Dos campañas paralelas de troyanos bancarios — Grandoreiro para Windows y BTMOB RAT para Android — atacan de forma activa a organizaciones financieras y usuarios en Portugal, España, México y Brasil. Según los investigadores de WatchGuard y ESET, ambas familias de malware muestran una evolución significativa: Grandoreiro disfraza su tráfico como videoconferencias legítimas a través de WebRTC, y BTMOB se ha convertido en una plataforma completa de «malware como servicio» con un constructor de cargas útiles sin necesidad de programación.
Grandoreiro: DLL side-loading y camuflaje como videoconferencias
Grandoreiro es un troyano bancario activo desde 2016, capaz, según los investigadores, de robar credenciales de miles de instituciones financieras en 45 países. A pesar de las detenciones y de los intentos de las autoridades brasileñas de desmantelar su infraestructura a principios de 2024, el malware sigue ampliando la geografía de sus ataques y perfeccionando los mecanismos de protección frente al análisis, incluidas las comprobaciones de CAPTCHA.
La característica técnica clave de la nueva campaña es el uso de DLL side-loading para ejecutar bibliotecas maliciosas desarrolladas en Delphi 11. WatchGuard identificó cuatro archivos DLL con distintas funcionalidades:
- mingwm10.dll y libwebp.dll — incluyen la biblioteca sgcWebSockets y utilizan el protocolo STUN (Session Traversal Utilities for NAT) para descubrir la dirección IP pública y el puerto del dispositivo detrás de un NAT, habilitando la comunicación entre pares mediante WebRTC;
- libffi-6.dll y libpng15.dll — emplean el protocolo ICE (Interactive Connectivity Establishment) con fines similares y contienen referencias directas a instituciones financieras portuguesas.
Entre los objetivos de la campaña se encuentran Abanca, Banco de Portugal, BBVA PT, Caixa Geral Depositos, Santander, así como los servicios fintech Revolut y Wise.
Por qué WebRTC es un canal eficaz para los atacantes
La elección de WebRTC como canal de comunicaciones no es casualidad, sino una decisión táctica deliberada. El tráfico de videoconferencia es, por naturaleza, «ruidoso», difícil de monitorizar, y WebRTC es utilizado de forma generalizada por las principales plataformas de videollamadas. Esto significa que muchos mecanismos de protección de red de las organizaciones ya confían en este tipo de tráfico y no lo someten a una inspección profunda. En la práctica, los atacantes ocultan las comunicaciones de mando y control del troyano dentro de un flujo de datos que la mayoría de los cortafuegos corporativos dejan pasar sin comprobaciones adicionales.
Segunda oleada: phishing a través de Mediafire
WatchGuard también registró una campaña paralela en la que los correos de phishing entregan un archivo ZIP alojado en la plataforma Mediafire. El archivo contiene un script de Visual Basic ofuscado que ejecuta un archivo ejecutable con una falsa notificación de actualización de Adobe Reader. Al pulsar el botón de «actualización» se ejecuta una serie de comprobaciones para evadir el análisis, tras lo cual se descarga la carga útil final para el robo de datos bancarios. Se informa de que parte de las tácticas se solapan con la campaña de Grandoreiro descrita por Kaspersky en octubre de 2024.
BTMOB RAT: troyano para Android con modelo de negocio
BTMOB es un troyano de acceso remoto para Android, detectado por primera vez, según ESET, en febrero de 2025. Sus capacidades incluyen desbloquear dispositivos, capturar capturas de pantalla, interceptar pulsaciones de teclas, el robo automatizado de credenciales mediante inyecciones HTML al abrir determinadas aplicaciones y el control remoto completo. Una iteración posterior, según Zimperium, añadió la capacidad de interceptar códigos PIN de Alipay.
La propagación se lleva a cabo mediante ingeniería social: se envían a las víctimas enlaces a sitios falsos que imitan servicios de streaming o plataformas de minería de criptomonedas. Desde allí se redirige a los usuarios a páginas falsificadas de Google Play Store, donde instalan el archivo APK malicioso. Tras la instalación, el troyano solicita acceso a los Servicios de accesibilidad de Android (Accessibility Services) y los utiliza para obtener privilegios de sistema adicionales sin más interacción por parte del usuario.
