BTMOB Android RAT: guida alla protezione dal malware fai-da-te

Mercoledì mattina, ufficio di una PMI padovana. Un impiegato riceve un SMS che sembra provenire dal servizio clienti della sua banca: "Rilevato accesso anomalo. Verifica subito la tua identità". Il link rimanda a una pagina identica al Google Play Store, dove un'app dall'aspetto affidabile — un aggiornamento di sicurezza — attende di essere scaricata. L'impiegato installa. Nel giro di tre minuti, un criminale informatico dall'altra parte del mondo ha il pieno controllo del suo smartphone: SMS, fotocamera, microfono, coordinate GPS, credenziali bancarie. Questo scenario non è fiction: è il modus operandi di BTMOB, un Android Remote Access Trojan che sta ridefinendo le regole del crimine informatico grazie a un modello di business che ne ha abbattuto ogni barriera d'ingresso.

Cos'è BTMOB: molto più di un trojan bancario

BTMOB è un Remote Access Trojan (RAT) per dispositivi Android, identificato pubblicamente per la prima volta nel gennaio 2025 dai ricercatori di Cyble Research and Intelligence Labs. Evoluzione diretta del malware SpySolr — a sua volta discendente dalla famiglia CraxRAT — BTMOB si distingue dai trojan bancari tradizionali per l'ampiezza delle sue capacità: non si limita a intercettare credenziali finanziarie, ma garantisce agli attaccanti il controllo remoto completo del dispositivo compromesso [welivesecurity.com].

In meno di un anno, il malware ha attraversato un ciclo di sviluppo acceleratissimo: dalla versione 2.5 documentata a gennaio 2025 fino alle versioni 3.1 e 3.2 scoperte dai ricercatori di Zimperium, con aggiornamenti costanti per adattarsi ai cambiamenti nel modello di permessi di Android 14 e 15 [zimperium.com]. Gli annunci pubblicati sul canale Telegram dell'autore indicano che la versione 4 è già in fase di sviluppo, con miglioramenti previsti al motore di injection, alle performance dello screen live e alla capacità di eludere i controlli di visibilità durante le sessioni di controllo remoto [d3lab.net]. Dietro lo sviluppo c'è un attore tracciato come "evlf_dev", che opera principalmente tramite canali Telegram e mantiene una pagina promozionale sul web aperto per attrarre potenziali acquirenti.

Ciò che rende BTMOB una minaccia di livello superiore rispetto ai malware Android convenzionali è il suo arsenale di comandi remoti: può caricare URL arbitrari in WebView invisibili per intercettare credenziali, attivare lo screen recording via API MediaProjection, iniettare overlay HTML per simulare pagine di login di banche e servizi, e persino simulare gesture sullo schermo per sbloccare il dispositivo della vittima [d3lab.net].

Il builder no-code: quando il malware diventa "fai-da-te"

L'aspetto più dirompente di BTMOB non è tanto ciò che fa, quanto chi può usarlo. Il RAT viene commercializzato con un'interfaccia APK builder grafica che permette all'acquirente di generare payload personalizzati senza scrivere una sola riga di codice. Questa logica "no-code" applicata al crimine informatico rappresenta un salto di paradigma: la barriera tecnica che un tempo limitava il numero di attaccanti si è sostanzialmente dissolta [welivesecurity.com].

Il builder è un'applicazione Windows che funge da shell grafica attorno alle API e ai canali WebSocket del server di comando e controllo (C2). L'operatore si autentica tramite un token di sessione rilasciato dal backend centralizzato dello sviluppatore — un sistema che include autenticazione a due fattori — e accede a un pannello che mostra i dispositivi infetti, consente lo screen viewing in tempo reale e gestisce l'esecuzione dei comandi [d3lab.net].

Tradotto in termini pratici: un criminale senza alcuna competenza di programmazione può acquistare BTMOB, selezionare da menu a tendina il paese target, il tipo di esca (banca, servizio streaming, app governativa), generare il payload e avviare una campagna phishing nel giro di poche ore. Questa "democratizzazione del malware" trasforma chiunque abbia un budget e una minima capacità organizzativa in una potenziale minaccia.

