Latijns-Amerika en Europa worden het doelwit van twee banking trojan-campagnes die zijn ontworpen om Windows- en Android-apparaten te infecteren met respectievelijk Grandoreiro- en BTMOB-malware.
Dat blijkt uit nieuwe bevindingen van WatchGuard en ESET, die hebben waargenomen dat de twee malwarefamilies worden gebruikt om bedrijven in Spanje, Portugal en Mexico te onderscheiden, evenals mobiele gebruikers in Brazilië.
De Grandoreiro-campagne “maakt gebruik van de DLL Side-Loading-techniek en misbruikt vier verschillende software, gericht op banken in Portugal”, aldus WatchGuard-onderzoeker Euler Neto.
Grandoreiro is actief sinds 2016 en is een zich actief ontwikkelende bankmalware die inloggegevens kan stelen die zijn gekoppeld aan duizenden financiële instellingen in 45 landen en gebieden. Het wordt meestal verspreid via phishing-e-mails, waarin ontvangers worden geïnstrueerd om op schetsmatige links te klikken.
Ondanks enkele arrestaties en pogingen van de Braziliaanse autoriteiten om de infrastructuur begin 2024 te ontmantelen, is de malware zijn doelgebied blijven uitbreiden, terwijl CAPTCHA-controles zijn ingebouwd om analyse te weerstaan.
De nieuwste door WatchGuard gemarkeerde campagne blijkt gebruik te maken van DLL side-loading om DLL’s te lanceren die zijn ontwikkeld in Delphi 11, een programmeertaal die vaak wordt gebruikt voor malware die zich op de regio richt. Twee van de DLL’s – mingwm10.dll en libwebp.dll – blijken sgcWebSockets te bevatten, een WebSocket en real-time communicatiebibliotheek, voor peer-to-peer (P2P) en WebRTC-communicatie.
“De DLL’s die bij deze zaak horen, maken gebruik van het Session Traversal Utilities for NAT (STUN)-protocol, een protocol dat apparaten achter een NAT helpt hun openbare IP-adres en poortnummer te ontdekken, waardoor peer-to-peer-communicatie mogelijk wordt”, legt WatchGuard uit.
“Het voordeel voor bedreigingsactoren om webconferentieverkeer in hun campagnes te gebruiken, is te danken aan het feit dat dit verkeer luidruchtig is, moeilijk te monitoren is en dat WebRTC algemeen wordt gebruikt op alle grote webconferentieplatforms.”
Twee andere DLL’s die aan de campagne zijn gekoppeld, zijn libffi-6.dll en libpng15.dll, die gebruik maken van het Interactive Connectivity Establishment (ICE)-protocol in plaats van STUN om hetzelfde doel te bereiken. Deze bestanden verwijzen specifiek naar banken en financiële instellingen die in Portugal actief zijn, zoals onder meer Abanca, Banco de Portugal, BBVA PT, Caixa Geral Depositos en Santander. Ook Revolut en Wise zijn doelwit.
WatchGuard zei ook dat het een andere campagne heeft geïdentificeerd waarin phishing-e-mails worden gebruikt om een ZIP-archief te bezorgen dat op Mediafire wordt gehost. Het bestand bevat een versluierd Visual Basic-script dat verantwoordelijk is voor het starten van een uitvoerbaar bestand, dat een bericht weergeeft waarin gebruikers worden gevraagd Adobe Reader bij te werken door op een knop te klikken die in de waarschuwing is ingesloten.
Als u dit doet, wordt een reeks controles geactiveerd die erop gericht zijn detectie te vermijden en de analyse van malware te bemoeilijken, voordat de laatste lading wordt gelanceerd om bankgegevens en gevoelige gegevens te stelen. Sommige tactieken overlappen met een eerdere Grandoreiro-campagne, beschreven door Kaspersky in oktober 2024.
“Het grotere verhaal hier is niet alleen dat Grandoreiro nog steeds actief is”, zei WatchGuard. “Het komt doordat financieel gemotiveerde dreigingsgroepen zich snel blijven aanpassen, legitieme diensten blijven hergebruiken en zich verstoppen in verkeerspatronen die veel organisaties misschien al vertrouwen.”
“Door het combineren van phishing, DLL side-loading, WebRTC-gerelateerde componenten, misbruik van cloudservices en anti-analysecontroles laten deze campagnes zien hoe bankmalware steeds moeilijker te herkennen is met alleen oppervlakkige verdedigingen.”
BTMOB biedt kant-en-klare campagnetools
De onthulling valt samen met een rapport van ESET over BTMOB, een Android trojan voor externe toegang (RAT) die voor het eerst opdook in februari 2025 met mogelijkheden om apparaten te ontgrendelen, schermafbeeldingen te maken, toetsaanslagen te loggen, diefstal van inloggegevens te automatiseren via HTML-injecties wanneer bepaalde apps worden geopend, en bediening op afstand mogelijk te maken. Een volgende iteratie introduceerde de mogelijkheid om Alipay-pincodes vast te leggen.