Modelo de «malware como servicio»
La diferencia fundamental de BTMOB respecto a muchos de sus análogos es un modelo comercial maduro. El troyano se vende con una interfaz de constructor de APK que permite generar nuevas cargas útiles y adaptar los cebos de phishing a regiones concretas sin escribir código. Según el material promocional (que debe tratarse con cautela, ya que procede de los propios operadores), la suscripción cuesta 700 dólares al mes, la licencia de por vida 1 200 dólares, y el código fuente completo de la parte servidor 7 000 dólares, lo que permite a los compradores desplegar su propia infraestructura de gestión.
La situación se agrava por la filtración del conjunto de herramientas de desarrollo de BTMOB. Según la empresa italiana D3Lab, que analizó la filtración en diciembre de 2025, el paquete incluía el código fuente de la carga útil para Android, el dropper, el entorno del constructor, el panel de operador para Windows, el componente servidor de gestión y todas las dependencias necesarias. D3Lab señaló que el operador de BTMOB funciona no solo como desarrollador, sino como proveedor de servicios con licenciamiento, autenticación y control de versiones. Según informa ESET, las versiones filtradas ya circulan en foros clandestinos y en Telegram, lo que amplía considerablemente el círculo de potenciales atacantes.
Evaluación del impacto
Ambas campañas representan un alto riesgo para el sector financiero de la Península Ibérica y de América Latina. Grandoreiro amenaza a los usuarios corporativos de Windows que trabajan con la banca online de instituciones portuguesas y españolas, así como con plataformas fintech internacionales. BTMOB se dirige a usuarios individuales de Android en Brasil, pero el modelo MaaS y la filtración del conjunto de herramientas hacen que la expansión geográfica sea prácticamente inevitable.
Reviste especial peligrosidad la combinación de técnicas en la campaña de Grandoreiro: phishing, DLL side-loading, abuso de protocolos legítimos (WebRTC, STUN, ICE), uso de servicios en la nube para alojamiento y múltiples capas de comprobaciones anti-análisis. Este conjunto hace que la detección resulte extremadamente difícil cuando solo se emplean medidas de protección superficiales.
Recomendaciones de protección
Contra Grandoreiro:
- Configurar una inspección profunda del tráfico WebRTC en el perímetro de la red, especialmente para las conexiones iniciadas fuera de los navegadores o de aplicaciones de videoconferencia conocidas;
- Implantar monitorización de DLL side-loading: rastrear la carga de DLL desde directorios no estándar por parte de aplicaciones legítimas;
- Bloquear o restringir a nivel corporativo el acceso a plataformas de intercambio de archivos (Mediafire y similares);
- Formar al personal para que reconozca correos de phishing con temática de actualización de Adobe Reader y software similar;
- Incluir en la monitorización los siguientes nombres de archivo: mingwm10.dll, libwebp.dll, libffi-6.dll, libpng15.dll; si se detectan en ubicaciones atípicas, iniciar una investigación.
Contra BTMOB:
- Prohibir la instalación de APK desde orígenes de terceros en los dispositivos móviles corporativos mediante políticas MDM;
- Auditar las aplicaciones con acceso a los Servicios de accesibilidad de Android: cualquier aplicación desconocida con dichos privilegios debe considerarse sospechosa;
- Informar a los usuarios sobre los esquemas de distribución a través de servicios de streaming falsos y plataformas de criptomonedas fraudulentas.
Ambas campañas ponen de manifiesto la misma tendencia: los grupos con motivación financiera camuflan cada vez más la actividad maliciosa como tráfico legítimo y reducen la barrera de entrada para operadores menos cualificados mediante herramientas listas para usar. Las organizaciones de las regiones afectadas deberían revisar de inmediato sus políticas de red en lo relativo a la inspección del tráfico WebRTC y auditar los dispositivos móviles de los empleados en busca de aplicaciones con privilegios excesivos de Accessibility Services.
