BTMOB: malware Android como serviço atinge o Brasil

Malware Android é vendido como serviço

Um Trojan de Acesso Remoto (RAT) para Android chamado BTMOB está sendo comercializado como serviço completo (Malware-as-a-Service) por US$ 5.000 com licença vitalícia, permitindo que criminosos sem conhecimento técnico criem cargas maliciosas personalizadas. A descoberta foi detalhada em análise da ESET publicada em maio de 2026, e o malware já foi identificado em campanhas de phishing direcionadas ao Brasil e a outros países da América Latina.

Como o BTMOB infecta o celular

O BTMOB evoluiu da família SpySolr, documentada pela primeira vez em fevereiro de 2025. Diferente de trojans bancários convencionais, ele vai além do roubo de credenciais financeiras: exfiltra dados do dispositivo, captura screenshots, grava a atividade na tela e entrega controle remoto completo do celular ao operador.

O diferencial do BTMOB é o construtor de APKs — uma interface que permite ao comprador gerar novas variantes do malware sem escrever uma linha de código. As campanhas de distribuição seguem um padrão de engenharia social: a vítima é direcionada a sites de phishing que imitam serviços de streaming, plataformas de criptomoedas ou marcas conhecidas, sendo induzida a baixar o app malicioso por uma loja falsa.

Uma vez instalado, o BTMOB abusa dos Serviços de Acessibilidade do Android para escalar permissões automaticamente, sem necessidade de nova interação do usuário. A Zimperium identificou em 2026 uma variante (BTMOB v2) capaz de roubar o PIN do Alipay direto da tela de bloqueio.

Campanhas já atingem o Brasil

Segundo a ESET, o kit já foi adaptado para se passar por instituições locais, incluindo campanhas que falsificaram autoridades fiscais e aduaneiras da Argentina. O Brasil é um dos principais alvos do malware bancário mobile há anos, e a facilidade de personalização do BTMOB torna o cenário particularmente perigoso: qualquer criminoso pode criar uma versão que imita um banco brasileiro ou um app de pagamento popular como Pix.

O modelo de comercialização do BTMOB inclui página promocional na web aberta, atendimento via Telegram, e perfis no X e Instagram do vendedor. Em janeiro de 2026, arquivos do BTMOB foram disponibilizados gratuitamente em um fórum da dark web antes de o site sair do ar — evidência de que o malware pode se espalhar rapidamente além dos compradores originais.

Proteja seu celular Android

• Instale apps apenas da Google Play Store ou lojas oficiais do fabricante — nunca baixe APKs de links recebidos por mensagem
• Revise permissões de Acessibilidade em Configurações > Acessibilidade e desative serviços desconhecidos imediatamente
• Mantenha o Google Play Protect ativado — ele detecta apps maliciosos mesmo de fontes externas
• Desative “Instalar de fontes desconhecidas” nas configurações de segurança do Android
• Use autenticação em dois fatores em apps bancários e de pagamento, preferencialmente com chave física ou app autenticador

Perguntas frequentes sobre o BTMOB

1. O BTMOB afeta iPhones? Não. O BTMOB é um malware específico para Android, explorando os Serviços de Acessibilidade desse sistema.
2. O Google Play Protect detecta o BTMOB? Sim, mas variantes novas podem evadir a detecção inicial. Por isso é essencial não instalar APKs de fontes externas.
3. Como saber se meu celular está infectado? Verifique se há serviços desconhecidos ativos em Acessibilidade, consumo anormal de bateria, e apps que você não lembra de ter instalado.

Fontes e referências

• WeLiveSecurity — BTMOB: A stealthy RAT burrowing deep into Android devices
• Infosecurity Magazine — BTMOB Android RAT Spreads Through No-Code Builder Tooling
• Zimperium — From Lock Screen to Wallets: BTMOB RAT Now Targets Alipay PINs