Il modello di business: licenze, abbonamenti e source code

BTMOB segue un modello Malware-as-a-Service (MaaS) strutturato su più livelli di prezzo. La licenza vitalizia base ha un costo di circa 5.000 dollari una tantum, più una tariffa mensile di supporto [welivesecurity.com]. Secondo la documentazione raccolta dai ricercatori, esistono anche tier superiori [AWAKE]:

• Licenza vitalizia base: 5.000 dollari una tantum più canone mensile per aggiornamenti e supporto. Include l'accesso al builder e al pannello di controllo.
• Versione personalizzata: circa 7.000 dollari, con server privato e pannello amministrativo dedicato.
• Codice sorgente completo: circa 10.000 dollari, che consente all'acquirente di modificare, rivendere o sviluppare autonomamente il malware.

Per mettere questi prezzi in prospettiva, si collocano nella fascia media del mercato MaaS Android: sufficientemente accessibili da attrarre una platea ampia di criminali di medio-basso profilo, ma non così bassi da essere strumenti "usa e getta". L'economia è semplice: un'operazione di phishing ben riuscita contro pochi conti correnti può generare ritorni che ripagano la licenza nel giro di giorni.

Un'analisi condotta da D3Lab su un archivio trapelato dell'intero ecosistema BTMOB ha rivelato un dettaglio cruciale: il modello di autenticazione degli operatori è completamente centralizzato. Gli acquirenti non gestiscono infrastrutture proprie ma dipendono dal backend dello sviluppatore, che impone licenze, autenticazione e controllo delle versioni. Questo significa che "evlf_dev" non è un semplice venditore di tool, ma un fornitore di servizi che mantiene il controllo sull'intera filiera criminale — con la possibilità teorica di osservare o manipolare qualunque dispositivo infetto, indipendentemente da quale "cliente" lo abbia compromesso [d3lab.net].

Come avviene l'infezione: phishing localizzato e multi-fase

L'infezione segue uno schema collaudato ma estremamente efficace perché adattabile a qualunque contesto geografico. Ecco la catena tipica:

1. Esca localizzata: l'attaccante crea una pagina di phishing che imita un servizio noto nel paese target. In Brasile, BTMOB si è mascherato da app dell'istituto previdenziale INSS e da Starlink. In Turchia, da piattaforma di streaming iNat TV e dal Ministero della Giustizia turco. In Argentina, da autorità fiscali e doganali [kaspersky.it] [zimperium.com].
2. Finto store: la vittima viene indirizzata a una pagina che imita il Google Play Store in modo quasi perfetto, con interfaccia, loghi e icone identici all'originale.
3. Installazione multi-step: il malware non richiede tutti i permessi in una volta sola. Dopo l'installazione iniziale, mostra un'interfaccia che simula un aggiornamento di sistema e chiede progressivamente permessi aggiuntivi — installazione da fonti sconosciute, accesso ai Servizi di Accessibilità — riducendo la vigilanza della vittima con un flusso apparentemente normale [kaspersky.it].
4. Persistenza: una volta attivo, BTMOB mantiene una notifica fissa in primo piano e attiva un servizio in foreground con riproduzione audio silenziosa per impedire al sistema operativo di terminare il processo malevolo [kaspersky.it].

In alcuni casi documentati da Kaspersky, BTMOB viene distribuito insieme al trojan BeatBanker, che include anche un modulo per il mining della criptovaluta Monero. Il miner sfrutta lo stesso trucco dell'audio silenzioso per eludere gli ottimizzatori di batteria di Android, consumando risorse del dispositivo senza che l'utente se ne accorga [kaspersky.it].

Cosa può fare BTMOB su un dispositivo infetto

Le capacità di BTMOB vanno ben oltre il furto di credenziali. Ecco un quadro completo, basato sulle analisi tecniche di ESET, Kaspersky, D3Lab e Zimperium:

