){kind=link}
Um trojan para Android chamado BTMOB foi identificado em campanhas ativas no Brasil, segundo análise da empresa de segurança ESET. O malware, ou seja, o programa malicioso, é capaz de assumir o controle completo do aparelho da vítima. A ameaça foi descrita pela primeira vez em fevereiro de 2025 e desde então evoluiu em alcance e sofisticação.
O BTMOB é classificado como um RAT, sigla em inglês para “remote access trojan”. Basicamente, é um tipo de vírus que permite a quem o controla acessar e operar o celular infectado à distância, sem que o dono perceba.
smart_display
Nossos vídeos em destaque
O vírus começa com um site falso
Tudo começa quando a vítima recebe um link para um site que imita serviços conhecidos, como plataformas de streaming ou de criptomoedas. Ao acessar o endereço, ela é direcionada para uma loja de aplicativos falsa que se parece com o Google Play. Lá, o site pede que ela instale um aplicativo, e é nesse momento que o vírus entra no aparelho.
Depois de instalado, o BTMOB pede acesso aos Serviços de Acessibilidade do Android. Esses serviços foram criados para ajudar pessoas com deficiência a usar o celular com mais facilidade. O vírus os usa de forma maliciosa para ganhar permissões elevadas e se instalar mais fundo no sistema, sem precisar de mais nenhuma ação do usuário.
Com o acesso, criminosos roubam dados e controlam o aparelho
Uma vez dentro do dispositivo, o vírus consegue fazer várias coisas ao mesmo tempo. Ele extrai dados sensíveis, captura telas do aparelho, grava a atividade do usuário e permite que o criminoso opere o celular remotamente. Isso significa que ele pode ver senhas, acessar aplicativos bancários e até enviar mensagens fingindo ser a vítima.
Diferente de outros vírus focados só em roubo financeiro, o BTMOB dá ao criminoso controle amplo sobre o aparelho. Isso o torna mais versátil e perigoso, independentemente do tipo de informação que a vítima guarda no celular.
)
O vírus é vendido como produto e qualquer um pode comprar
O BTMOB funciona no modelo MaaS, ou “malware-as-a-service”, em que o vírus é vendido como se fosse um software comercial. Isso quer dizer que qualquer pessoa pode comprá-lo e usá-lo para aplicar golpes, sem precisar ter conhecimento técnico para programar nada.
A ferramenta inclui uma interface para criar novos aplicativos maliciosos e adaptar os golpes para diferentes países. Uma licença vitalícia custa cerca de US$ 5.000, mais uma mensalidade de suporte. Em janeiro de 2026, um fórum na dark web chegou a oferecer arquivos do BTMOB gratuitamente, antes de ficar fora do ar.
O malware é promovido abertamente na internet, com páginas de divulgação e perfis em redes sociais como X e Instagram que anunciam o produto e direcionam compradores a um operador no Telegram.
)
Campanhas já foram registradas na América Latina
Pesquisadores identificaram campanhas do BTMOB se passando por órgãos do governo argentino, como autoridades fiscais e aduaneiras. O vírus foi adaptado para imitar a identidade visual dessas instituições e tornar o golpe mais convincente para o público local.
A ESET detecta a versão principal do vírus com o nome MSIL/BtmobRat. Variantes para Android são identificadas como Android/Spy.Agent.EED, Android/Spy.Agent.EIJ e Android/Spy.Agent.EIK. Em fevereiro de 2025, pesquisadores da Cyble registraram cerca de 15 amostras da versão 2.5 do vírus em apenas duas semanas.
Como se proteger do BTMOB
A principal recomendação é baixar aplicativos apenas pela loja oficial do Google Play. Sites que oferecem apps fora dessa plataforma são a principal porta de entrada do vírus.
)
Também é importante desconfiar de links recebidos por e-mail, WhatsApp, redes sociais ou anúncios. O uso de um aplicativo de segurança no celular ajuda a detectar ameaças antes que causem dano. Empresas devem orientar funcionários a seguir as mesmas precauções, já que um único download malicioso pode comprometer dados corporativos.
Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.