BTMOB RAT

BTMOB RAT یک تروجان دسترسی از راه دور (RAT) پیشرفته اندروید است که از طریق مدل Malware-as-a-Service (MaaS) توزیع می‌شود. این بدافزار که اولین بار توسط محققان امنیت سایبری در فوریه 2025 مستند شد، مجرمان سایبری را قادر می‌سازد تا بدون نیاز به تخصص فنی یا دانش برنامه‌نویسی، یک ابزار جاسوسی کاملاً عملیاتی را خریداری یا اجاره کنند.

این تهدید به عنوان جانشین خانواده بدافزار اندرویدی قبلی به نام SpySolr ظهور کرد. با اتخاذ یک مدل توزیع تجاری، اپراتورهای پشت BTMOB RAT به طور قابل توجهی موانع ورود مجرمانی را که به دنبال انجام جاسوسی موبایل، سرقت اطلاعات کاربری و کمپین‌های کلاهبرداری مالی در مقیاس بزرگ بودند، کاهش دادند.

سوءاستفاده از ویژگی‌های دسترسی‌پذیری اندروید برای کنترل کامل دستگاه

یکی از خطرناک‌ترین قابلیت‌های این بدافزار، سوءاستفاده از سرویس‌های دسترسی اندروید است. با دستکاری این سرویس‌ها، BTMOB RAT به‌طور مخفیانه مجوزهای سطح بالا را بدون ایجاد هشدارهای امنیتی اضافی که می‌تواند قربانی را آگاه کند، به دست می‌آورد.

پس از فعال شدن، این بدافزار می‌تواند از طرف صاحب دستگاه اقداماتی را انجام دهد. می‌تواند محتوای صفحه نمایش را بخواند، با عناصر رابط کاربری تعامل داشته باشد، مجوزها را تأیید کند و به طور مخفیانه کنترل خود را بر روی دستگاه گسترش دهد. این تکنیک به مهاجمان اجازه می‌دهد تا دسترسی مداوم و پنهانی را حفظ کنند و در عین حال بسیاری از محافظت‌های امنیتی سنتی را دور بزنند.

قابلیت‌های گسترده نظارت و سرقت داده‌ها

BTMOB RAT قابلیت‌های نظارتی و جاسوسی گسترده‌ای را در اختیار مهاجمان قرار می‌دهد. دستگاه‌های آلوده کاملاً در معرض دید اپراتورهای از راه دور قرار می‌گیرند و امکان نظارت مداوم و تعامل مستقیم با فعالیت تلفن هوشمند قربانی را فراهم می‌کنند.

این بدافزار قادر است:

• سرقت مخاطبین، پیامک‌ها، گزارش تماس‌ها و اطلاعات حساب‌های ذخیره‌شده
• گرفتن اسکرین‌شات، ضبط فعالیت دستگاه، باز کردن برنامه‌ها از راه دور و نظارت بر اقدامات کاربر به صورت بلادرنگ

برخلاف بسیاری از تروجان‌های بانکی استاندارد که صرفاً بر سرقت مالی تمرکز دارند، BTMOB RAT قابلیت‌های مدیریت از راه دور گسترده‌ای را ارائه می‌دهد که به طور مؤثر تلفن‌های آلوده را به دستگاه‌های نظارتی کنترل از راه دور تبدیل می‌کند.

تولید بدافزار سفارشی برای جلوگیری از شناسایی

یک پنل سازنده APK داخلی به مشتریان این امکان را می‌دهد که با حداقل تلاش، انواع بدافزارهای سفارشی ایجاد کنند. این سازنده به اپراتورها این امکان را می‌دهد که نام‌های مبدل، پارامترهای هدف‌گیری منطقه‌ای و تنظیمات خاص کمپین را بدون نوشتن هیچ کدی تغییر دهند.

این قابلیت سفارشی‌سازی، تشخیص را برای محصولات امنیتی به طور قابل توجهی دشوارتر می‌کند، زیرا هر استقرار ممکن است کمی متفاوت از نمونه‌های قبلی به نظر برسد. محققان تقریباً ۱۵ نمونه BTMOB RAT نسخه ۲.۵ را تنها در عرض دو هفته در اواخر ژانویه ۲۰۲۵ مشاهده کردند که نشان‌دهنده توسعه سریع و چرخه توزیع تهاجمی این بدافزار است.