• Acquisizione credenziali di sblocco: PIN, sequenze e password dello schermo di blocco vengono catturati tramite overlay che imitano la schermata di blocco originale e inviati al C2. Questo permette all'attaccante di sbloccare il dispositivo anche quando non è in uso [zimperium.com].
• Phishing dinamico via WebView: il comando "brows" permette di caricare qualunque URL in una WebView invisibile e utilizzare JavaScript per estrarre i contenuti dei campi form mentre la vittima digita. L'attaccante non ha bisogno di overlay pre-costruiti: può prendere di mira qualsiasi pagina di login in tempo reale [d3lab.net].
• Screen recording in tempo reale: il comando "screen" attiva sessioni di cattura schermo via API MediaProjection, trasmettendo ciò che la vittima vede direttamente all'operatore, inclusa la capacità di sbloccare il dispositivo riproducendo le gesture di sblocco o inserendo PIN e password salvati.
• Accesso a fotocamere e microfono: entrambe le fotocamere (anteriore e posteriore) sono accessibili da remoto, così come il microfono [welivesecurity.com].
• Tracciamento GPS: la posizione del dispositivo viene monitorata costantemente.
• Intercettazione SMS: tutti i messaggi in arrivo e in uscita sono leggibili dall'attaccante, inclusi gli OTP bancari.
• Monitoraggio degli appunti: il malware sorveglia la clipboard per catturare indirizzi di wallet di criptovalute e password copiate.
• Attacchi overlay mirati: le versioni più recenti (dalla 3.1) includono overlay specifici per applicazioni come Alipay, in grado di intercettare PIN digitati tasto per tasto tramite trasparenze sovrapposte ai pulsanti numerici [zimperium.com].
• Auto-aggiornamento: BTMOB può aggiornarsi da solo tramite C2, senza interazione dell'utente [AWAKE].
• Soppressione notifiche: nasconde automaticamente le notifiche di sistema per occultare attività sospette.
• Auto-concessione permessi: tramite i Servizi di Accessibilità, si auto-assegna permessi di runtime senza che l'utente se ne accorga [welivesecurity.com].

Perché l'Italia è nel mirino (anche senza esserlo)

BTMOB non è stato ancora osservato in campagne specificamente mirate all'Italia. Ma questa è una magra consolazione. Il punto centrale del modello MaaS con builder no-code è proprio che non servono campagne mirate dal developer: ogni acquirente può generare payload su misura per il proprio paese target, adattando le esche ai servizi più utilizzati localmente.

Con decine di milioni di utenti Android attivi in Italia — circa il 70% del parco smartphone nazionale secondo le stime di mercato — il bacino di potenziali vittime è enorme. E i "brand" da impersonare non mancano: Poste Italiane, INPS, Agenzia delle Entrate, decine di istituti bancari con app mobile, servizi di streaming come RaiPlay e Mediaset Infinity. Qualunque servizio che chieda all'utente di "scaricare l'app" o "aggiornare i dati" è un potenziale vettore.

Anche le PMI italiane sono un bersaglio particolarmente esposto. Molte aziende adottano politiche BYOD (Bring Your Own Device) senza una corrispondente strategia di sicurezza mobile, creando un ponte diretto tra lo smartphone personale compromesso e i sistemi aziendali. Un singolo dispositivo infetto può diventare la porta d'accesso alla rete interna, alle email aziendali, ai documenti condivisi. La superficie d'attacco moderna è definita dagli endpoint, non dal perimetro di rete.

BTMOB per gli attaccanti: vantaggi e limiti del modello MaaS

Per offrire una prospettiva completa, è utile analizzare obiettivamente cosa rende BTMOB attraente per i criminali — e dove invece presenta dei limiti.

Vantaggi

• Barriera d'ingresso azzerata: il builder no-code permette a criminali senza skill tecniche di lanciare campagne sofisticate.
• Localizzazione immediata: le esche phishing possono essere adattate a qualunque paese e brand nel giro di ore. I ricercatori di Zimperium hanno documentato 32 dropper e 44 payload con esche che impersonano app come Chrome, WhatsApp, Roku, Kaspersky, Venmo e diversi istituti bancari [zimperium.com].
• Canale C2 robusto: WebSocket garantisce comunicazione bidirezionale persistente e in tempo reale, senza i ritardi tipici del polling HTTP.
• Infrastruttura gestita: l'attaccante non deve preoccuparsi di configurare server C2 o gestire domini: tutto passa dal backend centralizzato di evlf_dev.
• Aggiornamenti continui: il malware viene costantemente aggiornato per aggirare le nuove protezioni di Android.

