BTMOB: el troyano Android que ya controla celulares en México sin que lo notes

Imagina que alguien más está viendo tu celular en tiempo real, grabando lo que escribes, escuchando tus conversaciones y accediendo a tus apps bancarias, todo mientras tú nomás lo usas normal. Eso es exactamente lo que hace BTMOB, y el 23 de abril ESET confirmó un pico de actividad de este troyano precisamente en México.

Con Android dominando más del 76% del mercado móvil mexicano según datos de StatCounter, el blanco potencial es enorme. Y lo peor: la mayoría de víctimas no sabe que está infectada hasta que ya es demasiado tarde.

Qué es BTMOB y por qué es diferente a otros troyanos

BTMOB no es un malware de garage. Es un Remote Access Trojan (RAT) de nivel profesional que evolucionó de otro malware llamado SpySolr. Fue identificado por primera vez por Cyble Research and Intelligence Labs el 31 de enero de 2025 cuando detectaron un APK malicioso llamado lnat-tv-pro.apk distribuido desde un sitio de phishing.

Lo que lo hace especialmente peligroso es que funciona como un servicio: el operador conocido como “EVLF” lo vende en Telegram con licencia de por vida por $5,000 dólares, más $300 al mes por soporte y actualizaciones. No es un script kiddie jugando desde su cuarto; es un negocio estructurado con clientes reales que lo usan en campañas dirigidas.

Y esos clientes tienen a México en el radar.

Cómo llega a tu celular

BTMOB usa tres vectores principales de distribución, todos basados en ingeniería social:

Apps falsas distribuidas en redes sociales. Los atacantes pagan anuncios en Instagram y X (Twitter) que llevan a tiendas de apps falsas que imitan la apariencia de Google Play Store. El diseño es prácticamente idéntico; si no te fijas en la URL, caes. Las apps que más imita son plataformas de streaming como iNat TV (una plataforma turca legítima) y apps falsas de minería de criptomonedas.

Telegram como canal de distribución. Los operadores envían links directos de descarga a través de canales y grupos de Telegram, frecuentemente disfrazados de “mods” de apps populares o versiones premium de apps de paga. WhatsApp modificado es uno de los señuelos más usados en la región.

Phishing por correo y mensajería. Links en correos, SMS o mensajes de WhatsApp que llevan a páginas que solicitan “actualizar” o “verificar” una app instalando un nuevo APK.

En Argentina ya detectaron campañas que suplantaban a la Agencia de Recaudación y Control Aduanero del gobierno, enviando supuestas notificaciones oficiales que en realidad instalaban BTMOB. En México el vector más activo son los anuncios pagados en redes sociales.

Qué puede hacer BTMOB una vez adentro

Una vez instalado, BTMOB explota el Servicio de Accesibilidad de Android, ese permiso que normalmente usan apps de lectores de pantalla para usuarios con discapacidades visuales. Al obtenerlo, puede hacer básicamente lo que quiera:

• Keylogging completo: registra todo lo que escribes, incluyendo contraseñas, PINs y mensajes
• Pantalla en tiempo real: el atacante ve tu pantalla como si estuviera mirando por encima de tu hombro
• Control remoto directo: puede tocar, deslizar y operar tu teléfono de forma remota
• Grabación de audio: activa el micrófono sin ninguna notificación visible
• Gestión de archivos: descarga, sube o elimina archivos de tu dispositivo
• Inyección de páginas de phishing: superpone pantallas falsas sobre apps reales de banco para robar credenciales
• Desbloqueo del dispositivo: simula inputs para pasar la pantalla de bloqueo

La comunicación con el servidor de comando y control usa WebSocket, lo que le permite ejecutar 16 tipos de comandos diferentes en tiempo real. Es decir, no es un malware que opera en batch cada cierto tiempo; la conexión es permanente y bidireccional.

Algo similar en concepto, aunque para uso legítimo, sería lo que describimos cuando cubrimos Manus Desktop, el agente de IA de Meta que puede controlar cualquier app: la capacidad de operar una interfaz de forma autónoma. La diferencia es que Manus lo hace con tu permiso explícito. BTMOB, sin que lo notes.

Señales de que tu celular puede estar infectado

No hay una alarma visible. Eso es lo que hace a BTMOB especialmente cabrón. Pero hay indicadores:

Solicitud sospechosa de Accesibilidad. Si instalaste una app y te pide activar el Servicio de Accesibilidad sin que sea una app de lectura de pantalla o asistente de voz, es una red flag enorme. Ninguna app de streaming ni de minería necesita ese permiso.

