishing-Hygiene, etwa unaufgefordert zugesandte Links mit Misstrauen zu behandeln. Schließlich sollten Privatpersonen wie Organisationen mobile Sicherheitslösungen einsetzen und Mobilgeräte mit derselben Sorgfalt behandeln wie andere Systeme. Für Verteidiger in Unternehmen hat Barbosa zudem Kompromittierungsindikatoren in seinem Beitrag veröffentlicht.
