Grandoreiro e BTMOB miram usuários Windows e Android em campanhas bancárias

Campanhas distintas combinam phishing, carregamento lateral de DLL, WebRTC, abuso de serviços legítimos e permissões de acessibilidade para capturar credenciais financeiras e controlar dispositivos.

Componente	Grandoreiro em Windows e BTMOB RAT em Android, com foco em credenciais e operações bancárias.
Vetor	Phishing, arquivos compactados hospedados em serviço legítimo, páginas falsas de aplicativos e instalação manual de APK fora da loja oficial.
Impacto	Roubo de credenciais bancárias, captura de dados sensíveis, controle remoto de dispositivos Android e uso de tráfego WebRTC ou P2P para dificultar monitoramento.
Prioridade	Reforçar detecção de phishing, bloquear execução suspeita de DLLs, revisar abuso de acessibilidade no Android e monitorar conexões WebRTC incomuns.
Artefatos	Na campanha Grandoreiro foram citadas DLLs como `mingwm10.dll`, `libwebp.dll`, `libffi-6.dll` e `libpng15.dll`.
Alvos	Empresas na Espanha, Portugal e México, instituições financeiras em Portugal e usuários móveis no Brasil.

Resumo técnico

Duas frentes de malware bancário voltaram a expor usuários e organizações na América Latina e na Europa. No Windows, o Grandoreiro aparece em campanhas voltadas a empresas e instituições financeiras, com uso de phishing, carregamento lateral de DLL e componentes de comunicação associados a tráfego P2P, WebRTC, STUN e ICE. No Android, o BTMOB RAT mira usuários móveis, incluindo vítimas no Brasil, por meio de páginas falsas que simulam serviços de streaming, mineração de criptomoedas e listagens fraudulentas da Google Play Store para induzir a instalação de um APK malicioso.

O ponto comum entre as campanhas é a tentativa de reduzir o atrito operacional para o operador e aumentar a dificuldade de detecção para a defesa. O Grandoreiro mantém um histórico de evolução desde 2016 e continua ativo mesmo após ações policiais brasileiras contra partes de sua infraestrutura no início de 2024. A versão observada em campanhas recentes adiciona verificações contra análise e usa tráfego que pode se misturar a padrões legítimos de colaboração e conferência. O BTMOB, por sua vez, é vendido como serviço criminoso com interface de geração de APKs, o que permite adaptar iscas regionais e produzir novos pacotes sem desenvolvimento próprio.

Para defesa, a leitura técnica deve separar os dois fluxos. Grandoreiro exige atenção a e-mails de phishing, arquivos compactados, execução de scripts ofuscados, processos que carregam DLLs inesperadas e comunicação em protocolos normalmente aceitos em ambientes corporativos. BTMOB exige controle de instalação de aplicativos, restrição de permissões de acessibilidade, análise de páginas falsas e telemetria de dispositivos Android que passem a executar ações sem interação visível do usuário.

Fluxo técnico

Na vertente Grandoreiro, uma campanha usa carregamento lateral de DLL abusando quatro softwares diferentes. A técnica depende de um executável legítimo ou aparentemente confiável carregando uma biblioteca maliciosa posicionada no caminho esperado de resolução. As DLLs citadas foram desenvolvidas em Delphi 11, linguagem frequentemente observada em famílias de malware bancário da região. Dois arquivos, mingwm10.dll e libwebp.dll, incorporam a biblioteca sgcWebSockets para comunicação em tempo real, com uso de P2P e WebRTC. O uso de STUN ajuda um dispositivo atrás de NAT a descobrir endereço IP público e porta, viabilizando comunicação direta entre pares.

Outras duas DLLs, libffi-6.dll e libpng15.dll, usam ICE em vez de STUN para atingir objetivo semelhante de conectividade. Esses componentes fazem referência a bancos e instituições financeiras que operam em Portugal, incluindo Abanca, Banco de Portugal, BBVA PT, Caixa Geral de Depósitos, Santander, Revolut e Wise. A presença desses nomes indica foco operacional em credenciais e interações bancárias, sem exigir que a defesa presuma comprometimento de todas as instituições citadas. O dado técnico sustentado é que os artefatos incorporam referências a esses alvos e que a campanha mira o ecossistema financeiro português.

