ESET analiza un troyano con múltiples funcionalidades que viene propagándose ampliamente en América Latina y distintas regiones del mundo.
Tienda de aplicaciones falsa y aplicaciones maliciosas Fuente: @Merlax_ (perfil X)
ESET, compañía líder en detección proactiva de amenazas, advierte sobre el auge de BTMOB, un troyano de acceso remoto (RAT) que integra un generador de aplicaciones maliciosas. Esta herramienta permite a los ciberdelincuentes diseñar y desplegar campañas de malware con una velocidad y eficiencia alarmantes. Además de funciones estándar como keylogging, capturas de pantalla y secuestro de sesiones, BTMOB se destaca por su capacidad de transmisión de pantalla en tiempo real y el control remoto directo sobre el dispositivo vulnerado.
Los troyanos se hacen pasar por archivos o apps legítimas para engañar a las víctimas e infectar sus dispositivos. En los troyanos bancarios, el objetivo principal es robar información financiera, mientras que los RAT tienen un alcance más amplio: pueden robar distintos tipos de datos, monitorear el dispositivo de forma completa y ejecutar acciones en él. Brasil es uno de los países con mayor volumen de detecciones de troyanos, la mayoría suelen ser troyanos bancarios.
La distribución de BTMOB se basa en diversas campañas de ingeniería social con foco en dispositivos Android. Muchas de las campañas desarrolladas en Brasil y otros países de la región utilizan versiones falsas de aplicaciones populares. Estas apps se distribuyen mediante engaños y dirigen a los usuarios hacia tiendas de aplicaciones fraudulentas que imitan la apariencia de Google Play Store.
Oferta de BTMOB en la superficie
ESET también identificó que BTMOB se ofrece como servicio en una página web accesible desde la web abierta. La página es simple y redirige mediante enlaces a un contacto en Telegram para adquirir el malware.
Perfil vinculado al malware en X
Además, se han encontrado referencias a la herramienta en las redes sociales. Una cuenta en la plataforma X (antes Twitter), por ejemplo, redirige a los interesados al mismo contacto en Telegram. En otras plataformas, como Instagram, también aparecen contenidos relacionados con la difusión del malware.
Descarga de BTMOB desde un sitio web que simula ser una agencia gubernamental argentina Fuente: Germán Fernández Bacian
“Los elementos presentados por BTMOB son suficientes para clasificarlo como una amenaza relevante. Su facilidad de adaptación, capacidad de propagación y avanzadas funciones de control remoto refuerzan la necesidad de atención por parte de usuarios y organizaciones que buscan proteger sus dispositivos móviles.”, comenta Martina Lopez, Investigadora de Seguridad Informática de ESET Latinoamérica.
Desde ESET aseguran que es posible evitar la infección por esta y otras amenazas similares, al implementar una estrategia combinada para que los resultados sean efectivos:
Descargar aplicaciones de fuentes oficiales o confiables:
La propagación de BTMOB también ocurre a través de tiendas falsas de aplicaciones que imitan la apariencia de la Play Store, pero que están alojadas y controladas por cibercriminales. Ante esto, es fundamental concientizar a los usuarios para que presten mayor atención y verifiquen si realmente están accediendo a la tienda oficial o a un entorno fraudulento.
Tener cuidado con los enlaces:
En el marco de la concientización sobre ciberseguridad, es esencial que las capacitaciones y comunicaciones orienten a los usuarios a ser cautelosos con cualquier tipo de contenido recibido de manera pasiva. Esto incluye enlaces enviados por correo electrónico, apps de mensajería o incluso anuncios en redes sociales. Los cibercriminales utilizan diversos recursos para alcanzar a sus víctimas y convencerlas de hacer clic, por lo que es fundamental reforzar este tipo de orientación.
Concientizar sobre el impacto y responsabilidad de cada colaborador:
Muchas personas que no trabajan directamente con tecnología o seguridad tienen dificultades para comprender los riesgos asociados a comportamientos descuidados. Aclarar estos impactos contribuye a la maduración de la postura de seguridad de la organización, además de ayudar a cada individuo a entender su rol y las posibles consecuencias de un incidente.
Proteger el entorno y dispositivos:
Es esencial asegurarse de que las medidas anteriores se refuerzan con controles tecnológicos y soluciones de seguridad. Utilizar un software de protección robusto, siempre actualizado y correctamente configurado para proteger todos los dispositivos del entorno, no sólo los móviles. En caso de acceso indebido, estas soluciones pueden evitar o mitigar la ejecución de acciones maliciosas.