🔍 Contexte
Publié le 26 mai 2026 par ESET (WeLiveSecurity), cet article présente une analyse technique du malware Android BTMOB, un RAT (Remote Access Trojan) découvert lors d’une revue des détections de menaces au Brésil. L’analyse est signée par Daniel Cunha Barbosa.
🧬 Origine et évolution
BTMOB a été décrit pour la première fois en février 2025 et est issu de l’évolution du malware SpySolr. Contrairement aux trojans bancaires classiques, BTMOB offre des capacités plus larges :
- Exfiltration de données sensibles
- Capture d’écran et enregistrement d’activité
- Prise de contrôle à distance complète de l’appareil
🛠️ Modèle MaaS et distribution
BTMOB est commercialisé selon un modèle Malware-as-a-Service (MaaS) :
- Licence à vie à 5 000 USD + frais de support mensuels
- Interface APK builder permettant de générer des payloads sans écrire de code
- Promotion via une page web en clair, Telegram, X et Instagram
- En janvier 2026, des fichiers BTMOB ont été proposés gratuitement sur un forum darkweb (forum depuis hors ligne)
📲 Vecteur d’infection
La chaîne d’infection repose sur de l’ingénierie sociale :
- Envoi de victimes vers des sites de phishing imitant des services de streaming, plateformes de cryptominage, etc.
- Redirection vers de faux app stores mimant des dépôts légitimes
- Installation d’un APK malveillant
- Abus des Android Accessibility Services pour obtenir des permissions élevées sans interaction utilisateur supplémentaire
Des campagnes ont été observées imitant les autorités fiscales et douanières argentines.
🎯 Ciblage géographique
Bien que détecté initialement au Brésil, BTMOB cible potentiellement l’ensemble de l’Amérique latine (campagnes en Argentine documentées) et au-delà, grâce à la personnalisation régionale des leurres.
🔎 Détection
ESET détecte le composant principal sous le nom MSIL/BtmobRat, avec des variantes Android détectées sous :
- Android/Spy.Agent.EED
- Android/Spy.Agent.EIJ
- Android/Spy.Agent.EIK
- Et d’autres noms listés dans les IoCs
Environ 15 échantillons de BTMOB v2.5 avaient été repérés en l’espace de deux semaines fin janvier 2025 selon Cyble.
📄 Nature de l’article
Il s’agit d’une analyse de menace publiée par un éditeur de sécurité, visant à documenter les capacités, le modèle de distribution et les indicateurs de compromission de BTMOB pour permettre la détection et le triage.
🧠 TTPs et IOCs détectés
TTP
- T1660 — Phishing (Initial Access)
- T1444 — Masquerade as Legitimate Application (Defense Evasion)
- T1418 — Software Discovery (Discovery)
- T1417 — Input Capture (Collection)
- T1513 — Screen Capture (Collection)
- T1430 — Location Tracking (Collection)
- T1629.003 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
- T1626 — Abuse Elevation Control Mechanism (Privilege Escalation)
- T1582 — SMS Control (Collection)
- T1583.006 — Acquire Infrastructure: Web Services (Resource Development)
IOC
- IPv4 :
178.156.177.192— AbuseIPDB · VT · ThreatFox - IPv4 :
191.101.131.250— AbuseIPDB · VT · ThreatFox - IPv4 :
195.160.221.203— AbuseIPDB · VT · ThreatFox - IPv4 :
104.21.64.137— AbuseIPDB · VT · ThreatFox - IPv4 :
191.96.224.87— AbuseIPDB · VT · ThreatFox - IPv4 :
191.96.225.241— AbuseIPDB · VT · ThreatFox - IPv4 :
191.96.78.172— AbuseIPDB · VT · ThreatFox - IPv4 :
191.96.78.28— AbuseIPDB · VT · ThreatFox - IPv4 :
191.96.79.133— AbuseIPDB · VT · ThreatFox - IPv4 :
191.96.79.179— AbuseIPDB · VT · ThreatFox - IPv4 :
191.96.79.41— AbuseIPDB · VT · ThreatFox - IPv4 :
192.178.209.95— AbuseIPDB · VT · ThreatFox - IPv4 :
200.9.155.153— AbuseIPDB · VT · ThreatFox - IPv4 :
78.135.93.123— AbuseIPDB · VT · ThreatFox - IPv4 :
79.133.57.141— AbuseIPDB · VT · ThreatFox - Domaines :
arbsniper.com— VT · URLhaus · ThreatFox - SHA256 :
58AC130A8EBB09E37592AC69841483EDC5695D1545B1F04F23D5B760AC17CD94— VT · MalwareBazaar - SHA256 :
0A542751724A432A8448324613E0CE10393E41739A1800CBB7D5A2C648FCDC35— VT · MalwareBazaar - SHA256 :
A764D73795ABE47AE640BA09999A18C47B5340E5ECC7B897AFEBF34F3F37638F— VT · MalwareBazaar - SHA256 :
