BTMOB Rat: detectado no Brasil, vírus para Android permite controle total a criminosos

27 maio BTMOB Rat: detectado no Brasil, vírus para Android permite controle total a criminosos

Posted at 18:45h in Tech-Pt-br by

Um trojan para Android chamado BTMOB foi identificado em campanhas ativas no Brasil, segundo análise da empresa de segurança ESET. O malware, ou seja, o programa malicioso, é capaz de assumir o controle completo do aparelho da vítima. A ameaça foi descrita pela primeira vez em fevereiro de 2025 e desde então evoluiu em alcance e sofisticação.

O BTMOB é classificado como um RAT, sigla em inglês para “remote access trojan”. Basicamente, é um tipo de vírus que permite a quem o controla acessar e operar o celular infectado à distância, sem que o dono perceba.

O vírus começa com um site falso

Tudo começa quando a vítima recebe um link para um site que imita serviços conhecidos, como plataformas de streaming ou de criptomoedas. Ao acessar o endereço, ela é direcionada para uma loja de aplicativos falsa que se parece com o Google Play. Lá, o site pede que ela instale um aplicativo, e é nesse momento que o vírus entra no aparelho.

Painel de configuração do BTMOB permite que o comprador defina nome do app, permissões solicitadas e comportamento após instalação. A ferramenta inclui opções como ocultar o ícone do app e simular uma desinstalação. Imagem: ESET.

Depois de instalado, o BTMOB pede acesso aos Serviços de Acessibilidade do Android. Esses serviços foram criados para ajudar pessoas com deficiência a usar o celular com mais facilidade. O vírus os usa de forma maliciosa para ganhar permissões elevadas e se instalar mais fundo no sistema, sem precisar de mais nenhuma ação do usuário.

Com o acesso, criminosos roubam dados e controlam o aparelho

Uma vez dentro do dispositivo, o vírus consegue fazer várias coisas ao mesmo tempo. Ele extrai dados sensíveis, captura telas do aparelho, grava a atividade do usuário e permite que o criminoso opere o celular remotamente. Isso significa que ele pode ver senhas, acessar aplicativos bancários e até enviar mensagens fingindo ser a vítima.

Diferente de outros vírus focados só em roubo financeiro, o BTMOB dá ao criminoso controle amplo sobre o aparelho. Isso o torna mais versátil e perigoso, independentemente do tipo de informação que a vítima guarda no celular.

Interface de lojas de aplicativos falsas imita o visual do Google Play para convencer vítimas a instalar o APK malicioso. Os apps exibidos copiam o layout e os elementos visuais da loja oficial. Imagem: ESET

O vírus é vendido como produto e qualquer um pode comprar

O BTMOB funciona no modelo MaaS, ou “malware-as-a-service”, em que o vírus é vendido como se fosse um software comercial. Isso quer dizer que qualquer pessoa pode comprá-lo e usá-lo para aplicar golpes, sem precisar ter conhecimento técnico para programar nada.

A ferramenta inclui uma interface para criar novos aplicativos maliciosos e adaptar os golpes para diferentes países. Uma licença vitalícia custa cerca de US$ 5.000, mais uma mensalidade de suporte. Em janeiro de 2026, um fórum na dark web chegou a oferecer arquivos do BTMOB gratuitamente, antes de ficar fora do ar.

O malware é promovido abertamente na internet, com páginas de divulgação e perfis em redes sociais como X e Instagram que anunciam o produto e direcionam compradores a um operador no Telegram.

Página de divulgação do BTMOB na internet aberta anuncia o vírus por US$ 700 mensais e exibe o painel de controle usado por quem compra o produto para monitorar dispositivos infectados. Imagem: ESET.

Campanhas já foram registradas na América Latina

Pesquisadores identificaram campanhas do BTMOB se passando por órgãos do governo argentino, como autoridades fiscais e aduaneiras. O vírus foi adaptado para imitar a identidade visual dessas instituições e tornar o golpe mais convincente para o público local.

A ESET detecta a versão principal do vírus com o nome MSIL/BtmobRat. Variantes para Android são identificadas como Android/Spy.Agent.EED, Android/Spy.Agent.EIJ e Android/Spy.Agent.EIK. Em fevereiro de 2025, pesquisadores da Cyble registraram cerca de 15 amostras da versão 2.5 do vírus em apenas duas semanas.

Como se proteger do BTMOB

A principal recomendação é baixar aplicativos apenas pela loja oficial do Google Play. Sites que oferecem apps fora dessa plataforma são a principal porta de entrada do vírus.

Resultado de busca no Google mostra site falso da ARCA (aflp-gob-ar.com) logo abaixo do endereço oficial do órgão argentino. A semelhança visual é usada para enganar vítimas e levá-las a instalar o vírus. Imagem: ESET.

Também é importante desconfiar de links recebidos por e-mail, WhatsApp, redes sociais ou anúncios. O uso de um aplicativo de segurança no celular ajuda a detectar ameaças antes que causem dano. Empresas devem orientar funcionários a seguir as mesmas precauções, já que um único download malicioso pode comprometer dados corporativos.

Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.