Limiti e rischi

• Dipendenza dal developer: l'autenticazione centralizzata significa che se il backend di evlf_dev viene sequestrato o smantellato, tutti gli operatori perdono l'accesso ai propri bot simultaneamente [d3lab.net].
• Tracciabilità: l'uso di Firebase Cloud Messaging per la gestione del C2, sebbene efficace, lascia tracce sui server di Google che possono facilitare le indagini forensi.
• Costo non irrisorio: 5.000 dollari più canone mensile rappresentano un investimento che richiede un minimo di pianificazione operativa. Esistono RAT più economici sul mercato.
• Concorrenza nel mercato MaaS: esistono alternative più specializzate nel furto di credenziali bancarie, come Ermac/Cerberus o Hydra, che offrono funzionalità di overlay bancario più mature.
• Rischio di leak: come dimostrato dall'archivio trapelato analizzato da D3Lab, il codice sorgente e l'infrastruttura possono finire nelle mani di ricercatori e forze dell'ordine, rendendo molto più facile il rilevamento [d3lab.net].

Per le vittime, il messaggio è chiaro: il fatto che BTMOB non sia il RAT più costoso o tecnicamente avanzato sul mercato lo rende paradossalmente più pericoloso, perché accessibile a un numero molto maggiore di attaccanti. La democratizzazione del malware trasforma chiunque abbia un budget e una minima capacità organizzativa in una potenziale minaccia.

Come proteggersi: guida pratica in 7 passi

La buona notizia è che BTMOB, per quanto sofisticato, non è invincibile. Le sue modalità di infezione e persistenza seguono schemi noti contro cui esistono contromisure efficaci. Ecco una guida concreta, strutturata per utenti individuali e responsabili IT di PMI.

1. Installare app solo da fonti ufficiali

Può sembrare ovvio, ma è la prima linea di difesa. BTMOB viene distribuito esclusivamente tramite APK scaricati da fonti esterne al Google Play Store ufficiale. Mantenere disattivata l'opzione "Installa da fonti sconosciute" (Impostazioni → Sicurezza) e scaricare app solo dal Play Store riduce drasticamente il rischio. Per le aziende, questa regola va formalizzata in una policy scritta e comunicata a tutti i dipendenti [welivesecurity.com].

2. Verificare i permessi richiesti

BTMOB abusa dei Servizi di Accessibilità di Android per auto-concedersi permessi. La richiesta di attivazione dei Servizi di Accessibilità da parte di un'app che non ne ha un motivo legittimo (come un'app bancaria o di streaming) è un campanello d'allarme. Controllare periodicamente quali app hanno accesso ai Servizi di Accessibilità: Impostazioni → Accessibilità → Servizi installati. Se vi compare un'app sospetta, disattivarla immediatamente.

3. Attivare l'autenticazione a due fattori

Anche se BTMOB intercetta SMS, un secondo fattore basato su app authenticator (Google Authenticator, Authy) o chiave hardware (YubiKey) è molto più resistente all'intercettazione. Per una guida approfondita, si veda l'articolo sull'autenticazione a due fattori pubblicato su Neomedia Learn. Le PMI dovrebbero rendere obbligatoria la 2FA per tutti gli account aziendali, inclusi quelli accessibili da mobile.

4. Riconoscere le pagine di phishing

Le pagine che imitano il Play Store usate da BTMOB sono visivamente convincenti, ma raramente perfette. Controllare sempre l'URL nella barra degli indirizzi: il dominio ufficiale è play.google.com, non varianti come play-store-app.com o googleplay-download.net. Diffidare di link ricevuti via SMS, email o social media che invitano a "scaricare subito" o "aggiornare urgentemente". Per approfondire le tecniche di riconoscimento, è disponibile la guida completa anti-phishing 2026.

5. Utilizzare una soluzione di sicurezza mobile

Un antivirus mobile aggiornato — Kaspersky, Bitdefender, ESET — rileva BTMOB con firme come Android/Spy.Agent.EED, Android/Spy.Agent.EIJ e Android/Spy.Agent.EIK [welivesecurity.com]. Kaspersky per Android rileva inoltre le varianti distribuite con BeatBanker tramite i verdetti HEUR:Trojan-Dropper.AndroidOS.BeatBanker e HEUR:Trojan-Dropper.AndroidOS.Banker.* [kaspersky.it]. In ambito aziendale, una soluzione EDR (Endpoint Detection and Response) con copertura mobile consente di rilevare comportamenti anomali anche prima che le firme statiche vengano aggiornate.

