Дві паралельні кампанії банківських троянів — Grandoreiro для Windows і BTMOB RAT для Android — активно атакують фінансові організації та користувачів у Португалії, Іспанії, Мексиці та Бразилії. За даними дослідників WatchGuard і ESET, обидва сімейства шкідливого ПЗ демонструють суттєву еволюцію: Grandoreiro маскує свій трафік під легітимні відеоконференції через WebRTC, а BTMOB перетворився на повноцінну платформу «шкідливе ПЗ як послуга» з конструктором корисних навантажень без необхідності програмування.
Grandoreiro: DLL side-loading і маскування під відеоконференції
Grandoreiro — банківський троян, активний з 2016 року, здатний, за даними дослідників, викрадати облікові дані тисяч фінансових установ у 45 країнах. Попри арешти та спроби бразильської влади ліквідувати його інфраструктуру на початку 2024 року, шкідник продовжує розширювати географію атак і вдосконалювати механізми захисту від аналізу, зокрема перевірки CAPTCHA.
Ключова технічна особливість нової кампанії — використання DLL side-loading для запуску шкідливих бібліотек, розроблених у Delphi 11. WatchGuard виявив чотири DLL-файли з різною функціональністю:
- mingwm10.dll і libwebp.dll — містять бібліотеку sgcWebSockets і використовують протокол STUN (Session Traversal Utilities for NAT) для виявлення публічної IP-адреси та порту пристрою за NAT, забезпечуючи одноранговий обмін через WebRTC;
- libffi-6.dll і libpng15.dll — застосовують протокол ICE (Interactive Connectivity Establishment) для аналогічних цілей і містять прямі посилання на португальські фінансові установи.
Серед цілей кампанії — Abanca, Banco de Portugal, BBVA PT, Caixa Geral Depositos, Santander, а також фінтех-сервіси Revolut і Wise.
Чому WebRTC — ефективний канал для зловмисників
Вибір WebRTC як каналу комунікації — не випадковість, а продумане тактичне рішення. Трафік відеоконференцій за своєю природою є «шумним», його складно моніторити, а WebRTC повсюдно використовується найбільшими платформами для відеозв’язку. Це означає, що мережеві засоби захисту багатьох організацій уже довіряють такому трафіку й не піддають його глибокій інспекції. Фактично зловмисники ховають керівні комунікації трояна всередині потоку даних, який більшість корпоративних файрволів пропускає без додаткових перевірок.
Друга хвиля: фішинг через Mediafire
WatchGuard також зафіксував паралельну кампанію, у якій фішингові листи доставляють ZIP-архів, розміщений на платформі Mediafire. Архів містить обфускований скрипт Visual Basic, що запускає виконуваний файл із підробленим сповіщенням про оновлення Adobe Reader. Після натискання на кнопку «оновлення» виконується низка перевірок для обходу аналізу, а потім завантажується фінальне корисне навантаження для крадіжки банківських даних. Частина тактик, як повідомляється, перетинається з кампанією Grandoreiro, описаною Kaspersky у жовтні 2024 року.
BTMOB RAT: Android-троян із бізнес-моделлю
BTMOB — троян віддаленого доступу для Android, уперше виявлений, за даними ESET, у лютому 2025 року. Його можливості включають розблокування пристроїв, захоплення скриншотів екрана, перехоплення натискань клавіш, автоматизоване викрадення облікових даних через HTML-ін’єкції під час відкриття певних застосунків і повний віддалений контроль. Наступна ітерація, за даними Zimperium, додала можливість перехоплення PIN-кодів Alipay.
Поширення відбувається через соціальну інженерію: жертвам надсилають посилання на підроблені сайти, що імітують стримінгові сервіси або платформи для майнінгу криптовалют. Звідти користувачів перенаправляють на фальшиві сторінки Google Play Store, де вони встановлюють шкідливий APK-файл. Після встановлення троян запитує доступ до служб спеціальних можливостей Android (Accessibility Services) і використовує їх для отримання додаткових системних привілеїв без подальшої взаємодії з користувачем.
