Wed, 27 May 2026
← VoltarDuas campanhas de trojans bancários têm como alvo a América Latina e a Europa, infectando dispositivos Windows e Android com malware Grandoreiro e BTMOB.
A América Latina e a Europa tornam-se alvo de duas campanhas de trojans bancários projetadas para infectar dispositivos Windows e Android com malware Grandoreiro e BTMOB, respectivamente. Isso está de acordo com novas descobertas da WatchGuard e ESET, que observaram as duas famílias de malware sendo usadas para destacar empresas na Espanha, Portugal e México, bem como usuários móveis no Brasil. A campanha do Grandoreiro “usa a técnica DLL Side-Loading, abusando de quatro softwares diferentes, visando bancos em Portugal”, disse o pesquisador da WatchGuard, Euler Neto. Ativo desde 2016, o Grandoreiro é um malware bancário em constante evolução, capaz de roubar credenciais associadas a milhares de instituições financeiras em 45 países e territórios.
Normalmente é distribuído por e-mails de phishing, instruindo os destinatários a clicar em links incompletos. Apesar de algumas detenções e tentativas por parte das autoridades brasileiras de desmantelar a sua infraestrutura no início de 2024, o malware continuou a expandir a sua pegada, ao mesmo tempo que incorporava verificações CAPTCHA para resistir à análise. Descobriu-se que a última campanha sinalizada pela WatchGuard aproveita o carregamento lateral de DLL para lançar DLLs desenvolvidas em Delphi 11, uma linguagem de programação comumente usada para malware direcionado à região. Descobriu-se que duas das DLLs - mingwm10.dll e libwebp.dll - incorporam sgcWebSockets, um WebSocket e uma biblioteca de comunicação em tempo real, para comunicações peer-to-peer (P2P) e WebRTC.
“As DLLs associadas a este caso usam o protocolo Session Traversal Utilities for NAT (STUN), que é um protocolo que ajuda os dispositivos atrás de um NAT a descobrir seu endereço IP público e número de porta, permitindo a comunicação ponto a ponto”, explicou WatchGuard. “A vantagem para os agentes de ameaças usarem o tráfego de webconferência em suas campanhas se deve ao fato de esse tráfego ser barulhento, ser difícil de monitorar e ao fato de o WebRTC ser comumente usado em todas as principais plataformas de webconferência.” Duas outras DLLs associadas à campanha são libffi-6.dll e libpng15.dll, que usam o protocolo Interactive Connectivity Establishment (ICE) em vez de STUN para atingir o mesmo objetivo. Estes ficheiros fazem referência especificamente a bancos e instituições financeiras que operam em Portugal, como Abanca, Banco de Portugal, BBVA PT, Caixa Geral Depósitos e Santander, entre outros. Também são alvos Revolut e Wise.
A WatchGuard também disse que identificou outra campanha em que e-mails de phishing são usados para entregar um arquivo ZIP hospedado no Mediafire. O arquivo contém um script Visual Basic ofuscado que é responsável por iniciar um executável, que exibe uma mensagem solicitando aos usuários que atualizem o Adobe Reader clicando em um botão incorporado no alerta. Isso desencadeia uma série de verificações destinadas a evitar a detecção e complicar a análise de malware, antes de lançar a carga final para roubar informações bancárias e dados confidenciais. Algumas das táticas se sobrepõem a uma campanha anterior do Grandoreiro detalhada pela Kaspersky em outubro de 2024.
“A grande história aqui não é apenas que Grandoreiro ainda está ativo”, disse WatchGuard. “É que os grupos de ameaças motivados financeiramente continuam a adaptar-se rapidamente, a reutilizar serviços legítimos e a esconder-se dentro de padrões de tráfego nos quais muitas organizações já podem confiar”. “Ao combinar phishing, carregamento lateral de DLL, componentes relacionados ao WebRTC, abuso de serviço em nuvem e verificações anti-análise, essas campanhas mostram como o malware bancário está se tornando mais difícil de detectar apenas com defesas de nível superficial.” A divulgação coincide com um relatório da ESET sobre BTMOB, um trojan de acesso remoto (RAT) Android que surgiu pela primeira vez em fevereiro de 2025 com recursos para desbloquear dispositivos, capturar capturas de tela, registrar pressionamentos de teclas, automatizar o roubo de credenciais por meio de injeções de HTML quando determinados aplicativos são abertos e ativar o controle remoto. Uma iteração subsequente introduziu a capacidade de capturar PINs Alipay.
