Latinoamérica tiene un nuevo dolor de cabeza en materia de ciberseguridad. Se llama BTMOB y es un troyano de acceso remoto diseñado para robar dinero y datos de usuarios de Android. Según investigaciones de firmas como Kaspersky, ESET, Cyble y Zimperium, el malware opera bajo un modelo de Malware-as-a-Service, lo que significa que está disponible para que cualquier delincuente lo rente y utilice en sus propias campañas.

Lo curioso es que BTMOB no es completamente nuevo. Los análisis técnicos lo vinculan con un desarrollador de origen sirio conocido como EVLF, responsable de otros malwares como CraxsRAT y CypherRAT. Lo que hace BTMOB es una mejora inteligente de estas amenazas previas: está diseñado específicamente para sortear las defensas más modernas de Android, incluyendo Google Play Protect.

El troyano usa trucos clásicos pero efectivos para propagarse. Kaspersky y ESET han detectado que se disfraza de aplicaciones populares como Starlink, aprovechando el interés de la gente por el internet satelital. En Brasil, también ha aparecido haciéndose pasar por servicios gubernamentales como el Instituto Nacional del Seguro Social. El malware llega a través de páginas de phishing falsas que imitan tiendas de aplicaciones legítimas, engañando al usuario para que instale el APK malicioso fuera de Google Play.

Una vez dentro del teléfono, BTMOB explota un punto débil de Android: los Servicios de Accesibilidad. Estos permisos, pensados para ayudar a personas con discapacidades, permiten que el malware automatice acciones en la pantalla, se otorgue permisos adicionales sin que lo note el usuario y acceda a datos de otras apps. Para mantenerse activo sin ser cerrado por el sistema operativo, reproduce un archivo de audio inaudible que mantiene el proceso en segundo plano.

El objetivo final es tu dinero y tus datos personales. El malware muestra ventanas falsas sobre tus apps bancarias y billeteras de criptomonedas para robar claves de acceso y códigos PIN. También intercepta mensajes SMS para capturar los códigos de autenticación de dos factores, lo que permite a los atacantes entrar a tus cuentas y hacer transferencias sin autorización, especialmente a través de Pix.

Pero no solo busca fraude inmediato. BTMOB también actúa como herramienta de espionaje: puede activar micrófono, cámara y GPS, convirtiendo tu dispositivo en un instrumento de vigilancia. Lo mejor que puedes hacer es descargar apps solo desde Google Play, tener actualizado el sistema operativo de tu teléfono y no otorgar permisos de accesibilidad a aplicaciones que no los necesiten claramente.