**BTMOB** se anuncia en la clearnet, ofreciendo un constructor de APK que simplifica la personalización de cargas útiles sin requerir experiencia en codificación, según la firma de ciberseguridad **ESET**. ### Personalización de Cargas Útiles Los clientes pueden seleccionar permisos específicos que la APK solicitará al instalarse. También pueden definir acciones como deshabilitar **Google Play**, ocultar el ícono de la aplicación o prevenir el modo de suspensión, lo que dificulta que las víctimas eliminen el malware.  *Constructor de cargas útiles de **BTMOB**. Fuente: ESET* ### Segmentación e Historial **BTMOB** está activo principalmente en Brasil y Latinoamérica. **ANYRUN** lo analizó en febrero de 2025, y **Cyble** lo documentó como un malware avanzado para Android. En ese momento, **Cyble** identificó aproximadamente 15 muestras de **BTMOB** 2.5 en un período de dos semanas, lo que indica un desarrollo activo. ### Precios y Distribución Según los investigadores de **ESET**, las ventas se realizan a través de canales privados de **Telegram**. Una suscripción mensual cuesta $700, mientras que una licencia de por vida tiene un precio de $5,000.  *Sitio clearnet de **BTMOB**. Fuente: ESET* ### Evolución y Tácticas **BTMOB** parece ser una evolución de la familia de malware **SpySolr** y se distribuye a través de sitios web de phishing disfrazados de servicios de streaming y plataformas de minería de criptomonedas. Las víctimas potenciales a menudo son redirigidas a portales falsos de **Google Play**, lo que les incita a descargar aplicaciones maliciosas. Recientemente, se han observado campañas que utilizan una agencia gubernamental argentina como señuelo.  *Aplicaciones maliciosas en sitios falsos de Google Play. Fuente: Merl* ### Explotación de Servicios de Accesibilidad La plataforma de malware facilita la generación de señuelos de phishing personalizados y localizados, adaptados a campañas específicas. Una vez instalado, aprovecha los Servicios de Accesibilidad de Android para obtener permisos elevados y acceso al sistema sin más interacción del usuario. ### Mitigación Si bien **ESET** está rastreando activamente la amenaza y actualizando las reglas de detección, la rápida generación de nuevas cargas útiles puede abrumar las defensas de seguridad de una sola capa. Se recomienda a los usuarios de Android que solo instalen aplicaciones de la **Google Play Store** oficial, utilicen **Play Protect** para escanear y revisen y revoquen cuidadosamente los permisos riesgosos innecesarios, particularmente el acceso de Accesibilidad.