Преступники, которые атакуют устройства на Android, создали новый вредоносный продукт — BTMOB RAT. Они создали сайты, которые выглядят как стриминговые сервисы и платформы для майнинга криптовалюты, чтобы распространить троян. Проведенный анализ в Cyble показал, что это улучшенная версия SpySolr RAT, который основан на Crax RAT.
При установке этот новый троян требует разрешение на использование Accessibility Service. После получения разрешения, BTMOB RAT подключается к C2-серверу через WebSocket и отправляет информацию о зараженном устройстве.
Этот вредоносный софт может собирать информацию о СМС, контактах, геолокации, установленных приложениях, транслировать экран, работать с файлами, делать аудиозаписи, делать скриншоты, записывать нажатия клавиш, копировать содержимое буфера обмена, показывать алерты с содержимым с C2, крадет учетные данные через веб-инъекции и разблокирует устройство.
BTMOB RAT был представлен к продаже в Telegram в декабре прошлого года и регулярно обновляется. Сейчас эксперты обнаружили несколько образцов последней версии (v2.5), связанных с новым C2.
