オート・ダイナミクス / モビリティ戦略

BTMOB RAT が MaaS 形態でブラジルとラテンアメリカに拡散、遠隔乗っ取りとデータ窃取が可能

複数の情報源は同じ一連の事案を示している。Android マルウェア BTMOB RAT は MaaS とノーコード APK ビルダーの形で拡散しており、主な標的はブラジルおよびラテンアメリカ地域である。確認済みの機能には、データ窃取、スクリーンショット取得、活動の記録、端末の遠隔乗っ取りが含まれる。配布経路にはフィッシングサイトと Telegram が含まれる。具体的なおとりの種類や運用モデルの表現には差異があり、一部の詳細は情報源で言及されていない。

TSO要約

  • 複数の情報源は同じ一連の事案を示している。Android マルウェア BTMOB RAT は MaaS とノーコード APK ビルダーの形で拡散しており、主な標的はブラジルおよびラテンアメリカ地域である。確認済みの機能には、データ窃取、スクリーンショット取得、活動の記録、端末の遠隔乗っ取りが含まれる。配布経路にはフィッシングサイトと Telegram が含まれる。具体的なおとりの種類や運用モデルの表現には差異があり、一部の詳細は情報源で言及されていない。
  • オート・ダイナミクス · モビリティ戦略
  • 2026年5月29日
TSO注記このページは、現在の公開記事フィールドを使って新しい編集記事レイアウトを適用しています。ソースごとの構造化された検証データは、まだ公開APIには含まれていません。

上部の 3 情報源の見解と TSO 検証結果:

  • 情報源 1: BTMOB RAT は malware-as-a-service(MaaS)形態で出現し、ノーコードのインターフェースを備え、悪意ある銀行アプリを構築できる。対象はブラジルとラテンアメリカのユーザーで、Telegram チャンネルとフィッシングサイトを通じて配布される。

  • 情報源 2: ESET は、BTMOB が Android ユーザーに対する脅威を高めており、データ窃取と端末乗っ取りの能力を持つと警告した。フィッシング攻撃で拡散され、おとりにはストリーミングサービスや暗号資産サービスが含まれ、APK ビルダーのインターフェースによってノーコードでペイロードを作成できる。

  • 情報源 3: BTMOB は Cyble の研究者によって最初に記述され、オペレーター向けライセンスモデルで提供される。データの外部送信、スクリーンショット取得、活動記録、感染端末の遠隔制御が可能である。

  • TSO 検証結果: 3 情報源は、「BTMOB は Android マルウェア / RAT であること」「ブラジルおよびラテンアメリカで拡散していること」「ノーコードのツールチェーンまたはサービス化された形で展開されること」「データ窃取と端末乗っ取りの能力を持つこと」で相互に裏付け合っている。相違点は主に、運用モデルの表現、配布時のおとり、詳細な出典の説明に集中している。

共通して確認できる事実:

  1. BTMOB は Android マルウェア / リモートアクセス型トロイの木馬(RAT)である。

  2. このマルウェアはブラジルおよびラテンアメリカ地域で拡散している。

  3. フィッシングサイトなどの経路で配布され、情報源 1 は Telegram チャンネルも明記している。

  4. データ窃取、スクリーンショット取得、活動記録、端末の遠隔乗っ取りが可能である。

  5. 少なくとも 1 つの情報源は、MaaS またはそれに類する「サービス化 / ライセンス」モデルで提供され、ノーコードで構築できる機能(APK ビルダーまたはノーコードのインターフェース)を伴うと示している。

主な相違点:

  1. 運用モデルの表現が異なる。情報源 1 は MaaS と直接述べ、情報源 3 は operator licensing model と表現し、情報源 2 は APK ビルダーのインターフェースを強調しているが、MaaS という表現は使っていない。

  2. おとりの種類が異なる。情報源 2 はストリーミングサービスと暗号資産サービスを挙げる一方、情報源 1 と 3 は具体的なおとりの種類には触れていない。

  3. 出典の帰属が異なる。情報源 3 はこの報告が最初に Cyble の研究者によって記述されたと述べるが、情報源 1 と 2 はその背景を示していない。

  4. ノーコード実装の表現が異なる。情報源 1 は「悪意ある銀行アプリを構築するための no-code interface」、情報源 2 は「no-code ペイロード作成のための APK ビルダーインターフェース」と述べており、方向性は一致するが、同一の実装かどうかは確認できない。

背景と分析:
3 情報源を突き合わせると、BTMOB の特徴は単一の悪意あるペイロードではなく、「サービス化された展開 + ノーコード生成 + 複数経路での配布」という組み合わせにある。確認済みの情報からは、金融認証情報の窃取だけでなく、スクリーンショット取得、活動記録、端末制御まで可能であることが示されており、狙いはアカウント乗っ取りと端末制御にあるとみられる。
ただし、銀行アプリを特に狙うのか、あるいはストリーミング / 暗号資産サービスなどを装うのかについては、提供された情報源では部分的な記述しかなく、これらが攻撃対象の全体像や唯一のおとりであるとは確認できない。
また、「ラテンアメリカでの拡散」については 3 情報源ともブラジルとラテンアメリカを明示しているが、具体的な対象国、サンプル数、感染規模は示されていない。
したがって、現時点で妥当といえる結論は、BTMOB はブラジルとラテンアメリカで拡散している Android RAT として複数のセキュリティ媒体に取り上げられており、その拡散は MaaS 化、ツール化、低参入障壁化という特徴を持つ、ということである。

3 情報源の要約:

  • 情報源 1: MaaS、no-code interface、Telegram とフィッシングサイトを強調し、ブラジルとラテンアメリカでの拡散を指摘。

  • 情報源 2: ESET の警告、データ窃取と端末乗っ取りの能力、フィッシングと APK ビルダーによるノーコード展開を強調。

  • 情報源 3: operator licensing model、データ外部送信、スクリーンショット、活動記録、遠隔制御を強調。

結論:
3 情報源を総合すると、BTMOB の中核的なリスクは「サービス化された拡散」と「遠隔乗っ取り能力」の組み合わせにある。ただし、具体的な攻撃規模、被害範囲、完全な侵入経路の詳細は、情報源で言及されていないか、提供された情報からは確認できない。

情報源

オート・ダイナミクス