BTMOB: Android cihazların derinliklerine sızan gizli bir RAT

BTMOB adı verilen bu kötü amaçlı yazılım, uzaktan erişim yeteneklerini hazır kampanya araçlarıyla birleştirerek cihazın tamamen ele geçirilmesi önündeki engelleri azaltıyor

Brezilya’daki tehdit tespitlerine ilişkin son incelememiz, tespit hacminden çok verebileceği zararla dikkat çeken bir Android uzaktan erişim truva atı (RAT) olan BTMOB’u ortaya çıkardı. Kimlik avı yoluyla dağıtım, hazır uygulama oluşturma araçları ve cihaz ele geçirme yeteneklerinin birleşimi, BTMOB’u Brezilya veya Latin Amerika’nın çok ötesinde dikkat edilmesi gereken bir tehdit hâline getiriyor.

BTMOB’a genel bakış

İlk olarak Şubat 2025’te tanımlanan BTMOB, SpySolr kötü amaçlı yazılımından evrimleşmiştir. “Yalnızca” insanların finansal kimlik bilgilerini çalmak veya finansal işlemlerini ele geçirmek amacıyla tasarlanan bankacılık truva atlarından farklı olarak, BTMOB saldırganlara daha geniş seçenekler sunar: Çeşitli hassas verileri sızdırma, ekran görüntüleri alma ve cihazdaki etkinlikleri kaydetme ve nihayetinde cihazın uzaktan kontrolünü ele geçirme. RAT, bir APK oluşturucu arayüzüyle birlikte satılmaktadır; bu sayede herkes, herhangi bir kod yazmadan hızlı bir şekilde yeni yükler oluşturabilir ve belirli bölgelere yönelik oltalama tuzaklarını uyarlayabilir.

BTMOB bu kötü amaçlı yazılımı, uzaktan erişim yeteneklerini hazır kampanya araçlarıyla birleştirerek cihazın tamamen ele geçirilmesindeki engelleri azaltıyor

Şekil 1. BTMOB APK oluşturma aracı

BTMOB nasıl yayılır?

Beklendiği gibi, her şey sıradan bir sosyal mühendislik saldırısıyla başlar. Operatörler, kurbanları akış hizmetleri, kripto para madenciliği platformları veya diğer tanıdık çevrimiçi hizmetler gibi görünen kimlik avı web sitelerine yönlendirir. Oradan kurbanlar, meşru depoları taklit eden sahte uygulama mağazalarına yönlendirilir ve kötü amaçlı bir APK yüklemeleri istenir. Kötü niyetli aktörlerin tuzaklarını belirli bölgelere göre uyarladıkları da tespit edilmiştir.

Yüklendikten sonra, BTMOB cihaza kapsamlı erişim talep eder. Günümüzde yaygın olduğu üzere, Android Erişilebilirlik Hizmetlerini kötüye kullanarak yükseltilmiş izinler elde eder ve ek kullanıcı etkileşimi olmadan kendisine daha fazla sistem erişimi sağlar.

Şekil 2. Sahte uygulama mağazası ve kötü amaçlı uygulamalar. (Kaynak: @Merlax)

BTMOB, hizmet olarak kötü amaçlı yazılım (MaaS) ekonomisi için geliştirildiğinden potansiyel alıcıları bir Telegram operatörüne yönlendiren açık web üzerindeki tanıtım sayfası da dâhil olmak üzere bir yazılım ürünü olarak pazarlanmaktadır. Satış kanalı sosyal medya platformlarına da uzanmaktadır ve X ve Instagram’da bu aracı aktif olarak pazarlayan çok sayıda hesap bulunmaktadır.

Şekil 3. Açık web’deki BTMOB teklifi

Şekil 4. Kötü amaçlı yazılımla bağlantılı X profili

Birisi bu kötü amaçlı kiti satın aldığında, herhangi bir ülkedeki kurbanları en kolay şekilde tuzağa düşürebilecek oltalama tuzakları da dâhil olmak üzere, kitin özelliklerini kendi ihtiyaçlarına göre uyarlayabilir. Örneğin, araştırmacılar Johnk3r ve Merl, kısa süre önce Arjantin’in vergi ve gümrük yetkililerini taklit ederek BTMOB’u yayan kampanyalar tespit etti.

