Raw Record Source

{
  "$type": "site.standard.document",
  "bskyPostRef": {
    "cid": "bafyreicdoxrnn5lccfuat2yssyrwdtyyhnjtjtyhngirqeo4e7hjtbtpba",
    "uri": "at://did:plc:ulfbtqn2ybcgbzf27z75qrvu/app.bsky.feed.post/3mmujrvu4pea2"
  },
  "coverImage": {
    "$type": "blob",
    "ref": {
      "$link": "bafkreibmaukqyxylnkpnew7vebmc6czbxhl47ezxuuw2jo63q5y3bhuiom"
    },
    "mimeType": "image/png",
    "size": 409168
  },
  "path": "/seguranca/413464-btmob-rat-detectado-no-brasil-virus-para-android-permite-controle-total-a-criminosos.htm",
  "publishedAt": "2026-05-27T21:45:00.000Z",
  "site": "https://www.tecmundo.com.br",
  "tags": [
    "Segurança",
    "nossa newsletter",
    "canal do YouTube."
  ],
  "textContent": "Um trojan para Android chamado BTMOB foi identificado em campanhas ativas no Brasil, segundo análise da empresa de segurança ESET. O malware, ou seja, o programa malicioso, é capaz de assumir o controle completo do aparelho da vítima. A ameaça foi descrita pela primeira vez em fevereiro de 2025 e desde então evoluiu em alcance e sofisticação.\n\nO BTMOB é classificado como um RAT, sigla em inglês para \"remote access trojan\". Basicamente, é um tipo de vírus que permite a quem o controla acessar e operar o celular infectado à distância, sem que o dono perceba.\n\n## O vírus começa com um site falso\n\nTudo começa quando a vítima recebe um link para um site que imita serviços conhecidos, como plataformas de streaming ou de criptomoedas. Ao acessar o endereço, ela é direcionada para uma loja de aplicativos falsa que se parece com o Google Play. Lá, o site pede que ela instale um aplicativo, e é nesse momento que o vírus entra no aparelho.\n\nPainel de configuração do BTMOB permite que o comprador defina nome do app, permissões solicitadas e comportamento após instalação. A ferramenta inclui opções como ocultar o ícone do app e simular uma desinstalação. Imagem: ESET.\n\nDepois de instalado, o BTMOB pede acesso aos Serviços de Acessibilidade do Android. Esses serviços foram criados para ajudar pessoas com deficiência a usar o celular com mais facilidade. O vírus os usa de forma maliciosa para ganhar permissões elevadas e se instalar mais fundo no sistema, sem precisar de mais nenhuma ação do usuário.\n\n## Com o acesso, criminosos roubam dados e controlam o aparelho\n\nUma vez dentro do dispositivo, o vírus consegue fazer várias coisas ao mesmo tempo. Ele extrai dados sensíveis, captura telas do aparelho, grava a atividade do usuário e permite que o criminoso opere o celular remotamente. Isso significa que ele pode ver senhas, acessar aplicativos bancários e até enviar mensagens fingindo ser a vítima.\n\nDiferente de outros vírus focados só em roubo financeiro, o BTMOB dá ao criminoso controle amplo sobre o aparelho. Isso o torna mais versátil e perigoso, independentemente do tipo de informação que a vítima guarda no celular.\n\nInterface de lojas de aplicativos falsas imita o visual do Google Play para convencer vítimas a instalar o APK malicioso. Os apps exibidos copiam o layout e os elementos visuais da loja oficial. Imagem: ESET\n\n## O vírus é vendido como produto e qualquer um pode comprar\n\nO BTMOB funciona no modelo MaaS, ou \"malware-as-a-service\", em que o vírus é vendido como se fosse um software comercial. Isso quer dizer que qualquer pessoa pode comprá-lo e usá-lo para aplicar golpes, sem precisar ter conhecimento técnico para programar nada.\n\nA ferramenta inclui uma interface para criar novos aplicativos maliciosos e adaptar os golpes para diferentes países. Uma licença vitalícia custa cerca de US$ 5.000, mais uma mensalidade de suporte. Em janeiro de 2026, um fórum na dark web chegou a oferecer arquivos do BTMOB gratuitamente, antes de ficar fora do ar.\n\nO malware é promovido abertamente na internet, com páginas de divulgação e perfis em redes sociais como X e Instagram que anunciam o produto e direcionam compradores a um operador no Telegram.\n\nPágina de divulgação do BTMOB na internet aberta anuncia o vírus por US$ 700 mensais e exibe o painel de controle usado por quem compra o produto para monitorar dispositivos infectados. Imagem: ESET.\n\n## Campanhas já foram registradas na América Latina\n\nPesquisadores identificaram campanhas do BTMOB se passando por órgãos do governo argentino, como autoridades fiscais e aduaneiras. O vírus foi adaptado para imitar a identidade visual dessas instituições e tornar o golpe mais convincente para o público local.\n\nA ESET detecta a versão principal do vírus com o nome MSIL/BtmobRat. Variantes para Android são identificadas como Android/Spy.Agent.EED, Android/Spy.Agent.EIJ e Android/Spy.Agent.EIK. Em fevereiro de 2025, pesquisadores da Cyble registraram cerca de 15 amostras da versão 2.5 do vírus em apenas duas semanas.\n\n## Como se proteger do BTMOB\n\nA principal recomendação é baixar aplicativos apenas pela loja oficial do Google Play. Sites que oferecem apps fora dessa plataforma são a principal porta de entrada do vírus.\n\nResultado de busca no Google mostra site falso da ARCA (aflp-gob-ar.com) logo abaixo do endereço oficial do órgão argentino. A semelhança visual é usada para enganar vítimas e levá-las a instalar o vírus. Imagem: ESET.\n\nTambém é importante desconfiar de links recebidos por e-mail, WhatsApp, redes sociais ou anúncios. O uso de um aplicativo de segurança no celular ajuda a detectar ameaças antes que causem dano. Empresas devem orientar funcionários a seguir as mesmas precauções, já que um único download malicioso pode comprometer dados corporativos.\n\nAcompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.",
  "title": "BTMOB Rat: detectado no Brasil, vírus para Android permite controle total a criminosos"
}