Zwei parallele Kampagnen von Banking-Trojanern — Grandoreiro für Windows und BTMOB RAT für Android — greifen derzeit aktiv Finanzorganisationen und Nutzer in Portugal, Spanien, Mexiko und Brasilien an. Nach Angaben von Forschenden von WatchGuard und ESET zeigen beide Malware-Familien eine deutliche Evolution: Grandoreiro tarnt seinen Traffic als legitime Videokonferenzen über WebRTC, und BTMOB hat sich zu einer vollwertigen „Malware-as-a-Service“-Plattform mit einem Payload-Builder ohne Programmierbedarf entwickelt.
Grandoreiro: DLL side-loading und Tarnung als Videokonferenzen
Grandoreiro ist ein seit 2016 aktiver Banking-Trojaner, der nach Angaben der Forschenden in der Lage ist, Zugangsdaten von Tausenden Finanzinstituten in 45 Ländern zu stehlen. Trotz Festnahmen und Versuchen der brasilianischen Behörden, seine Infrastruktur Anfang 2024 zu zerschlagen, weitet die Malware weiterhin das geografische Spektrum der Angriffe aus und verbessert die Mechanismen zum Schutz vor Analyse, einschließlich CAPTCHA-Prüfungen.
Ein zentrales technisches Merkmal der neuen Kampagne ist der Einsatz von DLL side-loading, um bösartige, in Delphi 11 entwickelte Bibliotheken auszuführen. WatchGuard identifizierte vier DLL-Dateien mit unterschiedlicher Funktionalität:
- mingwm10.dll und libwebp.dll — enthalten die Bibliothek sgcWebSockets und nutzen das Protokoll STUN (Session Traversal Utilities for NAT), um die öffentliche IP-Adresse und den Port eines hinter NAT befindlichen Geräts zu ermitteln und so eine Peer-to-Peer-Kommunikation über WebRTC zu ermöglichen;
- libffi-6.dll und libpng15.dll — verwenden das Protokoll ICE (Interactive Connectivity Establishment) zu ähnlichen Zwecken und enthalten direkte Verweise auf portugiesische Finanzinstitute.
Zu den Zielen der Kampagne zählen Abanca, Banco de Portugal, BBVA PT, Caixa Geral Depositos, Santander sowie die Fintech-Dienste Revolut und Wise.
Warum WebRTC ein effektiver Kanal für Angreifer ist
Die Wahl von WebRTC als Kommunikationskanal ist kein Zufall, sondern eine wohlüberlegte taktische Entscheidung. Videokonferenz-Traffic ist von Natur aus sehr „geräuschvoll“, schwer zu überwachen und WebRTC wird von den größten Plattformen für Videokommunikation breit eingesetzt. Das bedeutet, dass viele Netzwerksicherheitslösungen in Organisationen diesem Traffic bereits vertrauen und ihn keiner tiefgehenden Inspektion unterziehen. De facto verbergen Angreifer die Steuerkommunikation des Trojaners innerhalb eines Datenstroms, den die meisten Unternehmens-Firewalls ohne zusätzliche Prüfungen passieren lassen.
Zweite Welle: Phishing über Mediafire
WatchGuard registrierte außerdem eine parallele Kampagne, bei der Phishing-E-Mails ein ZIP-Archiv zustellen, das auf der Plattform Mediafire abgelegt ist. Das Archiv enthält ein obfuskiertes Visual-Basic-Skript, das eine ausführbare Datei mit einer gefälschten Benachrichtigung über ein Adobe-Reader-Update startet. Beim Klick auf die „Update“-Schaltfläche wird eine Reihe von Prüfungen zur Umgehung von Analysen durchgeführt, bevor die finale Payload zum Diebstahl von Bankdaten nachgeladen wird. Ein Teil der Taktiken überschneidet sich den Berichten zufolge mit der Grandoreiro-Kampagne, die Kaspersky im Oktober 2024 beschrieben hat.
BTMOB RAT: Android-Trojaner mit Geschäftsmodell
BTMOB ist ein Remote-Access-Trojaner für Android, der nach Angaben von ESET im Februar 2025 erstmals entdeckt wurde. Seine Fähigkeiten umfassen das Entsperren von Geräten, die Aufnahme von Screenshots, das Abfangen von Tastatureingaben, den automatisierten Diebstahl von Zugangsdaten über HTML-Injections beim Öffnen bestimmter Apps sowie vollständige Fernsteuerung. Eine spätere Iteration fügte laut Zimperium die Möglichkeit hinzu, Alipay-PIN-Codes abzufangen.
Die Verbreitung erfolgt über Social Engineering: Den Opfern werden Links zu gefälschten Websites geschickt, die Streaming-Dienste oder Plattformen für das Mining von Kryptowährungen imitieren. Von dort werden die Nutzer auf gefälschte Seiten des Google Play Store weitergeleitet, wo sie eine bösartige APK-Datei installieren. Nach der Installation fordert der Trojaner Zugriff auf die Android Accessibility Services an und nutzt diese, um zusätzliche Systemrechte zu erlangen, ohne dass weitere Interaktion mit dem Nutzer erforderlich ist.