Outra cadeia do Grandoreiro começa com e-mails de phishing que entregam um arquivo ZIP hospedado no Mediafire. Dentro do arquivo há um Visual Basic Script ofuscado que inicia um executável. A vítima vê uma mensagem simulando necessidade de atualização do Adobe Reader e é induzida a clicar em um botão do alerta. Após essa interação, a cadeia executa verificações para evitar detecção e dificultar análise antes de liberar o payload final voltado ao roubo de informações bancárias e dados sensíveis. O fluxo não deve ser analisado como anexo malicioso: ele combina hospedagem em serviço legítimo, engenharia social, script ofuscado, interface enganosa e checagens anti-análise.

No Android, o BTMOB RAT segue uma lógica diferente. O operador envia links para sites falsos, geralmente apresentados como serviços de streaming ou plataformas de mineração de criptomoedas. A partir dessas páginas, o usuário é redirecionado para uma falsa listagem da Google Play Store, onde é convencido a instalar um APK fora do fluxo legítimo de distribuição. Depois de instalado, o aplicativo solicita acesso aos serviços de acessibilidade do Android. Com essa permissão, o malware concede a si mesmo acessos adicionais sem nova interação do usuário, habilita controle remoto e automatiza ações sensíveis no dispositivo.

As capacidades descritas para o BTMOB incluem desbloqueio de aparelho, captura de tela, registro de teclas, controle remoto, roubo automatizado de credenciais por meio de injeções HTML quando determinados aplicativos são abertos e, em iteração posterior, captura de PINs do Alipay. Em maio de 2026, a versão mais recente indicada é 4.5.5, anunciada com proteção de APK aprimorada e compatibilidade com atualizações recentes da Google Play. O RAT também é associado como sucessor de famílias como CraxsRAT, CypherRAT e SpySolr, com modelo de malware como serviço e circulação de versões vazadas em fóruns clandestinos e Telegram.

Superfície afetada

A superfície Windows afetada envolve estáções de trabalho expostas a phishing, execução de arquivos ZIP recebidos por e-mail, scripts ofuscados e softwares que podem ser explorados para carregamento lateral de DLL. Ambientes com allowlist fraca, baixa visibilidade sobre carregamento de bibliotecas e inspeção limitada de tráfego WebRTC ficam mais expostos. A campanha não depende apenas de um binário final detectável; ela usa componentes intermediários e tráfego que pode parecer compatível com aplicações legítimas de conferência, colaboração e comunicação em tempo real.

A superfície Android envolve usuários que instalam APKs fora de lojas confiáveis, concedem permissões de acessibilidade a aplicativos de origem duvidosa ou acessam páginas falsas por links de phishing. Dispositivos pessoais usados para operações bancárias, autenticação e comunicação corporativa aumentam o risco quando não há gerenciamento móvel, separação de perfis ou política clara para instalação de aplicativos. Como o BTMOB pode automatizar interações e observar tela e teclado, o impacto se aproxima de comprometimento total da sessão do usuário no aparelho.

Empresas na Espanha, Portugal e México aparecem como alvos da atividade associada ao Grandoreiro.
Usuários móveis no Brasil aparecem como alvos da atividade associada ao BTMOB.
Instituições financeiras em Portugal são referenciadas em artefatos da campanha Grandoreiro.
Dispositivos Android com serviços de acessibilidade concedidos ao APK malicioso ficam expostos a controle e coleta automatizada.

Hunting e telemetria

Em endpoints Windows, a investigação deve priorizar correlação entre e-mail, download de arquivo compactado, execução de script, criação de processo filho e carregamento de DLL em diretórios incomuns. A presença dos nomes mingwm10.dll, libwebp.dll, libffi-6.dll e libpng15.dll não basta isoladamente para concluir infecção, pois nomes de bibliotecas podem existir em contextos legítimos. O valor defensivo está em observar processo pai, caminho em disco, assinatura, hash interno da organização, hora de criação, execução próxima a eventos de phishing e conexões de rede iniciadas logo após o carregamento.

A comunicação WebRTC, STUN e ICE deve ser analisada com cuidado para não gerar excesso de falsos positivos. Em vez de bloquear indiscriminadamente tráfego usado por ferramentas legítimas, a defesa deve procurar padrões anômalos: estáções financeiras iniciando sessões P2P sem aplicação corporativa esperada, processos não relacionados a navegador usando bibliotecas de comunicação em tempo real, tráfego STUN fora do perfil histórico do usuário e conexões após execução de artefatos entregues por e-mail. A inspeção deve combinar EDR, proxy, DNS, firewall e inventário de aplicações permitidas.

