Neue BTMOB-Malware ermöglicht Angreifern Fernsteuerung von Android-Geräten

Gegensatz zu klassischen Banking-Trojans, die sich ausschließlich auf Finanzdaten konzentrieren, ist BTMOB für eine umfassende Geräteüberwachung und -steuerung konzipiert.

Die Malware kann eine breite Palette sensibler Daten exfiltrieren, Screenshots erfassen, Aktivitäten auf dem Gerät aufzeichnen und den Betreibern einen andauernden Fernzugriff auf das kompromittierte Smartphone gewähren. Forscher weisen darauf hin, dass ihre Fähigkeiten denen somit eine Bedrohung hohen Ausmaßes für Verbraucher und Unternehmen darstellen.

Ein entscheidendes Merkmal, das BTMOB, ist seine kommerzielle Vermarktung als MaaS-Produkt (Mobile-as-a-Service) mit integriertem APK-Build-Tool. Käufer können neue bösartige APK-Payloads generieren und Phishing-Köder für bestimmte Länder anpassen, ohne selbst Code schreiben zu müssen, wodurch die Einstiegshürde drastisch gesenkt wird.

Sicherheitslage und Risiko

Das Tool wird über eine Werbeanzeige auf der offenen Website beworben, die Käufer Telegram leitet, ergänzt durch Verkäuferkonten auf -Media-Plattformen wie X und Instagram. Berichte zufolge liegen die Lebenszeit-Lizenzen bei etwa 5.000 USD, was Vergleich zu den potenziellen Betrugsprozenten eines erfolgreichen Angriffs relativ gering ist.

BTMOB-Malware übernimmt die Kontrolle über Android-Geräte. BTMOB stützt sich stark auf Engineering und eine über Phishing gesteuerte Auslieferung.

Die Betreiber lenken Opfer auf Phishing-Websites, die Streaming-Dienste, Kryptowährungsplattformen oder andere vertraute Marken nachahmen, und leiten diese daraufhin zu gefälschten App-Stores weiter, die bösartige APKs anbieten.

Angreifer passen Köder an lokale Kontexte

Angreifer passen Köder an lokale Kontexte an, einschließlich Kampagnen, die Steuerbehörden oder staatliche Einrichtungen in Ländern wie Argentinien und anderen spoofen.

Sobald das Opfer die APK-Seiten lädt, fordert die Malware umfangreiche Berechtigungen an und missbraucht Androids Accessibility Services, um sich stillschweigend zusätzliche Privilegien zu verschaffen. Nach der Installation stellt BTMOB Command-and-Control-Kanäle her, um eine Echtzeit-Fernverwaltung des Geräts zu ermöglichen.

Betreiber können den Bildschirm einsehen, mit Apps interagieren, Zugangsdaten durch Overlays ernten, Nachrichten abfangen sowie Dateien und Gerätedaten exfiltrieren.

Sicherheitslage und Risiko

Durch die Instrumentalisierung der Accessibility Services kann BTMOB Benutzeroberflächenelemente manipulieren, Berechtigungen genehmigen und Aktionen ohne Benutzerinteraktion ausführen, während gleichzeitig Overlay-Angriffe gegen Bank- und Zahlungsanwendungen durchgeführt werden, Zugangsdaten und Einmal-Codes zu stehlen.

Einige Varianten können zusätzliche Module herunterladen und erweitern ihre Fähigkeiten entsprechend den Zielen jeder Kampagne. Da BTMOB als auf Buildern basierende MaaS-Plattform vertrieben wird, können neue Payload-Varianten schnell generiert werden, was eine schnelle Rotation für Kompromittierungen (IOCs) ermöglicht.

Infrastruktur-IOCs arbsniper[.]com 74.125.202[.]103 142.251.183[.]138 173.194.193[.]138 173.194.206[.]106 178.156.177[.]192 191.101.131[.]250 195.160.221[.]203 104.21.64[.]137 173.194.194[.]94 191.96.224[.]87 191.96.225[.]241 191.96.78[.]172 191.96.78[.]28 191.96.79[.]133 191.96.79[.]179 191.96.79[.]41 192.178.209[.]95 200.9.155[.]153 74.125.132[.]95 78.135.93[.]123 79.133.57[.]141 58AC130A8EBB09E37592AC69841483EDC5695D1545B1F04F23D5B760AC17CD94 0A542751724A432A8448324613E0CE10393E41739A1800CBB7D5A2C648FCDC35 A764D73795ABE47AE640BA09999A18C47B5340E5ECC7B897AFEBF34F3F37638F 26A2268281E8043125EF72B92F8980B42912048753D56894BC378FB54C7C188A 6AE94CE710016D86ED7457236DEEF2C4C51478587F3609B6E827A348828B3931 E5A9FDFF900DD502E8F3DCE52D2D1B69AA9AFAFB5094A28F9037E8770DB0E63B C6199E175FB988CBBEACDF0F5ACDF9ED83F5BDAAE5C95B7A6C27EE72CD11B0B1 6BBA64FA9E8A7B11CB2476CD071DE08986DB44B0783EFF211C68FA5594EF8143 5AAAF972C8BF39A98F2748E526DE3CC0370BA831997D7D9765CDABA599645C0D DDCE0219923D152B8FACD303F058A6286CF1F6924992B9FB9F5BF4D96436CC39 Android/Agent.FQK Android/TrojanDropper.Agent.NES Android/Spy.Agent.EIJ Android/Spy.Agent.EIK Android/TrojanDropper.Agent.NDK Android/Spy.Spysolr.A Android/Spy.Agent.EUG Android/Spy.Agent.EWN Android/Spy.Agent.FFE Android/Spy.Agent.FFL Hinweis: IP-Adressen und Domains wurden absichtlich defanged (z.

Technik und Auswirkungen

B. [.] ), um eine unbeabsichtigte Auflösung oder Hyperlinkung zu verhindern. Die Re-Fang-Maßnahmen sind ausschließlich auf kontrollierten Threat-Intelligence-Plattformen wie MISP, VirusTotal oder Ihrem SIEM zu beschränken.

Sicherheitsanbieter haben innerhalb kurzer Zeiträume mehrere Versionen beobachtet, darunter BTMOB v2.5, da die Betreiber die Payloads und Umgehungsmechanismen weiterentwickeln. Laut einem (ESET) für