Batería que se drena más rápido de lo normal. El keylogging y la transmisión de pantalla en vivo consumen recursos constantemente. Si tu batería empezó a morir mucho más rápido sin que hayas instalado algo heavy, investiga.

Datos móviles disparados. El envío continuo de información al servidor C&C consume datos. Revisa en Ajustes > Redes > Uso de datos cuáles apps consumen más en segundo plano.

Calentamiento sin razón obvia. El procesamiento constante del RAT puede calentar el teléfono incluso cuando no lo estás usando activamente.

Apps con permisos raros. Ve a Ajustes > Aplicaciones y revisa qué apps tienen permisos de micrófono, accesibilidad o administración del dispositivo que no reconoces haber dado.

Qué hacer si crees que estás infectado

Primero lo inmediato: no accedas a tu banca en línea ni ingreses contraseñas importantes desde ese dispositivo hasta resolver la situación.

Paso 1: Activa Google Play Protect si no lo tienes activado. Ve a la Play Store > tu foto de perfil > Play Protect > Analizar. No es perfecto, pero puede detectar APKs maliciosos conocidos.

Paso 2: Revisa permisos de Accesibilidad. Ajustes > Accesibilidad > Aplicaciones instaladas. Si hay algo que no reconoces, desactívalo y desinstálalo inmediatamente.

Paso 3: Instala un antivirus. ESET Mobile Security, Malwarebytes para Android o Bitdefender Mobile son opciones confiables disponibles en Play Store. Haz un análisis completo.

Paso 4: Si el malware persiste, factory reset. Es la opción nuclear pero la más segura. Respaldo en la nube antes, obviamente, aunque si el teléfono está comprometido hay riesgo de que el respaldo también contenga el APK malicioso. Respaldo selectivo: solo fotos y contactos, no APKs.

Paso 5: Cambia contraseñas desde otro dispositivo. Especialmente banca en línea, correo y redes sociales. Activa autenticación de dos factores donde no la tengas.

Si usas tu celular para cobros con servicios como los que llegaron recientemente a México, como Apple Tap to Pay para iPhone, considera que un dispositivo comprometido invalida completamente la seguridad de cualquier transacción financiera, sin importar qué tan seguro sea el servicio en sí mismo.

Cómo no caer en esto

La regla es sencilla aunque a veces difícil de seguir en la práctica:

Solo instala apps desde Google Play Store, no desde links de WhatsApp, Telegram ni anuncios en redes sociales. Si la app que quieres no está en Play Store, hay una razón.

Desconfía de los APKs. Instalar APKs fuera de la tienda oficial es el equivalente a ejecutar un .exe de una web random en Windows. El sideloading tiene sus casos de uso legítimos, pero requiere que sepas exactamente qué estás instalando y de dónde.

El Servicio de Accesibilidad no es para apps de streaming. Si una app de TV, juego o cripto te pide ese permiso, ciérrala, desinstálala y reporta el APK.

Mantén Android actualizado. Los parches de seguridad mensuales de Google cierran vulnerabilidades que estos RATs explotan. Muchos usuarios en México siguen con versiones de Android sin actualizar desde hace años, lo que los hace especialmente vulnerables.

La neta es que BTMOB no es el primero ni va a ser el último RAT que apunte a México. Brasil concentra el mayor volumen de detecciones en la región según ESET, pero México va en aumento. Con 76% de market share, somos un mercado enorme para este tipo de campañas.

La seguridad en Android sigue siendo un problema de educación tanto como de tecnología. El mejor antivirus eres tú notando cuando algo se siente trucho.

¿Alguien más ha recibido últimamente apps raras por Telegram o links de “actualizaciones” en WhatsApp? Cuéntanos en los comentarios.

Fuentes

• BTMOB: el troyano RAT que redefine la inseguridad móvil en América Latina - ITware Latam
• BTMOB RAT: Beware of Fake Streaming and Crypto Mining Apps - SecurityOnline
• Btmob RAT: Advanced Android Malware Spreading Via Phishing - The Cyber Express
• BTMOB: el troyano de acceso remoto que avanza en la región - Enfasys
• Mobile Operating System Market Share Mexico - StatCounter