Posições das três fontes e conclusão da verificação TSO:
Fonte 1: o BTMOB RAT aparece em um modelo de malware-as-a-service (MaaS), com uma interface sem código capaz de criar aplicativos bancários maliciosos, voltado para usuários do Brasil e da América Latina, distribuído por canais no Telegram e sites de phishing.
Fonte 2: a ESET alertou que o BTMOB representa uma ameaça crescente para usuários Android, com capacidade de roubo de dados e controle do dispositivo, disseminado por ataques de phishing, com iscas incluindo serviços de streaming e criptomoedas, e oferecendo uma interface de APK builder para criação de payloads sem código.
Fonte 3: o BTMOB foi descrito inicialmente por pesquisadores da Cyble e adota um modelo de licenciamento para operadores, podendo exfiltrar dados, capturar telas, registrar atividades e controlar remotamente dispositivos infectados.
Conclusão da verificação TSO: as três fontes se confirmam mutuamente em relação ao fato de que o BTMOB é um malware/RAT para Android, é distribuído no Brasil e na América Latina, pode ser implantado por meio de uma cadeia de ferramentas sem código ou de forma como serviço, e tem capacidade de roubo de dados e tomada de controle do dispositivo; as diferenças concentram-se na terminologia do modelo operacional, nas iscas de distribuição e na forma como os detalhes de origem são apresentados.
Fatos confirmados em comum:
O BTMOB é um malware Android / trojan de acesso remoto (RAT).
O malware está se espalhando pelo Brasil e pela América Latina.
Ele é distribuído por canais como sites de phishing, e a fonte 1 menciona explicitamente o Telegram.
Ele é capaz de roubar dados, capturar a tela, registrar atividades e assumir remotamente o controle do dispositivo.
Pelo menos uma fonte indica que ele é oferecido em um modelo MaaS ou em um esquema semelhante de serviço/licenciamento, com capacidade de criação sem código (APK builder ou interface no-code).
Principais divergências ou diferenças:
A formulação do modelo operacional varia: a fonte 1 usa diretamente MaaS; a fonte 3 fala em operador com modelo de licenciamento; a fonte 2 destaca a interface de APK builder, sem empregar explicitamente a expressão MaaS.
As iscas de phishing são diferentes: a fonte 2 cita serviços de streaming e criptomoedas, enquanto as fontes 1 e 3 não mencionam tipos específicos de isca.
A origem da descrição também diverge: a fonte 3 afirma que o relatório foi descrito inicialmente por pesquisadores da Cyble; as fontes 1 e 2 não mencionam esse contexto.
A forma de implementação “sem código” é descrita de maneiras distintas: a fonte 1 fala em uma interface no-code para construir aplicativos bancários maliciosos; a fonte 2 menciona uma interface de APK builder para criação de payloads sem código; ambas apontam na mesma direção, mas não é possível confirmar, com base apenas nas fontes fornecidas, se se trata exatamente da mesma implementação.
Contexto e análise:
Ao cruzar as três fontes, a principal característica do BTMOB não é apenas a presença de um payload malicioso, mas sim a combinação de “distribuição como serviço + geração sem código + distribuição multicanal”. As informações confirmadas mostram que ele não apenas consegue roubar credenciais financeiras, mas também capturar a tela, registrar atividades e assumir o controle do dispositivo, indicando uma ênfase maior em takeover de contas e controle de dispositivos.
No entanto, sobre se ele mira especificamente “aplicativos bancários” ou cenários como “streaming/criptomoedas”, as fontes fornecidas trazem apenas descrições parciais, não sendo possível confirmar se esses são o escopo total ou as únicas iscas usadas.
Quanto ao alcance da disseminação na América Latina, as três fontes mencionam claramente o Brasil e a região latino-americana, mas não detalham países específicos, amostras ou escala de infecção.
Assim, a conclusão mais segura é que o BTMOB já é visto por várias publicações de segurança como um RAT Android que se espalha pelo Brasil e pela América Latina, com características de MaaS, geração de ferramentas e baixa barreira de entrada.
Resumo das três fontes:
Fonte 1: destaca MaaS, interface no-code, Telegram e sites de phishing, com foco em Brasil e América Latina.
Fonte 2: destaca o alerta da ESET, a capacidade de roubo de dados e tomada do dispositivo, além da distribuição por phishing e do uso de um APK builder sem código.
Fonte 3: destaca o modelo de licenciamento para operadores, a exfiltração de dados, a captura de tela, o registro de atividades e o controle remoto.
Conclusão:
Em conjunto, as três fontes mostram que o risco central do BTMOB está na combinação entre distribuição como serviço e capacidade de controle remoto; já os detalhes sobre escala da campanha, alcance das vítimas e cadeia completa de ataque não são mencionados nas fontes ou não podem ser confirmados a partir delas.