O **BTMOB** é anunciado na clearweb, oferecendo um construtor de APK que simplifica a personalização de payloads sem exigir conhecimento em programação, de acordo com a empresa de cibersegurança **ESET**. ### Personalização de Payload Os clientes podem selecionar permissões específicas que o APK solicitará durante a instalação. Eles também podem definir ações como desabilitar o **Google Play**, ocultar o ícone do aplicativo ou impedir o modo de suspensão, tornando a remoção do malware difícil para as vítimas.  *Construtor de payload do BTMOB. Fonte: ESET* ### Segmentação e Histórico O **BTMOB** está ativo principalmente no Brasil e na América Latina. O **ANYRUN** o analisou em fevereiro de 2025, e a **Cyble** o documentou como um malware avançado para Android. Na época, a **Cyble** identificou aproximadamente 15 amostras do **BTMOB** 2.5 em um período de duas semanas, indicando desenvolvimento ativo. ### Preços e Distribuição De acordo com pesquisadores da **ESET**, as vendas são realizadas através de canais privados no **Telegram**. Uma assinatura mensal custa US$ 700, enquanto uma licença vitalícia tem o preço de US$ 5.000.  *Site do BTMOB na clearnet. Fonte: ESET* ### Evolução e Táticas O **BTMOB** parece ser uma evolução da família de malware **SpySolr** e é distribuído através de sites de phishing disfarçados de serviços de streaming e plataformas de mineração de criptomoedas. Potenciais vítimas são frequentemente redirecionadas para portais falsos do **Google Play**, solicitando o download de aplicativos maliciosos. Recentemente, campanhas utilizando uma agência governamental argentina como isca foram observadas.  *Aplicativos maliciosos em sites falsos do Google Play. Fonte: Merl* ### Exploração de Serviços de Acessibilidade A plataforma de malware facilita a geração de iscas de phishing personalizadas e localizadas, adaptadas a campanhas específicas. Uma vez instalado, ele utiliza os Serviços de Acessibilidade do Android para obter permissões elevadas e acesso ao sistema sem interação adicional do usuário. ### Mitigação Embora a **ESET** esteja rastreando ativamente a ameaça e atualizando as regras de detecção, a rápida geração de novos payloads pode sobrecarregar defesas de segurança de camada única. Usuários de Android são aconselhados a instalar aplicativos apenas da **Google Play Store** oficial, utilizar o **Play Protect** para varreduras e revisar e revogar cuidadosamente permissões desnecessárias e de risco, especialmente o acesso de Acessibilidade.