Una RAT sigilosa que se adentra en los dispositivos Android

El malware combina capacidades de acceso remoto con herramientas de campaña listas para usar, lo que reduce la barrera para el compromiso total del dispositivo.

26 de mayo de 2026
•
,
6 min. leer

Nuestra reciente revisión de las detecciones de amenazas en Brasil reveló BTMOB, un troyano de acceso remoto (RAT) de Android que se destaca menos por el volumen de detección que por el daño que puede causar. La combinación de entrega basada en phishing, herramientas de creación de aplicaciones listas para usar y capacidades de adquisición de dispositivos convierte a BTMOB en una amenaza a tener en cuenta mucho más allá de Brasil o América Latina.

BTMOB de un vistazo

Primero descrito En febrero de 2025, BTMOB evolucionó a partir del malware SpySolr. A diferencia de los troyanos bancarios, que “sólo” apuntan a robar las credenciales financieras de las personas o interceptar sus transacciones financieras, BTMOB ofrece a los adversarios opciones más amplias: filtrar una variedad de datos confidenciales, capturar capturas de pantalla y registrar la actividad en el dispositivo y, en última instancia, tomar el control remoto del mismo. El RAT también se vende con una interfaz de creación de APK, lo que permite a cualquiera generar nuevas cargas útiles y adaptar señuelos de phishing para regiones específicas a un ritmo rápido y sin escribir ningún código.

¿Cómo se propaga BTMOB?

Como era de esperar, todo comienza con la ingeniería social ordinaria. Los operadores envían a las víctimas a sitios web de phishing que se hacen pasar por servicios de streaming, plataformas de minería de criptomonedas u otros servicios en línea familiares. A partir de ahí, las víctimas son empujadas hacia tiendas de aplicaciones falsas que imitan repositorios legítimos y les solicitan que instalen un APK malicioso. También se ha visto a malos actores adaptando sus señuelos a regiones específicas.

Una vez instalado, BTMOB busca un amplio acceso al dispositivo. Como es común hoy en día, abusa de los Servicios de Accesibilidad de Android para obtener permisos elevados y otorgarse más acceso al sistema sin interacción adicional del usuario.

Dado que está diseñado para la economía del malware como servicio (MaaS), BTMOB se comercializa como un producto de software, incluso a través de una página promocional en la web abierta que dirige a los posibles compradores a un operador de Telegram. El canal de ventas se extiende a través de plataformas de redes sociales, con varias cuentas en X e Instagram vendiendo activamente la herramienta.

Una vez que alguien compra el kit malicioso, puede adaptar sus características, incluidos los señuelos de phishing, para hacerse pasar por la marca o agencia con mayor probabilidad de atraer a las víctimas en un país determinado. Por ejemplo, los investigadores Johnk3r y Merl Recientemente se detectaron campañas que difunden BTMOB haciéndose pasar por las autoridades tributarias y aduaneras de Argentina.

Dinámica del mercado y desafíos de detección

Incluso cuando los desarrolladores inicialmente restringen la herramienta a los clientes que pagan, la economía sigue siendo favorable para los atacantes. Una licencia vitalicia de $5,000 más una tarifa de soporte mensual es baja en comparación con los retornos que puede generar una operación de fraude exitosa.

Además, el modelo MaaS también reduce la barrera para adversarios menos sofisticados. En enero de 2026, un foro de la web oscura afirmó ofrecer archivos relacionados con BTMOB para su descarga gratuita. Más tarde, el foro se desconectó y nuestra búsqueda no recuperó la(s) carga(s) útil(s), pero el episodio apunta a un riesgo familiar con el malware comercial: el acceso rara vez permanece contenido para siempre y la herramienta puede moverse a mercados secundarios mediante reventa, trueque o intercambio dentro de grupos cerrados. Las familias de malware competidoras también pueden copiar algunos elementos que facilitan la personalización de la carga útil y la gestión de campañas para los delincuentes menos capacitados.

Como se pueden generar nuevas variantes rápidamente, los defensores deberían esperar una rápida rotación de la carga útil en lugar de un conjunto estable de amenazas. Los productos de ESET detectan la herramienta principal como MSIL/BtmobRat, mientras que las variantes relacionadas de Android activan detecciones como Android/Spy.Agent.EED, Android/Spy.Agent.EIJ y Android/Spy.Agent.EIK. informe de cyble de febrero de 2025 señaló que se habían detectado aproximadamente 15 muestras de BTMOB v2.5 desde finales de enero de ese año, es decir, en apenas dos semanas aproximadamente.

Cómo protegerte

Algunos consejos básicos le ayudarán en gran medida a mantenerse a salvo de BTMOB y ​​otros programas maliciosos de Android:

• Cíñete a la tienda de aplicaciones oficial: los atacantes confían en tiendas de aplicaciones falsas que imitan a Google Play. Las organizaciones deben exigir que los usuarios descarguen software exclusivamente de repositorios oficiales.
• Trate los enlaces con sospecha: sea escéptico con respecto a los enlaces no solicitados enviados por correo electrónico, aplicaciones de mensajería, redes sociales y anuncios dirigidos.
• Utilice software de seguridad: Tanto las personas como las organizaciones deben utilizar soluciones de seguridad móvil y tratar los dispositivos móviles con el mismo rigor que otras máquinas y entornos. Los equipos de seguridad corporativa deben dejar claro a los empleados que una sola descarga no autorizada podría exponer las joyas de la corona de la empresa.

Indicadores de compromiso

Debido a que BTMOB «muta» rápidamente, muchos indicadores pueden envejecer rápidamente. Sin embargo, los patrones de infraestructura específicos a menudo se repiten en diferentes muestras y ayudan en la clasificación.

direcciones IP

Hashes – SHA256

Nombres de detección de ESET