Две параллельные кампании банковских троянов — Grandoreiro для Windows и BTMOB RAT для Android — активно атакуют финансовые организации и пользователей в Португалии, Испании, Мексике и Бразилии. По данным исследователей WatchGuard и ESET, обе семейства вредоносного ПО демонстрируют значительную эволюцию: Grandoreiro маскирует свой трафик под легитимные видеоконференции через WebRTC, а BTMOB превратился в полноценную платформу «вредоносное ПО как услуга» с конструктором полезных нагрузок без необходимости программирования.
Grandoreiro: DLL side-loading и маскировка под видеоконференции
Grandoreiro — банковский троян, активный с 2016 года, способный, по данным исследователей, похищать учётные данные тысяч финансовых учреждений в 45 странах. Несмотря на аресты и попытки бразильских властей ликвидировать его инфраструктуру в начале 2024 года, вредонос продолжает расширять географию атак и совершенствовать механизмы защиты от анализа, включая проверки CAPTCHA.
Ключевая техническая особенность новой кампании — использование DLL side-loading для запуска вредоносных библиотек, разработанных на Delphi 11. WatchGuard выявил четыре DLL-файла с различной функциональностью:
- mingwm10.dll и libwebp.dll — включают библиотеку sgcWebSockets и используют протокол STUN (Session Traversal Utilities for NAT) для обнаружения публичного IP-адреса и порта устройства за NAT, обеспечивая одноранговую связь через WebRTC;
- libffi-6.dll и libpng15.dll — применяют протокол ICE (Interactive Connectivity Establishment) для аналогичных целей и содержат прямые ссылки на португальские финансовые учреждения.
Среди целей кампании — Abanca, Banco de Portugal, BBVA PT, Caixa Geral Depositos, Santander, а также финтех-сервисы Revolut и Wise.
Почему WebRTC — эффективный канал для злоумышленников
Выбор WebRTC в качестве коммуникационного канала — не случайность, а продуманное тактическое решение. Трафик видеоконференций является «шумным» по своей природе, его сложно мониторить, а WebRTC повсеместно используется крупнейшими платформами для видеосвязи. Это означает, что сетевые защитные средства многих организаций уже доверяют такому трафику и не подвергают его глубокой инспекции. Фактически злоумышленники прячут управляющие коммуникации трояна внутри потока данных, который большинство корпоративных файрволов пропускает без дополнительных проверок.
Вторая волна: фишинг через Mediafire
WatchGuard также зафиксировал параллельную кампанию, в которой фишинговые письма доставляют ZIP-архив, размещённый на платформе Mediafire. Архив содержит обфусцированный скрипт Visual Basic, запускающий исполняемый файл с поддельным уведомлением об обновлении Adobe Reader. При нажатии на кнопку «обновления» выполняется серия проверок для обхода анализа, после чего загружается финальная полезная нагрузка для кражи банковских данных. Часть тактик, как сообщается, пересекается с кампанией Grandoreiro, описанной Kaspersky в октябре 2024 года.
BTMOB RAT: Android-троян с бизнес-моделью
BTMOB — троян удалённого доступа для Android, впервые обнаруженный, по данным ESET, в феврале 2025 года. Его возможности включают разблокировку устройств, захват снимков экрана, перехват нажатий клавиш, автоматизированную кражу учётных данных через HTML-инъекции при открытии определённых приложений и полный удалённый контроль. Последующая итерация, по данным Zimperium, добавила возможность перехвата PIN-кодов Alipay.
Распространение происходит через социальную инженерию: жертвам отправляются ссылки на поддельные сайты, имитирующие стриминговые сервисы или платформы для майнинга криптовалют. Оттуда пользователей перенаправляют на фальшивые страницы Google Play Store, где они устанавливают вредоносный APK-файл. После установки троян запрашивает доступ к службам специальных возможностей Android (Accessibility Services) и использует их для получения дополнительных системных привилегий без дальнейшего взаимодействия с пользователем.
Модель «вредоносное ПО как услуга»
Принципиальное отличие BTMOB от многих аналогов — зрелая коммерческая модель. Троян продаётся с интерфейсом конструктора APK, позволяющим генерировать новые полезные нагрузки и адаптировать фишинговые приманки для конкретных регионов без написания кода. Согласно рекламным материалам (к которым следует относиться с осторожностью, поскольку они исходят от самих операторов), подписка стоит $700 в месяц, пожизненная лицензия — $1 200, а полный исходный код серверной части — $7 000, что позволяет покупателям разворачивать собственную инфраструктуру управления.
Ситуацию усугубляет утечка инструментария разработки BTMOB. По данным итальянской компании D3Lab, проанализировавшей утечку в декабре 2025 года, набор включал исходный код полезной нагрузки для Android, дроппер, среду конструктора, операторскую панель для Windows, серверную часть управления и все необходимые зависимости. D3Lab отметил, что оператор BTMOB функционирует не просто как разработчик, а как поставщик услуг с лицензированием, аутентификацией и контролем версий. Утечённые версии, как сообщает ESET, уже циркулируют на подпольных форумах и в Telegram, что существенно расширяет круг потенциальных злоумышленников.
Оценка воздействия
Обе кампании представляют высокий риск для финансового сектора Иберийского полуострова и Латинской Америки. Grandoreiro угрожает корпоративным пользователям Windows, работающим с онлайн-банкингом португальских и испанских учреждений, а также с международными финтех-платформами. BTMOB нацелен на индивидуальных пользователей Android в Бразилии, но модель MaaS и утечка инструментария делают географическое расширение практически неизбежным.
Особую опасность представляет комбинация техник в кампании Grandoreiro: фишинг, DLL side-loading, злоупотребление легитимными протоколами (WebRTC, STUN, ICE), использование облачных сервисов для хостинга и многоуровневые проверки против анализа. Такой набор делает обнаружение крайне затруднительным при использовании только поверхностных средств защиты.
Рекомендации по защите
Против Grandoreiro:
- Настроить глубокую инспекцию WebRTC-трафика на периметре сети, особенно для подключений, инициированных не из браузеров или известных приложений видеоконференцсвязи;
- Внедрить мониторинг DLL side-loading: отслеживать загрузку DLL из нестандартных директорий легитимными приложениями;
- Блокировать или ограничивать доступ к файлообменным платформам (Mediafire и аналогичным) на корпоративном уровне;
- Обучить сотрудников распознавать фишинговые письма с тематикой обновления Adobe Reader и аналогичного ПО;
- Добавить в мониторинг имена файлов: mingwm10.dll, libwebp.dll, libffi-6.dll, libpng15.dll — при обнаружении в нетипичных расположениях провести расследование.
Против BTMOB:
- Запретить установку APK из сторонних источников на корпоративных мобильных устройствах через политики MDM;
- Аудировать приложения с доступом к службам специальных возможностей Android — любое неизвестное приложение с такими привилегиями должно рассматриваться как подозрительное;
- Информировать пользователей о схемах распространения через поддельные стриминговые сервисы и криптоплатформы.
Обе кампании демонстрируют одну и ту же тенденцию: финансово мотивированные группировки всё активнее маскируют вредоносную активность под легитимный трафик и снижают порог входа для менее квалифицированных операторов через готовые инструменты. Организациям в затронутых регионах следует немедленно проверить свои сетевые политики на предмет инспекции WebRTC-трафика и провести аудит мобильных устройств сотрудников на наличие приложений с избыточными привилегиями Accessibility Services.