Модель «шкідливе ПЗ як послуга»
Принципова відмінність BTMOB від багатьох аналогів — зріла комерційна модель. Троян продається з інтерфейсом конструктора APK, що дає змогу генерувати нові корисні навантаження й адаптувати фішингові приманки для конкретних регіонів без написання коду. Згідно з рекламними матеріалами (до яких слід ставитися обережно, оскільки вони походять від самих операторів), підписка коштує $700 на місяць, довічна ліцензія — $1 200, а повний вихідний код серверної частини — $7 000, що дозволяє покупцям розгортати власну інфраструктуру керування.
Ситуацію погіршує витік інструментарію розробки BTMOB. За даними італійської компанії D3Lab, яка проаналізувала витік у грудні 2025 року, набір містив вихідний код корисного навантаження для Android, дроппер, середовище конструктора, операторську панель для Windows, серверну частину керування та всі необхідні залежності. D3Lab відзначає, що оператор BTMOB функціонує не просто як розробник, а як постачальник послуг із ліцензуванням, автентифікацією та контролем версій. Витеклі версії, як повідомляє ESET, уже поширюються на підпільних форумах і в Telegram, що суттєво розширює коло потенційних зловмисників.
Оцінка впливу
Обидві кампанії становлять високий ризик для фінансового сектору Іберійського півострова та Латинської Америки. Grandoreiro загрожує корпоративним користувачам Windows, які працюють з онлайн-банкінгом португальських і іспанських установ, а також з міжнародними фінтех-платформами. BTMOB націлений на індивідуальних користувачів Android у Бразилії, але модель MaaS і витік інструментарію роблять географічне розширення практично неминучим.
Особливу небезпеку становить поєднання технік у кампанії Grandoreiro: фішинг, DLL side-loading, зловживання легітимними протоколами (WebRTC, STUN, ICE), використання хмарних сервісів для хостингу та багаторівневі перевірки проти аналізу. Такий набір робить виявлення вкрай ускладненим за використання лише поверхневих засобів захисту.
Рекомендації щодо захисту
Проти Grandoreiro:
- Налаштувати глибоку інспекцію WebRTC-трафіку на периметрі мережі, особливо для з’єднань, ініційованих не з браузерів або відомих застосунків для відеоконференцій;
- Запровадити моніторинг DLL side-loading: відстежувати завантаження DLL із нестандартних директорій легітимними застосунками;
- Блокувати або обмежувати доступ до файлообмінних платформ (Mediafire та аналогічних) на корпоративному рівні;
- Навчити співробітників розпізнавати фішингові листи з тематикою оновлення Adobe Reader та подібного ПЗ;
- Додати до моніторингу імена файлів: mingwm10.dll, libwebp.dll, libffi-6.dll, libpng15.dll — у разі виявлення в нетипових розташуваннях провести розслідування.
Проти BTMOB:
- Заборонити встановлення APK зі сторонніх джерел на корпоративних мобільних пристроях через політики MDM;
- Проводити аудит застосунків з доступом до служб спеціальних можливостей Android — будь-який невідомий застосунок із такими привілеями має розглядатися як підозрілий;
- Інформувати користувачів про схеми поширення через підроблені стримінгові сервіси та криптоплатформи.
Обидві кампанії демонструють одну й ту саму тенденцію: фінансово вмотивовані угруповання дедалі активніше маскують шкідливу активність під легітимний трафік і знижують поріг входу для менш кваліфікованих операторів завдяки готовим інструментам. Організаціям у постраждалих регіонах варто негайно перевірити свої мережеві політики щодо інспекції WebRTC-трафіку та провести аудит мобільних пристроїв співробітників на наявність застосунків із надмірними привілеями Accessibility Services.
