{"id":345,"date":"2026-05-27T07:43:02","date_gmt":"2026-05-27T07:43:02","guid":{"rendered":"https:\/\/escudodigital.uy\/index.php\/2026\/05\/27\/una-rat-sigilosa-que-se-adentra-en-los-dispositivos-android\/"},"modified":"2026-05-27T07:43:02","modified_gmt":"2026-05-27T07:43:02","slug":"una-rat-sigilosa-que-se-adentra-en-los-dispositivos-android","status":"publish","type":"post","link":"https:\/\/escudodigital.uy\/index.php\/2026\/05\/27\/una-rat-sigilosa-que-se-adentra-en-los-dispositivos-android\/","title":{"rendered":"Una RAT sigilosa que se adentra en los dispositivos Android"},"content":{"rendered":"
\n

El malware combina capacidades de acceso remoto con herramientas de campa\u00f1a listas para usar, lo que reduce la barrera para el compromiso total del dispositivo.<\/p>\n

\n
\"Daniel<\/picture><\/div>\n<\/div>\n

\n 26 de mayo de 2026<\/span>
\n \u2022 <\/span>
\n , <\/span>
\n 6 min. leer<\/span>\n <\/p>\n

\n \"BTMOB:<\/picture> <\/div>\n<\/div>\n
\n

Nuestra reciente revisi\u00f3n de las detecciones de amenazas en Brasil revel\u00f3 BTMOB, un troyano de acceso remoto (RAT) de Android que se destaca menos por el volumen de detecci\u00f3n que por el da\u00f1o que puede causar. La combinaci\u00f3n de entrega basada en phishing, herramientas de creaci\u00f3n de aplicaciones listas para usar y capacidades de adquisici\u00f3n de dispositivos convierte a BTMOB en una amenaza a tener en cuenta mucho m\u00e1s all\u00e1 de Brasil o Am\u00e9rica Latina.<\/p>\n

BTMOB de un vistazo<\/h2>\n

Primero descrito<\/a> En febrero de 2025, BTMOB evolucion\u00f3 a partir del malware SpySolr. A diferencia de los troyanos bancarios, que \u201cs\u00f3lo\u201d apuntan a robar las credenciales financieras de las personas o interceptar sus transacciones financieras, BTMOB ofrece a los adversarios opciones m\u00e1s amplias: filtrar una variedad de datos confidenciales, capturar capturas de pantalla y registrar la actividad en el dispositivo y, en \u00faltima instancia, tomar el control remoto del mismo. El RAT tambi\u00e9n se vende con una interfaz de creaci\u00f3n de APK, lo que permite a cualquiera generar nuevas cargas \u00fatiles y adaptar se\u00f1uelos de phishing para regiones espec\u00edficas a un ritmo r\u00e1pido y sin escribir ning\u00fan c\u00f3digo.<\/p>\n

\"Imagen1\"
\n

Figura 1. Herramienta de creaci\u00f3n de APK BTMOB<\/em><\/p>\n<\/figcaption><\/figure>\n

\u00bfC\u00f3mo se propaga BTMOB?<\/h2>\n

Como era de esperar, todo comienza con la ingenier\u00eda social ordinaria. Los operadores env\u00edan a las v\u00edctimas a sitios web de phishing que se hacen pasar por servicios de streaming, plataformas de miner\u00eda de criptomonedas u otros servicios en l\u00ednea familiares. A partir de ah\u00ed, las v\u00edctimas son empujadas hacia tiendas de aplicaciones falsas que imitan repositorios leg\u00edtimos y les solicitan que instalen un APK malicioso. Tambi\u00e9n se ha visto a malos actores adaptando sus se\u00f1uelos a regiones espec\u00edficas.<\/p>\n

Una vez instalado, BTMOB busca un amplio acceso al dispositivo. Como es com\u00fan hoy en d\u00eda, abusa de los Servicios de Accesibilidad de Android para obtener permisos elevados y otorgarse m\u00e1s acceso al sistema sin interacci\u00f3n adicional del usuario.<\/p>\n

\"Imagenm2\"
Figura 2. Tienda de aplicaciones falsa y aplicaciones maliciosas. Fuente: @Merlax_<\/a>)<\/em><\/figcaption><\/figure>\n

Dado que est\u00e1 dise\u00f1ado para la econom\u00eda del malware como servicio (MaaS), BTMOB se comercializa como un producto de software, incluso a trav\u00e9s de una p\u00e1gina promocional en la web abierta que dirige a los posibles compradores a un operador de Telegram. El canal de ventas se extiende a trav\u00e9s de plataformas de redes sociales, con varias cuentas en X e Instagram vendiendo activamente la herramienta. <\/p>\n

