**BTMOB** wird im Clearweb beworben und bietet einen APK-Builder, der die Anpassung von Payloads vereinfacht, ohne dass Programmierkenntnisse erforderlich sind, so das Cybersicherheitsunternehmen **ESET**. ### Payload-Anpassung Kunden können spezifische Berechtigungen für die APK auswählen, die bei der Installation angefordert werden sollen. Sie können auch Aktionen definieren, wie z. B. das Deaktivieren von **Google Play**, das Ausblenden des App-Symbols oder das Verhindern des Schlafmodus, was es für Opfer schwierig macht, die Malware zu entfernen.  *BTMOB's Payload-Builder. Quelle: ESET* ### Zielgruppen und Geschichte **BTMOB** ist hauptsächlich in Brasilien und Lateinamerika aktiv. **ANYRUN** analysierte ihn bereits im Februar 2025, und **Cyble** dokumentierte ihn als fortschrittliche Android-Malware. Zu dieser Zeit identifizierte **Cyble** innerhalb von zwei Wochen etwa 15 Samples von **BTMOB** 2.5, was auf eine aktive Entwicklung hindeutet. ### Preise und Vertrieb Laut den Forschern von **ESET** erfolgt der Verkauf über private **Telegram**-Kanäle. Ein monatliches Abonnement kostet 700 US-Dollar, während eine lebenslange Lizenz 5.000 US-Dollar kostet.  *BTMOB Clearweb-Seite. Quelle: ESET* ### Entwicklung und Taktiken **BTMOB** scheint eine Weiterentwicklung der **SpySolr**-Malware-Familie zu sein und wird über Phishing-Websites vertrieben, die als Streaming-Dienste und Kryptowährungs-Mining-Plattformen getarnt sind. Potenzielle Opfer werden oft auf gefälschte **Google Play**-Portale umgeleitet, wo sie aufgefordert werden, bösartige Apps herunterzuladen. Kürzlich wurden Kampagnen beobachtet, die eine argentinische Regierungsbehörde als Köder nutzten.  *Bösartige Apps auf gefälschten Google Play-Seiten. Quelle: Merl* ### Ausnutzung von Barrierefreiheitsdiensten Die Malware-Plattform ermöglicht die Generierung benutzerdefinierter, lokalisierter Phishing-Köder, die auf spezifische Kampagnen zugeschnitten sind. Nach der Installation nutzt sie Android Accessibility Services, um erhöhte Berechtigungen und Systemzugriff ohne weitere Benutzerinteraktion zu erlangen. ### Abhilfemaßnahmen Während **ESET** die Bedrohung aktiv verfolgt und Erkennungsregeln aktualisiert, kann die schnelle Generierung neuer Payloads einlagige Sicherheitsabwehren überfordern. Android-Nutzern wird geraten, Apps nur aus dem offiziellen **Google Play Store** zu installieren, **Play Protect** zum Scannen zu verwenden und unnötige, riskante Berechtigungen, insbesondere den Zugriff auf Barrierefreiheitsdienste, sorgfältig zu überprüfen und zu widerrufen.