“De RAT wordt ook verkocht met een APK-bouwerinterface, waardoor iedereen snel nieuwe payloads kan genereren en phishing-lokmiddelen voor specifieke regio’s kan aanpassen – en zonder code te schrijven”, aldus ESET-onderzoeker Daniel Cunha Barbosa.
Deze kant-en-klare tools verminderen nog meer de tijd en moeite die nodig is om een volledig apparaatcompromis uit te voeren. De belangrijkste methode waarmee de malware zich verspreidt, is via social engineering, waarbij gebruikers links krijgen naar nepwebsites die zich voordoen als streamingdiensten of cryptocurrency-miningplatforms.
Vanaf deze sites worden slachtoffers doorverwezen naar valse Google Play Store-appvermeldingen die hen ertoe verleiden een Android-pakketbestand (APK) te installeren dat de malware bevat. Eenmaal geïnstalleerd, vraagt de malware toestemming om de toegankelijkheidsdiensten van Android te gebruiken en gebruikt deze vervolgens om zichzelf extra systeemtoegang te verlenen zonder enige gebruikersinteractie.
Aangenomen wordt dat BTMOB de opvolger is van de families CraxsRAT, CypherRAT en SpySolr. Vanaf mei 2026 is de nieuwste versie van de malware 4.5.5, die beweert verbeterde APK-bescherming en compatibiliteit te bieden met de nieuwste Google Play-updates.
“Bij deze update draait alles om snelheid en stabiliteit”, zou een X-profiel zijn gekoppeld aan de malware die op 1 mei 2026 werd gepost. “We hebben onze infrastructuur uitgebreid en de bouwer verfijnd om u op de hoogte te houden van de nieuwste mobiele beveiligingspatches.”
De Trojan wordt geadverteerd door een bedreigingsacteur genaamd EVLF (@craxso) voor een prijskaartje van $700 per maand. Volgens een YouTube-video die op 1 mei 2026 door de malware-auteur werd gedeeld, is een levenslange licentie $ 1.200 waard. De volledige serverbroncode is beschikbaar voor $7.000, waardoor klanten de command-and-control (C2)-panelen op hun eigen infrastructuur kunnen hosten.
Deze week deelde het X-profiel ook een link naar een Medium-artikel over ‘hoe BTMOB RAT Android-telefoons verandert in op afstand bestuurbare wapens’, en dat ‘snel evolueert’ sinds begin 2025.
“Het sluipt binnen via phishing-sites, grijpt toegankelijkheidsdiensten af en verandert je telefoon in een marionet”, luidt het artikel. “Hackers kijken live naar je scherm. Ze stelen bankgegevens. Ze minen zelfs crypto op de achtergrond terwijl je op Instagram scrollt.”
Interessant genoeg is het artikel gepubliceerd door een account met de naam “CraxsRAT Main developer.” In de biografie van het account wordt beweerd dat ze een “bekwame en vindingrijke cybercrimineel zijn die een winstgevende cybercriminaliteitsonderneming heeft opgebouwd door zeer geavanceerde RAT-malware aan andere bedreigingsactoren te verkopen.”
Het feit dat BTMOB wordt verkocht onder een Malware-as-a-Service (MaaS)-model dreigt de toetredingsdrempel voor minder geavanceerde dreigingsactoren te verlagen. Dit wordt nog verergerd door berichten dat gelekte versies al circuleren op ondergrondse forums en Telegram, waardoor het risico op misbruik door copycats en andere aspirant-criminelen toeneemt.
“De toegang blijft zelden voor altijd beperkt, en de tool kan zich naar secundaire markten verplaatsen door middel van wederverkoop, ruilhandel of delen binnen gesloten groepen”, aldus ESET. “Concurrerende malwarefamilies kunnen ook enkele elementen kopiëren die het aanpassen van de payload en het campagnebeheer eenvoudiger maken voor minder ervaren criminelen.”
Het Italiaanse cyberbeveiligingsbedrijf D3Lab zei in een analyse van de gelekte BTMOB RAT-ontwikkelingstoolkit, gepubliceerd in december 2025, dat deze de broncode van de Android-payload, de dropper, een bouwomgeving, het bedieningspaneel voor Windows, de C2-backend en alle software-afhankelijkheden omvatte die nodig zijn om het platform te implementeren.
“Het BTMOB-lek biedt een zeldzaam perspectief op de innerlijke werking van een modern Android RAT-as-a-Service-ecosysteem”, merkte D3Lab destijds op. “Het laat zien dat de bedreigingsactoren niet louter optreden als ontwikkelaar die een toolkit verkoopt, maar als een dienstverlener die licenties, authenticatie en versiecontrole afdwingt over hun klanten.”