\"Imagenm3\"
Figura 3. Oferta BTMOB en la web de superficie<\/em><\/figcaption><\/figure>\n
\"Imagenm4\"
Figura 4. Perfil X vinculado al malware<\/em><\/figcaption><\/figure>\n

Una vez que alguien compra el kit malicioso, puede adaptar sus caracter\u00edsticas, incluidos los se\u00f1uelos de phishing, para hacerse pasar por la marca o agencia con mayor probabilidad de atraer a las v\u00edctimas en un pa\u00eds determinado. Por ejemplo, los investigadores Johnk3r<\/a> y Merl<\/a> Recientemente se detectaron campa\u00f1as que difunden BTMOB haci\u00e9ndose pasar por las autoridades tributarias y aduaneras de Argentina.<\/p>\n

\"Imagen5\"
Figura 5. BTMOB haci\u00e9ndose pasar por una agencia del gobierno argentino. (Fuente: Germ\u00e1n Fern\u00e1ndez Bacian<\/a>)<\/em><\/figcaption><\/figure>\n

Din\u00e1mica del mercado y desaf\u00edos de detecci\u00f3n<\/h2>\n

Incluso cuando los desarrolladores inicialmente restringen la herramienta a los clientes que pagan, la econom\u00eda sigue siendo favorable para los atacantes. Una licencia vitalicia de $5,000 m\u00e1s una tarifa de soporte mensual es baja en comparaci\u00f3n con los retornos que puede generar una operaci\u00f3n de fraude exitosa.<\/p>\n

Adem\u00e1s, el modelo MaaS tambi\u00e9n reduce la barrera para adversarios menos sofisticados. En enero de 2026, un foro de la web oscura afirm\u00f3 ofrecer archivos relacionados con BTMOB para su descarga gratuita. M\u00e1s tarde, el foro se desconect\u00f3 y nuestra b\u00fasqueda no recuper\u00f3 la(s) carga(s) \u00fatil(s), pero el episodio apunta a un riesgo familiar con el malware comercial: el acceso rara vez permanece contenido para siempre y la herramienta puede moverse a mercados secundarios mediante reventa, trueque o intercambio dentro de grupos cerrados. Las familias de malware competidoras tambi\u00e9n pueden copiar algunos elementos que facilitan la personalizaci\u00f3n de la carga \u00fatil y la gesti\u00f3n de campa\u00f1as para los delincuentes menos capacitados.<\/p>\n

Como se pueden generar nuevas variantes r\u00e1pidamente, los defensores deber\u00edan esperar una r\u00e1pida rotaci\u00f3n de la carga \u00fatil en lugar de un conjunto estable de amenazas. Los productos de ESET detectan la herramienta principal como MSIL\/BtmobRat, mientras que las variantes relacionadas de Android activan detecciones como Android\/Spy.Agent.EED, Android\/Spy.Agent.EIJ y Android\/Spy.Agent.EIK. informe de cyble<\/a> de febrero de 2025 se\u00f1al\u00f3 que se hab\u00edan detectado aproximadamente 15 muestras de BTMOB v2.5 desde finales de enero de ese a\u00f1o, es decir, en apenas dos semanas aproximadamente.<\/p>\n

C\u00f3mo protegerte<\/h2>\n

Algunos consejos b\u00e1sicos le ayudar\u00e1n en gran medida a mantenerse a salvo de BTMOB y \u200b\u200botros programas maliciosos de Android:<\/p>\n

    \n
  • C\u00ed\u00f1ete a la tienda de aplicaciones oficial: los atacantes conf\u00edan en tiendas de aplicaciones falsas que imitan a Google Play. Las organizaciones deben exigir que los usuarios descarguen software exclusivamente de repositorios oficiales.<\/li>\n
  • Trate los enlaces con sospecha: sea esc\u00e9ptico con respecto a los enlaces no solicitados enviados por correo electr\u00f3nico, aplicaciones de mensajer\u00eda, redes sociales y anuncios dirigidos.<\/li>\n
  • Utilice software de seguridad: Tanto las personas como las organizaciones deben utilizar soluciones de seguridad m\u00f3vil y tratar los dispositivos m\u00f3viles con el mismo rigor que otras m\u00e1quinas y entornos. Los equipos de seguridad corporativa deben dejar claro a los empleados que una sola descarga no autorizada podr\u00eda exponer las joyas de la corona de la empresa.<\/li>\n<\/ul>\n

