BTMOB ラット

BTMOB RATは、マルウェア・アズ・ア・サービス（MaaS）モデルを通じて配布される、高度なAndroidリモートアクセス型トロイの木馬（RAT）です。2025年2月にサイバーセキュリティ研究者によって初めて報告されたこのマルウェアは、サイバー犯罪者が技術的な専門知識やプログラミングの知識を必要とせずに、完全に機能するスパイツールキットを購入またはレンタルすることを可能にします。

この脅威は、以前から存在していたSpySolrというAndroidマルウェアファミリーの後継として出現した。BTMOB RATの背後にいる運営者は、商用配布モデルを採用することで、モバイルスパイ活動、認証情報窃盗、金融詐欺といった大規模な犯罪行為を企む犯罪者にとっての参入障壁を大幅に下げた。

Androidのアクセシビリティ機能を利用してデバイスを完全に制御する

このマルウェアの最も危険な機能の一つは、Androidアクセシビリティサービスを悪用することです。BTMOB RATはこれらのサービスを操作することで、被害者に警告を発するような追加のセキュリティプロンプトを表示させることなく、密かに権限昇格を取得します。

一度起動すると、このマルウェアはデバイス所有者に代わって様々な操作を実行できます。画面の内容を読み取ったり、インターフェース要素を操作したり、権限を承認したり、デバイスに対する制御を密かに拡大したりすることが可能です。この手法により、攻撃者は多くの従来のセキュリティ対策を回避しながら、永続的かつ秘密裏にアクセスを維持できます。

広範な監視およびデータ窃盗機能

BTMOB RATは、攻撃者に広範な監視およびスパイ機能を提供します。感染したデバイスは遠隔操作者に完全に公開され、継続的な監視と被害者のスマートフォン活動への直接的なアクセスが可能になります。

このマルウェアは以下のことが可能です。

• 連絡先、SMSメッセージ、通話履歴、保存されているアカウント認証情報を盗む
• スクリーンショットの取得、デバイスアクティビティの記録、リモートでのアプリケーションの起動、およびユーザーの操作のリアルタイム監視

多くの一般的なバンキング型トロイの木馬が金銭窃盗のみに焦点を当てているのに対し、BTMOB RATは幅広いリモート管理機能を提供し、感染したスマートフォンを効果的に遠隔操作可能な監視装置に変えることができます。

検出を回避するように設計されたカスタムマルウェア生成

内蔵のAPK作成パネルを使用することで、顧客は最小限の手間でカスタマイズされたマルウェアの亜種を生成できます。この作成ツールを使えば、オペレーターはコードを一切記述することなく、偽名、地域ターゲティングパラメータ、キャンペーン固有の設定を変更できます。

このカスタマイズ機能により、セキュリティ製品による検出は著しく困難になります。なぜなら、各展開が以前のサンプルとわずかに異なるように見える可能性があるからです。研究者らは、2025年1月下旬のわずか2週間で約15個のBTMOB RAT v2.5サンプルを観測しており、このマルウェアの急速な開発と積極的な拡散サイクルを浮き彫りにしています。

犯罪促進と積極的な地域キャンペーン

BTMOB RATは、複数のオンラインプラットフォームで公然と宣伝されている。購読料は月額約700ドルと報じられており、購入者向けに永久ライセンスオプションも用意されている。宣伝活動は、Telegramチャンネル、アンダーグラウンドフォーラム、InstagramやX（Twitter）などのソーシャルメディアプラットフォームで確認されている。

記録に残っているほとんどの攻撃はブラジルのユーザーを主な標的としていたが、アルゼンチンの被害者を狙ったフィッシング攻撃もいくつかあった。いくつかの攻撃では、信頼性を高め、被害者を悪意のあるアプリケーションのダウンロードに誘導するために、現地の税務署や税関当局になりすましていた。

信頼できるプラットフォームを模倣した感染手法

こうした配布キャンペーンでは、正規のストリーミングサービス、仮想通貨プラットフォーム、その他の有名ブランドを装ったフィッシングサイトがよく利用されます。被害者は、公式のGoogle Playストアのインターフェースに酷似するように意図的に設計された偽のアプリストアに誘導されます。

ユーザーはその後、Googleの公式エコシステム外でホストされている悪意のあるAPKインストーラーをダウンロードするように誘導される。このマルウェアは、ソーシャルメディアやアンダーグラウンドコミュニティでの積極的な宣伝によっても知名度を高めており、無料サンプルが配布されて新たな犯罪顧客を引き付けている。

将来の変異株のリスクの高まり

サイバー犯罪開発者は、マルウェアのフレームワークを継続的に進化させ、永続性、ステルス性、攻撃能力を向上させています。そのため、BTMOB RATの将来のバージョンでは、既に報告されている機能を超えて、追加機能、より強力な回避メカニズム、または拡張された攻撃機能が導入される可能性があります。

BTMOB RATなどのマルウェアがデバイスに存在すると、深刻なプライバシー侵害、個人情報の盗難、不正な金融取引、さらには複数の二次感染を引き起こし、影響を受けたシステムをさらに危険にさらす可能性があります。

Mirax、Oblivion、Arsinkなど、Androidを標的とした他のリモートアクセス型トロイの木馬も同様の目的で動作します。すなわち、不正なデバイスアクセスを取得し、機密情報を収集し、盗んだデータを犯罪的な利益のために収益化することです。

Android RAT感染に対する必須の防御策

BTMOB RATなどの脅威による感染を防ぐためには、強力なモバイルセキュリティ対策が依然として不可欠です。

主な保護対策は以下のとおりです。

• アプリは公式の Google Play ストアまたは認証済みの開発者ソースからのみダウンロードし、迷惑なダウンロードリンクは避け、アプリの権限を注意深く確認し、ソフトウェアを最新の状態に保ち、インストール前にユーザーレビューを確認してください。
• 侵害が発生する前に悪意のあるアプリケーションや不審な動作を検出できる、信頼できるモバイルセキュリティソリューションを使用してください。

Androidマルウェアのエコシステムが進化し続ける中で、警戒心、ソフトウェアの健全性、そして慎重なアプリケーション管理は、ますます高度化するモバイルサイバー脅威に対する不可欠な防御策であり続ける。