Laut ESET wird BTMOB über private Telegram-Kanäle verkauft. Interessenten zahlen entweder 700 US-Dollar im Monat für ein Abonnement oder 5.000 US-Dollar für eine unbefristete Lizenz. Die Plattform wird offen im Clearweb beworben.

Der enthaltene APK-Builder ermöglicht es, Payloads ohne Programmierkenntnisse anzupassen. Kunden wählen aus, welche Berechtigungen die App bei der Installation verlangt, und legen ihr Verhalten fest – darunter das Deaktivieren von Google Play, das Verbergen des App-Symbols zur Erschwerung der Deinstallation sowie das Unterbinden des Ruhemodus.

BTMOB ist kein neuer Trojaner. ANYRUN untersuchte die Malware bereits, und das auf Threat Intelligence und digitalen Risikoschutz spezialisierte Unternehmen Cyble stufte sie als fortgeschrittene Android-Schadsoftware ein. Cyble entdeckte damals rund 15 Samples der Version BTMOB 2.5 innerhalb von knapp zwei Wochen – ein Hinweis darauf, dass der Autor die Malware aktiv weiterentwickelte. Aktiv ist BTMOB vor allem in Brasilien und Lateinamerika.

Nach Einschätzung von ESET handelt es sich um eine Weiterentwicklung der Malware-Familie SpySolr. Verbreitet wird der Trojaner über Phishing-Websites, die sich als Streamingdienste und Krypto-Mining-Plattformen ausgeben. Potenzielle Opfer werden auf Portale umgeleitet, die Google Play nachahmen, und dort zum Herunterladen der gefälschten Apps aufgefordert.

Die Forscher Johnk3r und Merl beobachteten kürzlich BTMOB-Kampagnen, die eine argentinische Regierungsbehörde als Köder nutzten. Die Plattform unterstützt Betreiber außerdem dabei, individuelle, lokalisierte Phishing-Köder passend zum Thema der jeweiligen Kampagne zu erstellen.

Nach der Installation missbraucht BTMOB die Android-Bedienungshilfen (Accessibility Services), um ohne weiteres Zutun des Nutzers erweiterte Berechtigungen und zusätzlichen Systemzugriff zu erlangen.

ESET verfolgt die Bedrohung und aktualisiert die statischen Erkennungsregeln entsprechend. Allerdings kann die schnelle Erzeugung immer neuer Payloads die Wirksamkeit einlagiger Schutzmaßnahmen untergraben. ESET empfiehlt Android-Nutzern, Apps ausschließlich aus dem offiziellen Google Play Store zu installieren, sie mit Play Protect zu prüfen und riskante, weitreichende Berechtigungen wie den Zugriff auf die Bedienungshilfen zu entziehen, sofern sie nicht ausdrücklich benötigt werden.