تبلیغات مجرمانه و کمپین‌های فعال منطقه‌ای

BTMOB RAT به طور آشکار در چندین پلتفرم آنلاین تبلیغ شده است. طبق گزارش‌ها، هزینه اشتراک ماهانه حدود ۷۰۰ دلار است، در حالی که گزینه‌های مجوز مادام‌العمر نیز برای خریداران در دسترس است. فعالیت‌های تبلیغاتی در کانال‌های تلگرام، انجمن‌های زیرزمینی و پلتفرم‌های رسانه‌های اجتماعی مانند اینستاگرام و X (توییتر) شناسایی شده است.

بیشتر کمپین‌های ثبت‌شده در درجه اول کاربران برزیل را هدف قرار داده‌اند، اگرچه عملیات فیشینگ دیگری نیز قربانیان آرژانتینی را هدف قرار داده است. چندین کمپین، خود را به جای سازمان‌های مالیاتی محلی و مقامات گمرکی جا زده‌اند تا اعتبار خود را افزایش دهند و قربانیان را به دانلود برنامه‌های مخرب ترغیب کنند.

روش‌های آلوده‌سازی که از پلتفرم‌های قابل اعتماد تقلید می‌کنند

کمپین‌های توزیع معمولاً به وب‌سایت‌های فیشینگ متکی هستند که خود را به جای سرویس‌های پخش آنلاین قانونی، پلتفرم‌های ارز دیجیتال و سایر برندهای شناخته‌شده جا می‌زنند. قربانیان به فروشگاه‌های اپلیکیشن جعلی هدایت می‌شوند که عمداً طوری طراحی شده‌اند که شبیه رابط رسمی فروشگاه گوگل پلی باشند.

سپس کاربران ترغیب می‌شوند که نصب‌کننده‌های APK مخرب را که خارج از اکوسیستم رسمی گوگل میزبانی می‌شوند، دانلود کنند. این بدافزار همچنین از طریق تبلیغات تهاجمی در رسانه‌های اجتماعی و انجمن‌های زیرزمینی، جایی که نمونه‌های رایگان برای جذب مشتریان مجرمانه بیشتر منتشر شده‌اند، مورد توجه قرار گرفته است.

خطر فزاینده انواع آینده

توسعه‌دهندگان مجرمان سایبری به‌طور مداوم چارچوب‌های بدافزار خود را برای بهبود پایداری، مخفی‌کاری و قابلیت‌های تهاجمی تکامل می‌دهند. بنابراین، نسخه‌های آینده BTMOB RAT ممکن است ویژگی‌های اضافی، مکانیسم‌های گریز قوی‌تر یا قابلیت حمله گسترده‌تری فراتر از آنچه تاکنون مستند شده است، ارائه دهند.

وجود بدافزارهایی مانند BTMOB RAT روی یک دستگاه می‌تواند منجر به نقض شدید حریم خصوصی، سرقت هویت، تراکنش‌های مالی غیرمجاز و حتی آلودگی‌های ثانویه متعدد شود که سیستم آسیب‌دیده را بیشتر به خطر می‌اندازد.

سایر تروجان‌های دسترسی از راه دور متمرکز بر اندروید، از جمله Mirax، Oblivion و Arsink، با اهداف مشابهی فعالیت می‌کنند: دسترسی غیرمجاز به دستگاه، جمع‌آوری اطلاعات حساس و کسب درآمد از داده‌های سرقت شده برای اهداف مجرمانه.

اقدامات دفاعی ضروری در برابر آلودگی‌های RAT اندروید

اقدامات امنیتی قوی موبایل برای جلوگیری از آلودگی به تهدیداتی مانند BTMOB RAT همچنان حیاتی است.

اقدامات حفاظتی کلیدی عبارتند از:

• برنامه‌ها را منحصراً از فروشگاه رسمی گوگل پلی یا منابع توسعه‌دهندگان تأیید شده دانلود کنید، از لینک‌های دانلود ناخواسته خودداری کنید، مجوزهای برنامه را با دقت بررسی کنید، نرم‌افزار را به‌روز نگه دارید و قبل از نصب، نظرات کاربران را بررسی کنید.
• از راهکارهای امنیتی موبایل معتبری استفاده کنید که قادر به شناسایی برنامه‌های مخرب و رفتارهای مشکوک قبل از وقوع هرگونه خطری باشند.

با توجه به اینکه اکوسیستم‌های بدافزار اندروید همچنان در حال تکامل هستند، هوشیاری، بهداشت نرم‌افزار و مدیریت محتاطانه برنامه‌ها همچنان از ابزارهای دفاعی ضروری در برابر تهدیدات سایبری موبایل هستند که به طور فزاینده‌ای پیچیده می‌شوند.