Dinámica Automotriz / Estrategia de Movilidad

BTMOB RAT se propaga por Brasil y América Latina bajo un modelo MaaS, con capacidad de toma remota y robo de datos

Varias fuentes apuntan a una misma cadena de घटन**: el malware para Android BTMOB RAT se está difundiendo mediante MaaS y constructores APK sin código, con foco principal en Brasil y América Latina. Entre las capacidades confirmadas figuran el robo de datos, las capturas de pantalla, el registro de actividad y la toma remota de dispositivos; los canales de distribución incluyen sitios de phishing y Telegram. Existen diferencias en la descripción de los señuelos y del modelo operativo, y algunas fuentes no mencionan ciertos detalles.

Resumen TSO

  • Varias fuentes apuntan a una misma cadena de घटन**: el malware para Android BTMOB RAT se está difundiendo mediante MaaS y constructores APK sin código, con foco principal en Brasil y América Latina. Entre las capacidades confirmadas figuran el robo de datos, las capturas de pantalla, el registro de actividad y la toma remota de dispositivos; los canales de distribución incluyen sitios de phishing y Telegram. Existen diferencias en la descripción de los señuelos y del modelo operativo, y algunas fuentes no mencionan ciertos detalles.
  • Dinámica Automotriz · Estrategia de Movilidad
  • 29 may 2026
Nota de TSOEsta página adopta el nuevo diseño editorial del artículo usando los campos públicos actuales del artículo. Los datos estructurados de fuentes y veredictos aún no forman parte de la API pública.

Perspectiva de las tres fuentes y conclusión de verificación TSO:

  • Fuente 1: BTMOB RAT aparece como malware-as-a-service (MaaS), con una interfaz sin código para construir aplicaciones bancarias maliciosas, dirigido a usuarios de Brasil y América Latina, y distribuido mediante canales de Telegram y sitios de phishing.

  • Fuente 2: ESET advierte que la amenaza de BTMOB para usuarios de Android está aumentando; cuenta con capacidades de robo de datos y toma de control del dispositivo, se propaga mediante ataques de phishing, con señuelos que incluyen servicios de streaming y criptomonedas, y ofrece creación de cargas útiles sin código a través de una interfaz APK builder.

  • Fuente 3: BTMOB fue descrito por primera vez por investigadores de Cyble, con un modelo de licencia para operadores, capaz de exfiltrar datos, hacer capturas de pantalla, registrar actividad y controlar remotamente los dispositivos infectados.

  • Conclusión de la verificación TSO: las tres fuentes se corroboran en que BTMOB es un malware/RAT para Android, se distribuye en Brasil y América Latina, puede desplegarse mediante una cadena de herramientas sin código o un esquema de servicio, y tiene capacidades de robo de datos y toma de control del dispositivo; las diferencias se concentran en la terminología del modelo operativo, los señuelos de distribución y la forma de atribuir los detalles.

Hechos confirmados en común:

  1. BTMOB es un malware para Android / troyano de acceso remoto (RAT).

  2. El malware se está propagando en Brasil y en la región de América Latina.

  3. Se distribuye a través de canales como sitios de phishing, y la fuente 1 menciona explícitamente canales de Telegram.

  4. Tiene capacidad para robar datos, hacer capturas de pantalla, registrar actividad y tomar el control remoto del dispositivo.

  5. Al menos una fuente indica que se ofrece bajo un modelo MaaS o similar de “servicio/licencia”, con capacidad de construcción sin código (APK builder o interfaz no-code).

Principales diferencias o discrepancias:

  1. La descripción del modelo operativo varía: la fuente 1 lo llama directamente MaaS; la fuente 3 habla de un modelo de licencia para operadores; la fuente 2 destaca la interfaz APK builder sin usar expresamente el término MaaS.

  2. Los señuelos de phishing no coinciden: la fuente 2 menciona servicios de streaming y criptomonedas, mientras que las fuentes 1 y 3 no detallan tipos concretos de señuelo.

  3. La atribución del origen también cambia: la fuente 3 señala que el informe fue descrito inicialmente por investigadores de Cyble; las otras dos no incluyen ese contexto.

  4. La forma de describir la implementación “sin código” es distinta: la fuente 1 habla de una interfaz no-code para crear apps bancarias maliciosas; la fuente 2 menciona una interfaz APK builder para crear cargas útiles sin código; ambas van en la misma dirección, pero no permiten confirmar que se trate exactamente del mismo mecanismo.

Contexto y análisis:
A partir de la comparación de las tres fuentes, el rasgo más destacado de BTMOB no es una única carga maliciosa, sino la combinación de “despliegue como servicio + generación sin código + distribución multicanal”. La información confirmada muestra que no solo puede sustraer credenciales financieras, sino también capturar pantallas, registrar actividad y asumir el control del dispositivo, lo que apunta a un objetivo centrado en la toma de cuentas y el control del terminal.
Sin embargo, sobre si está diseñado específicamente para “aplicaciones bancarias” o para escenarios como “streaming” y “criptomonedas”, las fuentes aportan solo descripciones parciales, por lo que no puede confirmarse si esos son sus únicos señuelos o superficies de ataque.
En cuanto al alcance de la propagación en América Latina, las tres fuentes mencionan de forma clara Brasil y la región, pero no detallan países concretos, número de muestras ni escala de infección.
Por ello, la conclusión prudente es que BTMOB es un RAT para Android que varias publicaciones de seguridad consideran en expansión en Brasil y América Latina, con rasgos de servicio, herramientas sin código y distribución de bajo umbral.

Resumen de las tres fuentes:

  • Fuente 1: destaca MaaS, interfaz no-code, Telegram y sitios de phishing, con foco en Brasil y América Latina.

  • Fuente 2: destaca la advertencia de ESET, el robo de datos y la toma de control del dispositivo, y la distribución mediante phishing y APK builder sin código.

  • Fuente 3: destaca el modelo de licencia para operadores, la exfiltración de datos, las capturas de pantalla, el registro de actividad y el control remoto.

Cierre:
En conjunto, las tres fuentes muestran que el riesgo principal de BTMOB reside en la combinación de distribución “como servicio” y capacidad de toma remota; sin embargo, la escala exacta de ataque, el alcance de las víctimas y los detalles completos de la cadena de infección no están confirmados por las fuentes proporcionadas.

Dinámica Automotriz