Embora as primeiras deteções desta ameaça tenham sido registadas de forma expressiva no Brasil, os investigadores de cibersegurança avisam que o seu potencial de propagação é global. O nível de perigo do BTMOB é elevado porque o código é distribuído em conjunto com uma ferramenta de geração de pacotes maliciosos (APK). Esta arquitetura modular permite que os cibercriminosos, mesmo sem grandes conhecimentos de programação, criem novas variantes e adaptem os esquemas a diferentes países e idiomas com enorme facilidade.

Como é habitual neste tipo de ataques, o processo de infeção tem como ponto de partida o uso de engenharia social. As vítimas são inicialmente atraídas por campanhas enganosas que promovem falsos serviços populares, desde plataformas de streaming até sistemas de mineração de criptomoedas. A partir daí, os utilizadores são reencaminhados para páginas de phishing e lojas de aplicações não oficiais, construídas visualmente para imitar os repositórios legítimos, onde acabam por descarregar o ficheiro comprometido.

Assim que a instalação é consumada, o BTMOB inicia o seu processo de enraizamento no sistema. O malware ataca e abusa especificamente dos Serviços de Acessibilidade do Android para escalar privilégios de administrador, garantindo as permissões necessárias para executar ações remotas sem qualquer interação ou conhecimento do proprietário do equipamento. Como sublinha a equipa da ESET, o telemóvel deixa de ser apenas um alvo financeiro para se transformar num verdadeiro ponto de controlo nas mãos do atacante.

O facto de o BTMOB ser promovido e vendido a terceiros como um autêntico produto comercial, completo com canais de venda e suporte técnico em fóruns clandestinos, espelha bem a rápida profissionalização destas redes. Para evitar este tipo de infeção silenciosa, os especialistas recomendam que as transferências de software sejam feitas de forma exclusiva na loja oficial Google Play, sublinhando a importância de ignorar links suspeitos e de manter uma solução de proteção ativa no smartphone.