ESETが警告：AndroidマルウェアサービスBTMOBがコーディング不要のビルダーでカスタムフィッシング攻撃を量産

サイバーセキュリティ企業ESETは2026年5月、Androidを標的とするリモートアクセス型トロイの木馬「BTMOB」が、コーディング不要のAPKビルダーを備えたMalware-as-a-Service（MaaS）として公開ウェブ上で堂々と販売されており、誰でもカスタムフィッシング攻撃を展開できる状況になっていると警告した。

BTMOBとは何か

BTMOBはAndroid端末を標的としたRAT（リモートアクセス型トロイの木馬）で、2025年2月にANYRUNが初めて分析を公表。その後、サイバー脅威インテリジェンス企業Cybleが「高度なAndroidマルウェア」として詳細なレポートを公開していた。今回ESETが新たに報告した点は、このBTMOBがMaaSプラットフォームとして商業化・製品化されているという事実だ。

主な機能は以下の通りだ：

• データ窃取：端末内の特定データの抜き取り
• 金融トランザクションの傍受：バンキングアプリ等の入出金情報の横取り
• スクリーンショット取得：画面の無断キャプチャ
• リモートコントロール：攻撃者による端末の遠隔操作

SpySolrマルウェアファミリーの進化系とみられており、現在の主要被害地域はブラジルおよびラテンアメリカだ。

コーディング不要のペイロードビルダーが脅威を拡大する

BTMOBの最も危険な点は、技術的なスキルがなくても利用できるビルダーインターフェースにある。攻撃者はGUIからAPKをカスタマイズできる：

• インストール時にリクエストするAndroidパーミッションの選択
• Google Playの無効化
• アイコン非表示（削除を困難にする）
• スリープモードの防止

価格は月額700ドル、または生涯ライセンスとして5,000ドル。販売はTelegramのプライベートチャンネル経由だが、サービスサイト自体はclearweb（通常のウェブ）に公開されている。

感染経路：偽Google Playが主な罠

主要な感染経路は、ストリーミングサービスや暗号通貨マイニングサービスを偽装したフィッシングサイトだ。被害者はGoogle Playを模倣した偽サイトにリダイレクトされ、偽アプリのダウンロードを促される。

インストール後、BTMOBはAndroidのアクセシビリティサービスを悪用して昇格した権限を取得し、ユーザーの追加操作なしに深いシステムアクセスを確立する。ESETはアルゼンチン政府機関を騙った最新キャンペーンも確認している。

ESETは静的検出ルールを継続的に更新しているが、新ペイロードの急速な自動生成によって単一レイヤーの防御では追いつかない可能性を認めている。

実務への影響

現在の主要ターゲットはラテンアメリカだが、MaaSプラットフォームである以上、購入者次第でターゲット地域は即座に変更できる。日本は例外ではない。

エンドユーザーが今すぐできること：

• アプリは必ずGoogle Play公式ストアからのみインストールする
• Google Play Protectを有効化し、定期スキャンを実施する
• アクセシビリティサービスへのアクセス権は、明確に必要と判断したアプリ以外には付与しない
• 見慣れないストリーミングサービスや暗号通貨アプリのインストール要求には応じない

IT管理者・セキュリティ担当者が取るべき対策：

• MDM（モバイルデバイス管理）でサイドローディング（公式ストア外からのインストール）を制限する
• アクセシビリティサービスへのアクセスをMDMポリシーでブロックする
• DNSフィルタリングで偽サイトへのアクセスをネットワーク層で遮断する
• シグネチャベースの静的検出だけに頼らず、行動検知を組み合わせた多層防御に移行する

筆者の見解

正直なところ、セキュリティはあまり好きなジャンルではない。でもこのニュースには技術的な興味を強く感じた。

BTMOBが示しているのは、攻撃側のSaaS化・民主化が確実に進んでいるという現実だ。かつては高度なスキルを持つ攻撃者にしか作れなかったRATが、今や月額700ドルのサブスクリプションで「製品として」利用できる。GUIビルダー付きで、コーディングの知識は一切不要だ。この流れは今後も加速するだろう。

防御側にとって特に厄介なのは、ペイロードの急速な自動生成によって静的な検出ルールが追いつかなくなる点だ。シグネチャベースの防御だけに頼るのは、もはや限界に来ている。

日本企業に目を向けると、まだ「スマートフォンの業務利用はそれほどリスクが高くない」と捉えているところが多い印象だ。しかしBYOD（個人端末の業務利用）や業務アプリへのモバイルアクセスが一般化している今、端末管理の甘さは直接的に企業データの漏洩リスクにつながる。

そして対策を考えるとき、「禁止」だけのアプローチは長続きしない。ユーザーが管理された公式の手段を「一番便利」と感じられる環境を整えることこそ、本質的な解決策だと思う。

出典: この記事は BTMOB Android malware service generates custom phishing payloads の内容をもとに、筆者の見解を加えて独自に執筆したものです。