Modell „Malware-as-a-Service“
Das wesentliche Unterscheidungsmerkmal von BTMOB gegenüber vielen ähnlichen Tools ist ein ausgereiftes kommerzielles Modell. Der Trojaner wird zusammen mit einer APK-Builder-Oberfläche verkauft, die es ermöglicht, neue Payloads zu generieren und Phishing-Köder für bestimmte Regionen anzupassen, ohne Code schreiben zu müssen. Laut Werbematerialien (die mit Vorsicht zu genießen sind, da sie von den Betreibern selbst stammen) kostet ein Abonnement 700 US-Dollar pro Monat, eine lebenslange Lizenz 1 200 US-Dollar und der vollständige Quellcode der Serverkomponente 7 000 US-Dollar, was es Käufern erlaubt, eine eigene Management-Infrastruktur aufzubauen.
Die Situation wird durch das Leak der BTMOB-Entwicklungswerkzeuge zusätzlich verschärft. Nach Angaben des italienischen Unternehmens D3Lab, das das Leak im Dezember 2025 analysierte, umfasste das Paket den Payload-Quellcode für Android, einen Dropper, die Builder-Umgebung, ein Operator-Panel für Windows, die Serverkomponente für das Management und alle erforderlichen Abhängigkeiten. D3Lab stellte fest, dass der BTMOB-Operator nicht nur als Entwickler, sondern als Dienstanbieter mit Lizenzierung, Authentifizierung und Versionskontrolle agiert. Die geleakten Versionen kursieren laut ESET bereits in Untergrundforen und auf Telegram, was den Kreis potenzieller Angreifer erheblich erweitert.
Bewertung der Auswirkungen
Beide Kampagnen stellen ein hohes Risiko für den Finanzsektor auf der Iberischen Halbinsel und in Lateinamerika dar. Grandoreiro bedroht Windows-Unternehmensnutzer, die Online-Banking portugiesischer und spanischer Institute sowie internationaler Fintech-Plattformen nutzen. BTMOB zielt auf einzelne Android-Nutzer in Brasilien ab, aber das MaaS-Modell und das Leak der Werkzeuge machen eine geografische Ausweitung praktisch unvermeidlich.
Besonders gefährlich ist die Kombination der Techniken in der Grandoreiro-Kampagne: Phishing, DLL side-loading, Missbrauch legitimer Protokolle (WebRTC, STUN, ICE), Nutzung von Cloud-Diensten für das Hosting und mehrstufige Anti-Analyse-Prüfungen. Diese Kombination macht eine Erkennung äußerst schwierig, wenn nur oberflächliche Schutzmechanismen eingesetzt werden.
Empfehlungen zum Schutz
Gegen Grandoreiro:
- Eine Deep Inspection des WebRTC-Verkehrs am Netzwerkrand konfigurieren, insbesondere für Verbindungen, die nicht aus Browsern oder bekannten Videokonferenz-Anwendungen initiiert werden;
- Monitoring für DLL side-loading implementieren: das Laden von DLLs aus unüblichen Verzeichnissen durch legitime Anwendungen verfolgen;
- Den Zugriff auf File-Sharing-Plattformen (Mediafire und ähnliche) auf Unternehmensebene blockieren oder einschränken;
- Mitarbeitende darin schulen, Phishing-E-Mails mit dem Thema Adobe-Reader-Updates und ähnlicher Software zu erkennen;
- Die folgenden Dateinamen in das Monitoring aufnehmen: mingwm10.dll, libwebp.dll, libffi-6.dll, libpng15.dll – bei Auffinden an untypischen Speicherorten eine Untersuchung einleiten.
Gegen BTMOB:
- Die Installation von APKs aus Drittquellen auf unternehmenseigenen Mobilgeräten per MDM-Richtlinien verbieten;
- Apps mit Zugriff auf die Android Accessibility Services auditieren – jede unbekannte Anwendung mit solchen Rechten sollte als verdächtig eingestuft werden;
- Nutzer über die Verbreitungsmuster über gefälschte Streaming-Dienste und Krypto-Plattformen aufklären.
Beide Kampagnen verdeutlichen denselben Trend: finanziell motivierte Gruppen tarnen bösartige Aktivitäten zunehmend als legitimen Traffic und senken durch fertige Tools die Einstiegshürden für weniger versierte Operatoren. Organisationen in den betroffenen Regionen sollten umgehend ihre Netzwerk-Richtlinien im Hinblick auf die Inspektion von WebRTC-Verkehr überprüfen und die Mobilgeräte der Mitarbeitenden auf Apps mit übermäßigen Accessibility-Services-Rechten auditieren.