    Indicadores de compromiso<\/h2>\n

    Debido a que BTMOB \u00abmuta\u00bb r\u00e1pidamente, muchos indicadores pueden envejecer r\u00e1pidamente. Sin embargo, los patrones de infraestructura espec\u00edficos a menudo se repiten en diferentes muestras y ayudan en la clasificaci\u00f3n. <\/p>\n

    direcciones IP<\/h3>\n\n\n\n\n\n\n\n\n
    74.125.202.103<\/td>\n142.251.183.138<\/td>\n173.194.193.138<\/td>\n173.194.206.106<\/td>\n<\/tr>\n
    178.156.177.192<\/td>\n191.101.131.250<\/td>\n195.160.221.203<\/td>\n104.21.64.137<\/td>\n<\/tr>\n
    173.194.194.94<\/td>\n191.96.224.87<\/td>\n191.96.225.241<\/td>\n191.96.78.172<\/td>\n<\/tr>\n
    191.96.78.28<\/td>\n191.96.79.133<\/td>\n191.96.79.179<\/td>\n191.96.79.41<\/td>\n<\/tr>\n
    192.178.209.95<\/td>\n200.9.155.153<\/td>\n74.125.132.95<\/td>\n78.135.93.123<\/td>\n<\/tr>\n
    79.133.57.141<\/td>\narbsniper.com<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

    Hashes – SHA256<\/h3>\n
    \n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n
    Valor hash<\/th>\n<\/tr>\n<\/thead>\n
    58AC130A8EBB09E37592AC69841483EDC5695D1545B1F04F23D5B760AC17CD94<\/td>\n<\/tr>\n
    0A542751724A432A8448324613E0CE10393E41739A1800CBB7D5A2C648FCDC35<\/td>\n<\/tr>\n
    A764D73795ABE47AE640BA09999A18C47B5340E5ECC7B897AFEBF34F3F37638F<\/td>\n<\/tr>\n
    26A2268281E8043125EF72B92F8980B42912048753D56894BC378FB54C7C188A<\/td>\n<\/tr>\n
    6AE94CE710016D86ED7457236DEEF2C4C51478587F3609B6E827A348828B3931<\/td>\n<\/tr>\n
    E5A9FDFF900DD502E8F3DCE52D2D1B69AA9AFAFB5094A28F9037E8770DB0E63B<\/td>\n<\/tr>\n
    C6199E175FB988CBBEACDF0F5ACDF9ED83F5BDAAE5C95B7A6C27EE72CD11B0B1<\/td>\n<\/tr>\n
    6BBA64FA9E8A7B11CB2476CD071DE08986DB44B0783EFF211C68FA5594EF8143<\/td>\n<\/tr>\n
    5AAAF972C8BF39A98F2748E526DE3CC0370BA831997D7D9765CDABA599645C0D<\/td>\n<\/tr>\n
    5AAAF972C8BF39A98F2748E526DE3CC0370BA831997D7D9765CDABA599645C0D<\/td>\n<\/tr>\n
    DDCE0219923D152B8FACD303F058A6286CF1F6924992B9FB9F5BF4D96436CC39<\/td>\n<\/tr>\n
    D55057CD9110D12A192281356F06B94F342B9FEBB305CF0A5898A7E6AF40758F<\/td>\n<\/tr>\n
    676CB2D0A60403AFC06CEA1B572CB7261F706365FAC65621B5A4907893E7AC0D<\/td>\n<\/tr>\n
    75DD4FB011ED598374A46FC0D9C0D1D64A298341C34AFC83A56A6983CFD27764<\/td>\n<\/tr>\n
    702261BA38B57ECC3A5407FED28B2F0611A74C2EC0C116AEA4F9E6DEF0899AED<\/td>\n<\/tr>\n
    998A7ED1572AD9DC11375BC25294E1954E606B7CFF9FABC5C120713E597CD274<\/td>\n<\/tr>\n
    244D81FD9908CD17815501D4EDADEB1BAF1C421AA25D8BD61C7CB481C939540E<\/td>\n<\/tr>\n
    512EDE9F2FA794907999F3C26165557FDFD383B7AAD71BA022CE2C8BA6C0019D<\/td>\n<\/tr>\n
    7AC974899E8E05AAACD417577C97E382D5E8C5F7F4A85632CFFB47EC2F6AE4E0<\/td>\n<\/tr>\n
    168F50BF9A87099094EF410E3AC33E676A6A8740A5437CD09E7B63D73DF8431A<\/td>\n<\/tr>\n
    2525D1E427A9983B0B4CA0906A4B44FFB9814B23D53FD8A2E3AB6512B027C733<\/td>\n<\/tr>\n
    6101D1E1811DB052F869F7EB3402DAD28DA7E92103D4A44EE43F95846A075012<\/td>\n<\/tr>\n
    1A60CB5F7E2FB7C09FC3DC8459108B26AC98EE73131F37A28CFDAD5FC75B7A7D<\/td>\n<\/tr>\n
    97A0497DE585D3BE6EC75064AB3BD0979CD85561193C1F0669CCF4DB31330687<\/td>\n<\/tr>\n
    02A52C4CC11748D44C9B49D508EE4E46425661981FA1406F30EC0830CB69DDC5<\/td>\n<\/tr>\n
    6F9832EBB4C3054BEE4A6CE5CCB69C00E2020053E1308353343097E6A4041109<\/td>\n<\/tr>\n
    F76B13040C634F82A8332FF9443D84C89A5BCED51AE9ADAD7FD15C05FADB4324<\/td>\n<\/tr>\n
    C99139B0053C4C698EA0246D26D747F2A984C7ABA4613DA818ECD9F97899EF3A<\/td>\n<\/tr>\n
    8F09274E808E0063D51F34CAC82A5770B3DF30C792E426DA2F6A80657F27AFFC<\/td>\n<\/tr>\n
    140A7F995B0336942691A2E93E2017FD575267C017C7D0728D69169306F91963<\/td>\n<\/tr>\n
    A1E457C52EAB430C20D48F2AC476E080386313F16EFB135A0471902CF68CE475<\/td>\n<\/tr>\n
    5A4E86BBCF0EBC455D2995DB225D9AD682E9B37B6BAD472A604A462099D988BD<\/td>\n<\/tr>\n
    A892F1EF2E530D67BF948A48C734DA3F27718EB8B883CA0B686DDB0A81071731<\/td>\n<\/tr>\n
    AA56F350882CE63429C6626567487B041F06168BB60F4FC371A262EABADFA660<\/td>\n<\/tr>\n
    752C1CFE783ED343E470AB95A4843A23872CDC98B7D3ED5633DD6C881C071A14<\/td>\n<\/tr>\n
    0628AD6D1FD836B13B22E75FA169502D8CE78B7AD20F0261EB5151DA98437BCA<\/td>\n<\/tr>\n
    6844CE1539014571360495C6FB50965E813C2721663BDD40D577D9E5163773C6<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n