6. Proteggere la rete con DNS filtering

Il DNS filtering blocca la risoluzione dei domini malevoli noti prima che il dispositivo possa raggiungerli. Questo significa che anche se un utente clicca su un link phishing, il dominio di destinazione viene bloccato a livello di rete e il download del payload malevolo non avviene. Per approfondire il funzionamento del DNS e le sue implicazioni di sicurezza, si rimanda alla guida DNS di Neomedia Learn. In contesto aziendale, una soluzione di DNS filtering come Navigazione Sicura di Neomedia (€10/mese) protegge tutti i dispositivi connessi alla rete, inclusi smartphone e tablet in modalità BYOD.

7. Adottare un modello di sicurezza a strati per il mobile aziendale

Per le PMI italiane, la protezione dal mobile malware non può limitarsi a un antivirus sullo smartphone. Un modello di sicurezza a strati efficace include:

• Next-Generation Firewall (NGF): ispezione del traffico in transito, blocco di connessioni verso C2 noti.
• DNS filtering: blocco preventivo della risoluzione di domini malevoli.
• EDR con copertura mobile: rilevamento comportamentale sul dispositivo.
• Policy BYOD scritta, comunicata e fatta firmare: stabilisce cosa è consentito e cosa no sui dispositivi che accedono alla rete aziendale.
• Formazione periodica: il phishing si combatte anche con la consapevolezza. Sessioni trimestrali di cybersecurity awareness per i dipendenti riducono significativamente il tasso di click su link malevoli.

Neomedia offre un ecosistema integrato NGF + DNS + EDR pensato specificamente per le PMI italiane, con l'obiettivo di portare lo stesso livello di protezione delle grandi enterprise a costi sostenibili. Scopri le soluzioni di cybersecurity per la tua azienda.

Segnali di compromissione: come capire se il telefono è infetto

Alcuni indicatori possono suggerire la presenza di BTMOB o malware simili sul dispositivo:

• Notifiche persistenti che non si riesce a eliminare (es. "Aggiornamento in corso")
• Consumo anomalo della batteria, anche a schermo spento
• Surriscaldamento del dispositivo in assenza di app pesanti in esecuzione
• App sconosciute nell'elenco dei Servizi di Accessibilità attivi
• Rumore di fondo durante le chiamate o LED della fotocamera che si accende senza motivo
• Lag inspiegabili o riavvii improvvisi

In presenza di uno o più di questi segnali, la procedura consigliata è: scollegare il dispositivo dalla rete (Wi-Fi e dati mobili), eseguire una scansione con un antivirus mobile aggiornato e, nei casi più sospetti, procedere a un reset di fabbrica dopo aver salvato i dati essenziali.

Conclusione: la minaccia è reale, la protezione è possibile

BTMOB rappresenta un punto di svolta nella minaccia mobile: non perché sia il malware tecnicamente più avanzato mai visto, ma perché il suo modello di distribuzione MaaS con builder no-code moltiplica esponenzialmente il numero di potenziali attaccanti. In un ecosistema come quello italiano, dove Android domina il mercato consumer e le PMI faticano a implementare policy di sicurezza mobile strutturate, il rischio è concreto e attuale.

La protezione, tuttavia, non richiede budget enterprise né competenze specialistiche. Richiede consapevolezza, buone pratiche quotidiane e l'adozione di strumenti di difesa proporzionati al rischio — dal DNS filtering alla 2FA, dall'antivirus mobile alla formazione dei dipendenti. L'era del malware "fai-da-te" è iniziata: stare al passo non è un'opzione, è una necessità.

La sicurezza parte anche dall'efficienza. Una connessione che protegge senza costare troppo è il primo mattone di una strategia di difesa digitale. Richiedi un'analisi gratuita della tua bolletta e scopri se stai pagando più del necessario per una connettività che non ti protegge.