26A2268281E8043125EF72B92F8980B42912048753D56894BC378FB54C7C188A— VT · MalwareBazaar - SHA256 :
6AE94CE710016D86ED7457236DEEF2C4C51478587F3609B6E827A348828B3931— VT · MalwareBazaar - SHA256 :
E5A9FDFF900DD502E8F3DCE52D2D1B69AA9AFAFB5094A28F9037E8770DB0E63B— VT · MalwareBazaar - SHA256 :
C6199E175FB988CBBEACDF0F5ACDF9ED83F5BDAAE5C95B7A6C27EE72CD11B0B1— VT · MalwareBazaar - SHA256 :
6BBA64FA9E8A7B11CB2476CD071DE08986DB44B0783EFF211C68FA5594EF8143— VT · MalwareBazaar - SHA256 :
5AAAF972C8BF39A98F2748E526DE3CC0370BA831997D7D9765CDABA599645C0D— VT · MalwareBazaar - SHA256 :
DDCE0219923D152B8FACD303F058A6286CF1F6924992B9FB9F5BF4D96436CC39— VT · MalwareBazaar - SHA256 :
D55057CD9110D12A192281356F06B94F342B9FEBB305CF0A5898A7E6AF40758F— VT · MalwareBazaar - SHA256 :
676CB2D0A60403AFC06CEA1B572CB7261F706365FAC65621B5A4907893E7AC0D— VT · MalwareBazaar - SHA256 :
75DD4FB011ED598374A46FC0D9C0D1D64A298341C34AFC83A56A6983CFD27764— VT · MalwareBazaar - SHA256 :
702261BA38B57ECC3A5407FED28B2F0611A74C2EC0C116AEA4F9E6DEF0899AED— VT · MalwareBazaar - SHA256 :
998A7ED1572AD9DC11375BC25294E1954E606B7CFF9FABC5C120713E597CD274— VT · MalwareBazaar - SHA256 :
244D81FD9908CD17815501D4EDADEB1BAF1C421AA25D8BD61C7CB481C939540E— VT · MalwareBazaar - SHA256 :
512EDE9F2FA794907999F3C26165557FDFD383B7AAD71BA022CE2C8BA6C0019D— VT · MalwareBazaar - SHA256 :
7AC974899E8E05AAACD417577C97E382D5E8C5F7F4A85632CFFB47EC2F6AE4E0— VT · MalwareBazaar - SHA256 :
168F50BF9A87099094EF410E3AC33E676A6A8740A5437CD09E7B63D73DF8431A— VT · MalwareBazaar - SHA256 :
2525D1E427A9983B0B4CA0906A4B44FFB9814B23D53FD8A2E3AB6512B027C733— VT · MalwareBazaar - SHA256 :
6101D1E1811DB052F869F7EB3402DAD28DA7E92103D4A44EE43F95846A075012— VT · MalwareBazaar - SHA256 :
1A60CB5F7E2FB7C09FC3DC8459108B26AC98EE73131F37A28CFDAD5FC75B7A7D— VT · MalwareBazaar - SHA256 :
97A0497DE585D3BE6EC75064AB3BD0979CD85561193C1F0669CCF4DB31330687— VT · MalwareBazaar - SHA256 :
02A52C4CC11748D44C9B49D508EE4E46425661981FA1406F30EC0830CB69DDC5— VT · MalwareBazaar - SHA256 :
6F9832EBB4C3054BEE4A6CE5CCB69C00E2020053E1308353343097E6A4041109— VT · MalwareBazaar - SHA256 :
F76B13040C634F82A8332FF9443D84C89A5BCED51AE9ADAD7FD15C05FADB4324— VT · MalwareBazaar - SHA256 :
C99139B0053C4C698EA0246D26D747F2A984C7ABA4613DA818ECD9F97899EF3A— VT · MalwareBazaar - SHA256 :
8F09274E808E0063D51F34CAC82A5770B3DF30C792E426DA2F6A80657F27AFFC— VT · MalwareBazaar - SHA256 :
140A7F995B0336942691A2E93E2017FD575267C017C7D0728D69169306F91963— VT · MalwareBazaar - SHA256 :
A1E457C52EAB430C20D48F2AC476E080386313F16EFB135A0471902CF68CE475— VT · MalwareBazaar - SHA256 :
5A4E86BBCF0EBC455D2995DB225D9AD682E9B37B6BAD472A604A462099D988BD— VT · MalwareBazaar - SHA256 :
A892F1EF2E530D67BF948A48C734DA3F27718EB8B883CA0B686DDB0A81071731— VT · MalwareBazaar - SHA256 :
AA56F350882CE63429C6626567487B041F06168BB60F4FC371A262EABADFA660— VT · MalwareBazaar - SHA256 :
752C1CFE783ED343E470AB95A4843A23872CDC98B7D3ED5633DD6C881C071A14— VT · MalwareBazaar - SHA256 :
0628AD6D1FD836B13B22E75FA169502D8CE78B7AD20F0261EB5151DA98437BCA— VT · MalwareBazaar - SHA256 :
6844CE1539014571360495C6FB50965E813C2721663BDD40D577D9E5163773C6— VT · MalwareBazaar
Malware / Outils
- BTMOB (rat)
- SpySolr (rat)
🟢 Indice de vérification factuelle : 90/100 (haute)
- ✅ welivesecurity.com — source reconnue (liste interne) (20pts)
- ✅ 9073 chars — texte complet (fulltext extrait) (15pts)
- ✅ 52 IOCs dont des hashes (15pts)
- ✅ 5/7 IOCs confirmés (AbuseIPDB, MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (15pts)
- ✅ 10 TTPs MITRE identifiées (15pts)
- ✅ date extraite du HTML source (10pts)
- ⬜ aucun acteur de menace nommé (0pts)
- ⬜ pas de CVE à vérifier (0pts)
IOCs confirmés externellement :
191.101.131.250(ip) → VT (13/91 détections)195.160.221.203(ip) → VT (15/91 détections)58AC130A8EBB09E3…(sha256) → VT (30/76 détections)0A542751724A432A…(sha256) → VT (20/76 détections)arbsniper.com(domain) → VT (15/91 détections)
🔗 Source originale : https://www.welivesecurity.com/en/malware/btmob-stealthy-rat-burrowing-deep-android-devices/