**BTMOB** est annoncé sur le clearweb, proposant un constructeur d'APK qui simplifie la personnalisation des charges utiles sans nécessiter d'expertise en codage, selon la société de cybersécurité **ESET**. ### Personnalisation des charges utiles Les clients peuvent sélectionner des autorisations spécifiques que l'APK doit demander lors de l'installation. Ils peuvent également définir des actions telles que la désactivation de **Google Play**, la masquage de l'icône de l'application ou la prévention du mode veille, rendant difficile pour les victimes de supprimer le malware.  *Constructeur de charge utile BTMOB. Source : ESET* ### Ciblage et historique **BTMOB** est principalement actif au Brésil et en Amérique latine. **ANYRUN** l'a analysé en février 2025, et **Cyble** l'a documenté comme un malware Android avancé. À l'époque, **Cyble** avait identifié environ 15 échantillons de **BTMOB** 2.5 sur une période de deux semaines, indiquant un développement actif. ### Tarification et distribution Selon les chercheurs d'**ESET**, les ventes sont effectuées via des canaux privés **Telegram**. Un abonnement mensuel coûte 700 $, tandis qu'une licence à vie est proposée à 5 000 $.  *Site clearnet BTMOB. Source : ESET* ### Évolution et tactiques **BTMOB** semble être une évolution de la famille de malwares **SpySolr** et est distribué via des sites web de phishing déguisés en services de streaming et plateformes de minage de cryptomonnaies. Les victimes potentielles sont souvent redirigées vers de faux portails **Google Play**, les incitant à télécharger des applications malveillantes. Récemment, des campagnes utilisant une agence gouvernementale argentine comme appât ont été observées.  *Applications malveillantes sur de faux sites Google Play. Source : Merl* ### Exploitation des services d'accessibilité La plateforme de malware facilite la génération d'appâts de phishing personnalisés et localisés, adaptés à des campagnes spécifiques. Une fois installé, il exploite les services d'accessibilité Android pour obtenir des autorisations élevées et un accès système sans interaction utilisateur supplémentaire. ### Atténuation Bien qu'**ESET** suive activement la menace et mette à jour les règles de détection, la génération rapide de nouvelles charges utiles peut submerger les défenses de sécurité à couche unique. Il est conseillé aux utilisateurs Android de n'installer que des applications provenant du **Google Play Store** officiel, d'utiliser **Play Protect** pour le scan, et d'examiner attentivement et de révoquer les autorisations risquées inutiles, en particulier l'accès d'accessibilité.