    Nombres de detecci\u00f3n de ESET<\/h3>\n
    \n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n
    Nombre de la detecci\u00f3n<\/th>\n<\/tr>\n<\/thead>\n
    Android\/Agente.FQK<\/td>\n<\/tr>\n
    Android\/TrojanDropper.Agent.NES<\/td>\n<\/tr>\n
    Android\/Agente.esp\u00eda.EIJ<\/td>\n<\/tr>\n
    Android\/Agente.esp\u00eda.EIK<\/td>\n<\/tr>\n
    Android\/TrojanDropper.Agent.NDK<\/td>\n<\/tr>\n
    Android\/Spy.Spysolr.A<\/td>\n<\/tr>\n
    Android\/Agente.esp\u00eda.EUG<\/td>\n<\/tr>\n
    Android\/Agente.esp\u00eda.EWN<\/td>\n<\/tr>\n
    Android\/Agente.esp\u00eda.FFE<\/td>\n<\/tr>\n
    Android\/Agente.esp\u00eda.FFL<\/td>\n<\/tr>\n
    Android\/Spy.Agent.ELM<\/td>\n<\/tr>\n
    Android\/Agente.esp\u00eda.FFM<\/td>\n<\/tr>\n
    Android\/Agente.Spy.Tarifa<\/td>\n<\/tr>\n
    Android\/TrojanDropper.Agent.NBO<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

    El malware combina capacidades de acceso remoto con herramientas de campa\u00f1a listas para usar, lo que reduce la<\/p>\n","protected":false},"author":1,"featured_media":346,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2],"tags":[],"class_list":["post-345","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-security"],"_links":{"self":[{"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/posts\/345","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/comments?post=345"}],"version-history":[{"count":0,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/posts\/345\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/media\/346"}],"wp:attachment":[{"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/media?parent=345"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/categories?post=345"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/tags?post=345"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}