No Android, a telemetria deve focar instalação de APKs fora da loja oficial, concessão recente de acessibilidade, aplicativos recém-instalados com sobreposição de tela, captura frequente de tela, comportamento de keylogging e abertura automática de telas sensíveis. Em ambientes com MDM, sinais úteis incluem alteração de permissões, uso de serviços de acessibilidade por aplicativo não aprovado, tentativas de desativar proteções e comunicação recorrente com infraestrutura de comando e controle. Como o contexto não traz domínios nem endereços IP específicos, a detecção deve ser baseada em comportamento, reputação de origem do APK e anomalias de permissão.

Execução de Visual Basic Script ofuscado a partir de arquivo ZIP recebido por phishing.
Carregamento de DLL com nomes citados em caminhos incompatíveis com instalações legítimas.
Sessões STUN, ICE ou WebRTC iniciadas por processos que não deveriam operar comunicação em tempo real.
Concessão de serviços de acessibilidade a APK instalado fora do fluxo oficial da Google Play.
Interações automáticas com aplicativos financeiros após instalação recente de aplicativo suspeito.

Mitigação

A resposta para Grandoreiro deve começar pela contenção do vetor de entrega. Controles de e-mail precisam bloquear anexos compactados suspeitos, URLs para hospedagem de arquivos usada como intermediária e mensagens que induzem atualização falsa de software. Em endpoints, a organização deve restringir execução de scripts ofuscados, registrar carregamento de DLL por processo, exigir assinatura ou reputação para binários em diretórios de usuário e isolar máquinas que combinem execução suspeita com comunicação WebRTC incomum. Quando houver evidência de execução, credenciais bancárias e credenciais corporativas usadas no dispositivo devem ser revisadas conforme o risco do ambiente.

Para BTMOB, a mitigação depende de reduzir a chance de instalação e limitar o poder das permissões concedidas. Usuários devem ser impedidos de instalar APKs de fontes desconhecidas em dispositivos gerenciados, e serviços de acessibilidade devem ser permitidos apenas para aplicativos aprovados. Em caso de suspeita, a ação mais segura é remover o dispositivo de sessões sensíveis, revogar tokens, redefinir credenciais associadas, verificar aplicativos instalados recentemente e realizar limpeza ou restauração conforme política corporativa. Como o RAT pode observar tela e teclado, apenas remover o aplicativo pode não ser suficiente quando houve uso bancário ou autenticação no período de exposição.

A defesa também precisa tratar o modelo de malware como serviço como fator de escala. A existência de builder, painel de operação e versões vazadas aumenta a probabilidade de campanhas clonadas com iscas diferentes. Por isso, regras muito dependentes de um único nome de arquivo, uma única página falsa ou uma única marca usada no phishing tendem a envelhecer rapidamente. O caminho mais resiliente é combinar controle de execução, educação contra instalação fora da loja oficial, inventário de permissões, análise comportamental, contenção de dispositivos e revisão de credenciais quando sinais de automação ou controle remoto forem confirmados.

Bloquear ou colocar em quarentena anexos ZIP e scripts ofuscados recebidos por e-mail quando associados a iscas de atualização falsa.
Monitorar carregamento lateral de DLL e investigar bibliotecas com nomes citados quando executadas fora de diretórios esperados.
Criar exceções explícitas para tráfego WebRTC legítimo e investigar uso de STUN ou ICE por processos não autorizados.
Impedir instalação de APKs fora de lojas confiáveis em dispositivos corporativos ou usados para acesso sensível.
Restringir permissões de acessibilidade a aplicativos aprovados e auditar concessões recentes em dispositivos Android.
Revogar sessões e redefinir credenciais quando houver indício de captura de tela, registro de teclas ou controle remoto.

Grandoreiro e BTMOB miram usuários Windows e Android em campanhas bancárias

Postar um comentário

0 Comentários

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

Plantão de ameaças

Receba alertas

Comunidade

Assuntos

Menu Footer Widget

Contato

Grandoreiro e BTMOB miram usuários Windows e Android em campanhas bancárias

Talvez você goste destas postagens

Postar um comentário

0 Comentários

Siga o Cyber Guardian News

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

Plantão de ameaças

Receba alertas

Briefing global de ameaças

Comunidade

Assuntos

Menu Footer Widget

Contato