Şekil 5. Arjantinli bir devlet kurumunu taklit eden BTMOB. (Kaynak: Germán Fernández Bacian)

Pazar dinamikleri ve tespit zorlukları

Geliştiriciler bu aracı başlangıçta ücretli müşterilerle sınırlasa bile ekonomik açıdan saldırganlar için durum yine de elverişlidir. Bildirilen 5.000 dolarlık ömür boyu lisans ücreti ve aylık destek ücreti, başarılı bir dolandırıcılık operasyonunun getirebileceği kazançla karşılaştırıldığında düşüktür.

Buna ek olarak, MaaS modeli, daha az sofistike saldırganlar için de engelleri azaltır. Ocak 2026’da, bir dark web forumu BTMOB ile ilgili dosyaları ücretsiz olarak indirilebileceğini iddia etti.

Forum daha sonra çevrim dışı hâle geldi ve araştırmamızda yükleri kurtaramadık ancak bu olay ticari kötü amaçlı yazılımlarla ilgili bilinen bir riske işaret ediyor: Erişim nadiren sonsuza kadar sınırlı kalır ve araç, yeniden satış, takas veya kapalı gruplar içinde paylaşım yoluyla ikincil pazarlara girebilir. Rakip kötü amaçlı yazılım aileleri de daha az yetenekli suçlular için yük özelleştirmesini ve kampanya yönetimini kolaylaştıran bazı unsurları kopyalayabilir.

Yeni varyantlar hızla üretilebildiğinden savunma uzmanları sabit bir tehdit kümesinden ziyade hızlı yük değişimi beklemelidir. ESET ürünleri, birincil aracı MSIL/BtmobRat olarak algılarken ilgili Android varyantları Android/Spy.Agent.EED, Android/Spy.Agent.EIJ ve Android/Spy.Agent.EIK gibi algılamaları tetikler. Cyble’ın Şubat 2025 tarihli raporunda, o yılın Ocak ayı sonundan bu yana, yani sadece iki hafta kadar bir sürede, yaklaşık 15 adet BTMOB v2.5 örneğinin tespit edildiği belirtilmiştir.

Kendinizi nasıl koruyabilirsiniz?

BTMOB ve diğer Android kötü amaçlı yazılımlarından korunmak için birkaç temel ipucu çok faydalı olacaktır:

Resmî uygulama mağazasını kullanın: Saldırganlar, Google Play’i taklit eden sahte uygulama mağazalarını kullanır. Kuruluşlar, kullanıcıların yazılımları yalnızca resmî depolardan indirmelerini zorunlu kılmalıdır.
Bağlantılara şüpheyle yaklaşın: E-posta, mesajlaşma uygulamaları, sosyal medya ve hedefli reklamlar yoluyla gönderilen istenmeyen bağlantılara şüpheyle yaklaşın.
Güvenlik yazılımı kullanın: Hem bireyler hem de kuruluşlar, mobil güvenlik çözümleri kullanmalı ve mobil cihazlara diğer makineler ve ortamlarla aynı titizlikle yaklaşmalıdır. Kurumsal güvenlik ekipleri, çalışanlara tek bir kötü amaçlı indirme işleminin şirketin en değerli varlıklarını tehlikeye atabileceğini açıkça belirtmelidir.

Güvenlik ihlali göstergeleri

BTMOB hızla “mutasyona uğradığı” için birçok gösterge hızla geçerliliğini yitirebilir. Bununla birlikte, belirli altyapı modelleri genellikle farklı örneklerde tekrar eder ve önceliklendirme işlemine yardımcı olur.

IP’ler

74.125.202.103	142.251.183.138	173.194.193.138	173.194.206.106
178.156.177.192	191.101.131.250	195.160.221.203	104.21.64.137
173.194.194.94	191.96.224.87	191.96.225.241	191.96.78.172
191.96.78.28	191.96.79.133	191.96.79.179	191.96.79.41
192.178.209.95	200.9.155.153	74.125.132.95	78.135.93.123
79.133.57.141	arbsniper.com

SHA256 karma değerleri
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ESET algılama adları

Android/Agent.FQK

Android/TrojanDropper.Agent.NES

Android/Spy.Agent.EIJ

Android/Spy.Agent.EIK

Android/TrojanDropper.Agent.NDK

Android/Spy.Spysolr.A

Android/Spy.Agent.EUG

Android/Spy.Agent.EWN

Android/Spy.Agent.FFE

Android/Spy.Agent.FFL

Android/Spy.Agent.ELM

Android/Spy.Agent.FFM

Android/Spy.Agent.FEE

Android/TrojanDropper.Agent.NBO

Etiketler: