MalwareHackerangriffePhishing

BTMOB: Android-Trojaner mit Baukasten-System für maßgeschneiderte Phishing-Attacken

Von CyberDeutsch Redaktion
BTMOB: Android-Trojaner mit Baukasten-System für maßgeschneiderte Phishing-Attacken
Zusammenfassung

Das Android-Malware-Dienst BTMOB hat sich als bedeutende Bedrohung etabliert und wird Cyberkriminellen als Malware-as-a-Service-Plattform mit benutzerfreundlichem Builder zur Erstellung maßgeschneiderter Phishing-Payloads angeboten. Das Remote-Access-Trojanische Pferd besticht durch umfangreiche Funktionen wie Datendiebstahl, Abfangen von Finanztransaktionen, Screenshot-Erfassung und Fernsteuerungsmöglichkeiten. Die Sicherheitsfirma ESET dokumentierte, dass BTMOB öffentlich beworbene Dienste nutzt und sich durch ein intuitives APK-Builder-System auszeichnet, das keine Programmierkenntnisse erfordert. Obwohl die Malware bislang primär in Brasilien und Lateinamerika aktiv ist, stellt sie durch ihre Weiterentwicklung und rasante Verbreitung mittels gefälschter App-Stores eine wachsende globale Gefahr dar. Deutsche Unternehmen und Behörden könnten indirekt betroffen sein, da Malware-as-a-Service-Modelle zunehmend internationale Zielgruppen erschließen und die Techniken leicht adaptiert werden können. Besonders besorgniserregend ist die Abusierung von Android-Accessibility-Services zur Umgehung von Sicherheitsmechanismen. Nutzer sollten strikt nur Apps aus dem offiziellen Google Play Store installieren und verdächtige Berechtigungen regelmäßig überprüfen.

Das Android-Remote-Access-Trojanertum BTMOB stellt eine neue Stufe der Malware-Professionalisierung dar. Sicherheitsforscher der Firma ESET haben dokumentiert, dass die Schadsoftware offen im Clearweb als Dienstleistung vermarktet wird – komplett mit benutzerdefinierten Bausteinen für die Payload-Erstellung.

Funktionsumfang und Geschäftsmodell

Das System erlaubt es Kriminellen, eine Vielzahl von Funktionen zu konfigurieren: Selective Data Stealing, Abfangen von Finanztransaktionen, Screenshot-Erfassung und volle Fernsteuerung des Geräts. Das APK-Builder-Tool ermöglicht es, Berechtigungen zu definieren, die die App beim Installieren anfordert, und Verhaltensweisen festzulegen – etwa das Deaktivieren von Google Play, das Verbergen des App-Icons oder die Sperrung des Ruhemodus.

Vertrieben wird BTMOB über private Telegram-Kanäle. Das Preismodell ist einfach: 700 Dollar monatlich im Abo oder 5.000 Dollar für lebenslange Nutzung. Diese Preisstrategie macht die Malware auch für Kleinkriminelle zugänglich.

Verbreitungswege und Lure-Techniken

Die Malware wird über täuschend echte Phishing-Websites verbreitet, die als Streaming-Dienste oder Krypto-Mining-Plattformen getarnt sind. Opfer werden auf gefälschte Google-Play-Portale weitergeleitet. Besonders bemerkenswert: BTMOB-Kampagnen haben bereits argentinische Regierungsbehörden als Köder missbraucht – ein Indiz für gezielte, lokal angepasste Angriffe.

Einmal installiert, nutzt die Malware Android Accessibility Services, um sich erweiterte Berechtigungen zu sichern, ohne dass der Benutzer weitere Interaktionen durchführen muss.

Entwicklungsstand und Ursprünge

BTMOB ist nicht völlig neu. Das Sicherheitsunternehmen Cyble dokumentierte es bereits als fortgeschrittene Malware, und ANYRUN analysierte es im Februar 2025. Es scheint eine Evolution der SpySolr-Malware-Familie zu sein. Die Tatsache, dass Cyble in zwei Wochen etwa 15 Samples von BTMOB 2.5 identifizierte, deutet auf aktive Entwicklung hin.

Abwehrmaßnahmen und Risiken

Obwohl ESET die Bedrohung verfolgt und Erkennungsregeln regelmäßig aktualisiert, untergräbt die schnelle Generierung neuer Payloads die Wirksamkeit statischer Abwehrmaßnahmen. Das BSI empfiehlt deutschen Nutzern:

– Apps ausschließlich aus dem offiziellen Google Play Store installieren – Google Play Protect aktivieren und nutzen – Gefährliche Berechtigungen wie Accessibility Services restriktiv vergeben

Für Unternehmen bedeutet ein erfolgreicher Angriff nicht nur finanzielle Verluste, sondern auch Datenschutz-Meldepflichten und potenzielle DSGVO-Bußgelder.

Ähnliche Artikel