El BTMOB amenaza América Latina

Los investigadores de ciberseguridad han identificado una nueva ola de ataques móviles en América Latina: BTMOB, un troyano de acceso remoto (RAT) para Android que se ha detectado en campañas dirigidas a Brasil y a varios países vecinos. Este malware, que combina robo de credenciales, espionaje y técnicas avanzadas de evasión, está siendo ofrecido como un servicio de Malware‑as‑a‑Service (MaaS), lo que facilita su uso por distintos grupos criminales.

🌎 AMÉRICA LATINA | EEUU bombardeo a una lancha narco en el Caribe

Índice

Características y modus operandi

Características y modus operandi

Los análisis de firmas como Cyble, Kaspersky, ESET y Zimperium coinciden en que BTMOB es una evolución de troyanos anteriores, desarrollado por el actor conocido como EVLF, de origen sirio, responsable también de CraxsRAT y CypherRAT. La arquitectura del malware incorpora módulos de versiones previas, lo que le permite sortear las defensas más recientes, incluida la protección nativa de Google Play Protect.

Vectores de infección

Suplantación de la aplicación oficial de Starlink, aprovechando el interés en el internet satelital.
Falsos APK de servicios gubernamentales, como el Instituto Nacional del Seguro Social (INSS) en Brasil, distribuidos mediante páginas de phishing que imitan tiendas de aplicaciones legítimas.

Una vez instalado, BTMOB explota los Servicios de Accesibilidad de Android. Gracias a estos permisos, el troyano puede automatizar acciones en pantalla, obtener privilegios adicionales sin intervención del usuario y acceder al contenido de otras aplicaciones.

Puntos Clave

BTMOB es un troyano RAT para Android ofrecido como Malware‑as‑a‑Service, lo que permite a distintos grupos criminales usarlo fácilmente
Se propaga mediante APK falsos que suplantan apps populares como Starlink y servicios gubernamentales brasileños, distribuidos vía phishing y tiendas de apps falsas
Una vez instalado, explota los Servicios de Accesibilidad de Android para automatizar acciones, obtener privilegios elevados y robar credenciales y datos personales
Emplea técnicas avanzadas de evasión, como audio inaudible para mantener el proceso activo, ofuscación de módulos y firmas cambiantes, evadiendo incluso Google Play Protect y antivirus comerciales.

Técnicas de persistencia y evasión

Reproducción de un archivo de audio inaudible para mantener el proceso activo en segundo plano y evitar que el sistema lo cierre para ahorrar batería.
Uso de módulos de ofuscación y firmas cambiantes para eludir la detección de antivirus comerciales.

El objetivo principal de BTMOB, según Cyble, es el fraude financiero y la exfiltración de datos personales. El malware implementa ataques de superposición de pantalla (overlay) que muestran ventanas falsas sobre aplicaciones bancarias y billeteras de criptomonedas, capturando credenciales y códigos PIN. Además, intercepta mensajes SMS para robar códigos de autenticación de dos factores (2FA), facilitando accesos no autorizados a cuentas bancarias y a sistemas de pago instantáneo como Pix.

Más allá del lucro económico, BTMOB también funciona como una herramienta de espionaje: puede activar el micrófono, la cámara y el GPS del dispositivo, convirtiendo el smartphone en un instrumento de vigilancia para los atacantes.

Javier Mendoza Silva Periodista

Licenciado en Comunicación Social con mención en Periodismo por la Universidad Central de Venezuela. Tiene 12 años de experiencia en cobertura de política nacional y conflictos sociales, con enfoque en derechos humanos. Ha trabajado para medios impresos, digitales y radiofónicos en Latinoamérica.