Un cheval de Troie d’accès à distance pour Android, nommé BTMOB, est proposé aux cybercriminels. Il intègre une interface de construction qui génère des charges utiles de logiciels malveillants adaptées aux appâts de phishing.
Ce logiciel malveillant offre un large éventail de fonctions. Il peut voler des données spécifiques, intercepter des transactions financières, capturer des captures d’écran et il dispose de capacités de contrôle à distance.
La société de cybersécurité ESET indique que BTMOB est ouvertement annoncé sur le web visible et qu’il fonctionne comme une plateforme de logiciel malveillant en tant que service. Le constructeur d’APK inclus dans l’offre permet une personnalisation facile de la charge utile sans nécessiter de compétences en programmation.
Les clients peuvent choisir parmi un ensemble d’autorisations que l’APK demande lors de l’installation. Ils peuvent aussi définir les actions que l’application doit exécuter, par exemple désactiver Google Play, masquer son icône pour la rendre plus difficile à supprimer de l’appareil, ou empêcher le mode veille.
Source : ESET
Il est à noter que BTMOB est principalement actif au Brésil et en Amérique latine. Il ne s’agit pas d’un nouveau cheval de Troie Android, car la plateforme ANYRUN l’a analysé en février 2025. La société de renseignement sur les menaces et de protection des risques numériques Cyble l’a également documenté comme un logiciel malveillant Android avancé.
À cette époque, Cyble avait repéré environ 15 échantillons de la version 2.5 de BTMOB en moins de deux semaines, ce qui indiquait que son auteur le développait activement.
Selon les chercheurs d’ESET, les ventes s’effectuent dans des canaux privés sur Telegram. Les acteurs de la menace peuvent l’obtenir avec un abonnement mensuel de 700 dollars, ou ils peuvent payer 5000 dollars pour une licence à vie.
Source : ESET
BTMOB semble être une évolution de la famille de logiciels malveillants SpySolr. Il est distribué via des sites de phishing qui se font passer pour des services de streaming ou des plateformes de minage de cryptomonnaies.
ESET rapporte que les victimes potentielles sont redirigées vers des portails qui imitent Google Play et sont invitées à télécharger de fausses applications.
Les chercheurs Johnk3r et Merl ont récemment identifié des campagnes de BTMOB qui utilisaient une agence gouvernementale argentine comme appât.
Source : Merl
La plateforme malveillante aide aussi ses opérateurs à générer des appâts de phishing personnalisés et localisés qui correspondent au thème de la campagne. Une fois installé, le logiciel abuse des Services d’accessibilité Android pour obtenir des autorisations élevées et un accès système supplémentaire sans autre interaction de l’utilisateur.
Bien qu’ESET surveille cette menace et mette à jour ses règles de détection statique en conséquence, la génération rapide de nouvelles charges utiles peut réduire l’efficacité des défenses qui ne reposent que sur une seule couche.
Il est recommandé aux utilisateurs Android de n’installer que des applications provenant du Google Play Store officiel sur leurs téléphones, d’effectuer des analyses avec Play Protect et de révoquer les autorisations risquées et puissantes, comme l’accès aux services d’accessibilité, si elles ne sont pas explicitement nécessaires.