BTMOB: Yeni Bir Android Trojan Tehdidi
BTMOB, siber suçlulara yönelik bir Android uzaktan erişim trojanıdır ve özellikle phishing (oltalama) tuzakları için özelleştirilmiş kötü amaçlı yazılımlar oluşturma arayüzü sunmaktadır. Bu tehdit, finansal işlemleri kesme, ekran görüntüsü alma ve uzaktan kontrol sağlama gibi geniş bir özellik yelpazesi sunmaktadır.
Baskı Hizmeti Olarak Kötü Amaçlı Yazılım
Siber güvenlik şirketi ESET, BTMOB’un açık bir şekilde clearweb’de reklamını yaptığını ve kötü amaçlı yazılım-as-a-service (MaaS) platformu olarak faaliyet gösterdiğini belirtmektedir. Kullanıcılar, uygulamanın kurulumu sırasında istenen izinleri seçebilir ve uygulamanın hangi eylemleri gerçekleştirmesi gerektiğini tanımlayabilir. Bu eylemler arasında:
- Google Play’i devre dışı bırakmak
- Simgeyi gizlemek
- Uyku modunu engellemek
BTMOB, çoğunlukla Brezilya ve Latin Amerika’da faal olup, CVE-XXXX-YYYY gibi belirlenmiş güvenlik açıklarıyla ilişkilendirilmiştir.
Aktif Geliştirme Süreci
BTMOB, yeni bir Android trojan değildir; daha önce ANYRUN tarafından 2025 yılının Şubat ayında analiz edilmiştir. O tarihlerde, Cyble firması yaklaşık 15 BTMOB 2.5 örneği tespit etmiş ve yazarın kötü amaçlı yazılımı aktif bir şekilde geliştirdiğini göstermiştir.
ESET araştırmacıları, satışların özel Telegram kanallarında yapıldığını ve tehdit aktörlerinin bu hizmete aylık 700 ABD doları veya ömür boyu lisans için 5,000 ABD doları ödeyerek ulaşabildiğini belirtmiştir.
Sahte Uygulamalar ve Oltalama Taktikleri
BTMOB, SpySolr kötü amaçlı yazılım ailesinin bir evrimi olarak görülmekte ve genellikle sahte streaming servisleri ve kripto para madenciliği platformları aracılığıyla dağıtılmaktadır. Hedeflenen kullanıcılar, sahte Google Play portallarına yönlendirilmekte ve burada sahte uygulamaları indirmeye teşvik edilmektedir.
Ayrıca, Johnk3r ve Merl gibi araştırmacılar yakın zamanda, BTMOB’un Arjantin hükümet ajansını bir tuzak olarak kullandığı kampanyalar tespit etmiştir.
Yüksek Riskli İzinlerin Kötüye Kullanımı
Malware platformu, operatörlere kampanyaların konusuyla örtüşen özelleştirilmiş ve yerelleştirilmiş oltalama tuzakları oluşturmalarına olanak tanımaktadır. Uygulama kurulumundan sonra, Android Erişilebilirlik Hizmetleri kullanılarak yükseltilmiş izinler elde edilmektedir.
ESET, tehdidi takip etmekte ve statik tespit kurallarını buna göre güncellemektedir, ancak yeni payload’ların hızlı bir şekilde üretilmesi, tek katmanlı savunmaların etkinliğini azaltabilmektedir.
Öneriler ve Korunma Yöntemleri
Android kullanıcılarının, telefonlarına yalnızca resmi Google Play Store üzerinden uygulama indirmeleri, Play Protect ile tarama yapmaları ve gerekli olmadıkça yüksek riskli izinleri (örn. Erişilebilirlik erişimi) geri almaları önerilmektedir.
Sonuç
BTMOB gibi tehditlerle karşılaşmamak için sistemlerinizi güncel tutun, yalnızca güvenilir kaynaklardan yazılımlar indirin ve şüpheli uygulamaları derhal kaldırın. Gereksiz izinleri iptal etmekten çekinmeyin ve güvenlik yazılımlarınızı sürekli olarak güncelleyin.