“O RAT também é vendido com uma interface de construção de APK, permitindo que qualquer pessoa gere novas cargas e adapte iscas de phishing para regiões específicas em um ritmo rápido - e sem escrever nenhum código", disse Daniel Cunha Barbosa, pesquisador da ESET. As campanhas BTMOB foram observadas principalmente em ataques no Brasil e na América Latina, mas os recursos de entrega baseados em phishing e controle de dispositivos do malware, juntamente com as ferramentas de construção de aplicativos prontas, tornam-no uma ameaça potente que representa riscos muito além da região e reduz o tempo e o esforço necessários para realizar um comprometimento total do dispositivo, alertou o fornecedor de segurança eslovaco. O principal método pelo qual o malware A disseminação ocorre por meio de engenharia social, onde os usuários recebem links para sites falsos disfarçados de serviços de streaming, plataformas de mineração de criptomoedas e outros serviços on-line confiáveis. A partir desses sites, as vítimas são direcionadas para listagens falsas de aplicativos da Google Play Store que as enganam para que instalem um arquivo de pacote Android (APK) contendo o malware.
Uma vez instalado, o malware busca permissões para usar os serviços de acessibilidade do Android e, em seguida, aproveita-o para conceder acesso adicional ao sistema sem qualquer interação do usuário. Famílias CypherRAT e SpySolr Em maio de 2026, a versão mais recente do malware (BTMOB v4.5.5) afirma oferecer proteção APK aprimorada e compatibilidade com as atualizações mais recentes do Google Play, "Esta atualização tem tudo a ver com velocidade e estabilidade", um perfil X supostamente vinculado ao malware postado em 1º de maio de 2026. "Expandimos nossa infraestrutura e refinamos o construtor para mantê-lo à frente dos patches de segurança móveis mais recentes." (@craxso) por um preço de US$ 700 por mês. De acordo com um vídeo do YouTube compartilhado pelo autor do malware em 1º de maio de 2026, uma licença vitalícia vale US$ 1.200.
O código-fonte completo do servidor está disponível por US$ 7.000, permitindo que os clientes hospedem os painéis de comando e controle (C2) em sua própria infraestrutura. armas controladas remotamente" e tem "evoluído rapidamente" desde o início de 2025. "Ele entra em sites de phishing, captura serviços de acessibilidade e transforma seu telefone em uma marionete", diz o artigo. Eles roubam dados bancários.
Eles até exploram criptografia em segundo plano enquanto você rola o Instagram." Curiosamente, o artigo foi publicado por uma conta chamada "desenvolvedor principal CraxsRAT". versões vazadas já estão circulando em fóruns clandestinos e no Telegram, aumentando o risco de abuso por meio de imitadores e outros aspirantes a criminosos. “O acesso raramente permanece contido para sempre, e a ferramenta pode entrar em mercados secundários por meio de revenda, troca ou compartilhamento dentro de grupos fechados”, disse a ESET. “As famílias de malware concorrentes também podem copiar alguns elementos que facilitam a personalização da carga útil e o gerenciamento de campanhas para criminosos menos qualificados, D3Lab, em uma análise do kit de ferramentas de desenvolvimento BTMOB RAT vazado.
2025, disse que incluía o código-fonte da carga útil do Android, seu dropper, um ambiente de construção, o painel do operador para Windows, o back-end C2 e todas as dependências de software necessárias para implantar a plataforma. “O vazamento do BTMOB fornece uma perspectiva rara sobre o funcionamento interno de um ecossistema moderno de RAT como serviço do Android”, observou D3Lab na época. e controle de versão sobre seus clientes." Aprenda estratégias práticas para detectar e se defender contra ataques cibernéticos ameaças além das vulnerabilidades de dia zero. Aprenda como validar resultados de pentesting automatizados para tomar decisões de segurança precisas.
Receba as últimas notícias, insights de especialistas, recursos exclusivos e estratégias de líderes do setor, tudo gratuitamente.