O BTMOB, um trojan de acesso remoto (RAT) para Android descoberto inicialmente em fevereiro de 2025, está ganhando força como uma das ameaças mais versáteis do ecossistema mobile. Detectado com destaque por pesquisadores da ESET no Brasil em maio de 2026, o malware combina roubo financeiro, exfiltração de dados e controle remoto completo do dispositivo — tudo vendido como serviço (MaaS) por US$ 5.000. O Brasil é um dos países com maior penetração de dispositivos Android no mundo e líder em fraudes financeiras digitais, o que torna o BTMOB uma ameaça particularmente relevante para o mercado local.
Como o BTMOB infecta o celular
A infecção começa com engenharia social: vítimas são direcionadas a sites de phishing que imitam serviços de streaming, plataformas de criptomoedas e outros serviços online populares. Esses sites direcionam para lojas de aplicativos falsas que mimetizam o Google Play Store, onde a vítima instala um APK malicioso.
Uma vez instalado, o BTMOB solicita acesso aos Serviços de Acessibilidade do Android — o mesmo recurso projetado para ajudar usuários com deficiência. Ao obter esse acesso, o malware se concede permissões elevadas automaticamente, sem qualquer interação adicional do usuário. A partir daí, ele pode capturar screenshots, gravar a atividade na tela, exfiltrar dados sensíveis e assumir controle remoto total do aparelho.
Malware como serviço sem código
O que torna o BTMOB particularmente perigoso é o modelo de negócio. O RAT é vendido com uma interface de criação de APK que permite a qualquer criminoso gerar novos payloads e personalizar iscas de phishing para regiões específicas — sem escrever uma linha de código. Campanhas já foram identificadas se passando pela autoridade tributária da Argentina e por serviços populares no Brasil.
A operação é profissional: contas no X e Instagram promovem a ferramenta abertamente, e um funil de vendas na web aberta direciona compradores para operadores no Telegram. Em janeiro de 2026, arquivos relacionados ao BTMOB apareceram gratuitamente em um fórum da dark web, indicando que o acesso pode estar se expandindo para mercados secundários.
O malware é detectado pela ESET como MSIL/BtmobRat (componente desktop) e Android/Spy.Agent.EED, EIJ, EIK (variantes Android). Evoluiu a partir do SpySolr e difere de trojans bancários tradicionais por oferecer controle total do dispositivo, não apenas roubo de credenciais financeiras.
A LGPD exige que empresas protejam dados pessoais em dispositivos móveis — um funcionário com celular comprometido pode expor dados corporativos e de clientes. A ANPD pode exigir notificação em caso de incidentes envolvendo dados pessoais.
Proteja-se do BTMOB
- Instale apps apenas do Google Play oficial — as iscas do BTMOB usam lojas falsas que imitam a Play Store
- Desconfie de links em mensagens — SMS, WhatsApp e redes sociais são os canais de phishing mais usados para distribuir o malware
- Revise permissões de acessibilidade — vá em Configurações > Acessibilidade e desative serviços desconhecidos
- Ative o Google Play Protect — ele detecta sideloading de APKs maliciosos, mesmo de fontes externas
- Empresas: implemente MDM — bloqueie instalação de apps de fontes desconhecidas em dispositivos corporativos com política de Mobile Device Management
- Use solução de segurança mobile — a detecção do BTMOB por antivírus confiável pode impedir a instalação antes que o dano ocorra