América Latina e Europa se tornaram alvo de duas campanhas de banking trojan, projetadas para infectar dispositivos Windows e Android com o malware Grandoreiro e o BTMOB, respectivamente.
A informação consta de novos achados da WatchGuard e da ESET, que identificaram as duas famílias de malware sendo usadas para atingir empresas na Espanha, em Portugal e no México, além de usuários móveis no Brasil.
A campanha do Grandoreiro “usa a técnica de DLL Side-Loading, abusando de quatro softwares diferentes, e mira bancos em Portugal”, afirmou o pesquisador da WatchGuard Euler Neto.
Ativo desde 2016, o Grandoreiro é um malware bancário em constante evolução, capaz de roubar credenciais associadas a milhares de instituições financeiras em 45 países e territórios.
Sua distribuição geralmente ocorre por meio de e-mails de phishing, que orientam as vítimas a clicar em links suspeitos.
Apesar de algumas prisões e das tentativas das autoridades brasileiras de desmantelar sua infraestrutura no início de 2024, o malware continuou ampliando seu alcance de alvos e passou a incorporar verificações de CAPTCHA para dificultar análises.
A campanha mais recente identificada pela WatchGuard usa DLL Side-Loading para executar DLLs desenvolvidas em Delphi 11, uma linguagem de programação comumente usada em malware voltado à região.
Duas dessas DLLs, mingwm10.dll e libwebp.dll, incorporam a biblioteca sgcWebSockets, voltada a WebSocket e comunicação em tempo real, para comunicações peer-to-peer (P2P) e WebRTC.
“As DLLs associadas a este caso usam o protocolo Session Traversal Utilities for NAT (STUN), que ajuda dispositivos atrás de um NAT a descobrir seu endereço IP público e número de porta, permitindo a comunicação peer-to-peer”, explicou a WatchGuard.
“A vantagem para os threat actors ao usar tráfego de videoconferência em suas campanhas está no fato de esse tráfego ser ruidoso, difícil de monitorar e no uso amplo do WebRTC em todas as principais plataformas de videoconferência.”
Outras duas DLLs associadas à campanha, libffi-6.dll e libpng15.dll, usam o protocolo Interactive Connectivity Establishment (ICE) em vez de STUN para alcançar o mesmo objetivo.
Esses arquivos citam especificamente bancos e instituições financeiras que operam em Portugal, como Abanca, Banco de Portugal, BBVA PT, Caixa Geral Depósitos e Santander, entre outros.
Também estão entre os alvos a Revolut e a Wise.
A WatchGuard também informou ter identificado outra campanha em que e-mails de phishing são usados para entregar um arquivo ZIP hospedado no MediaFire.
O arquivo contém um script obfuscado em Visual Basic, responsável por iniciar um executável que exibe uma mensagem pedindo aos usuários que atualizem o Adobe Reader por meio de um botão embutido no alerta.
Ao clicar, a vítima aciona uma série de verificações destinadas a evitar detecção e dificultar a análise do malware, antes da execução do payload final, voltado ao roubo de informações bancárias e dados sensíveis.
Parte das táticas se sobrepõe a uma campanha anterior do Grandoreiro detalhada pela Kaspersky em outubro de 2024.
“A história maior aqui não é apenas que o Grandoreiro continua ativo”, disse a WatchGuard.
“É que grupos de ameaça motivados financeiramente seguem se adaptando rapidamente, reutilizando serviços legítimos e se escondendo em padrões de tráfego nos quais muitas organizações já podem confiar.”
“Ao combinar phishing, DLL Side-Loading, componentes relacionados ao WebRTC, abuso de serviços em cloud e verificações anti-análise, essas campanhas mostram como o malware bancário está ficando mais difícil de detectar com defesas superficiais.”
BTMOB oferece ferramentas prontas para campanha
A divulgação coincide com um relatório da ESET sobre o BTMOB, um trojan de acesso remoto (RAT) para Android que surgiu em fevereiro de 2025 com recursos para desbloquear dispositivos, capturar capturas de tela, registrar toques de teclado, automatizar o roubo de credenciais por meio de injeções HTML quando certos apps são abertos e permitir controle remoto.
Uma versão posterior adicionou a capacidade de capturar PINs do Alipay.
“O RAT também é vendido com uma interface de builder de APK, permitindo que qualquer pessoa gere novos payloads e adapte iscas de phishing para regiões específicas com rapidez e sem escrever código”, afirmou o pesquisador da ESET Daniel Cunha Barbosa.
Essas ferramentas prontas reduzem ainda mais o tempo e o esforço necessários para comprometer totalmente um dispositivo.
O principal meio de disseminação do malware é a engenharia social, com o envio de links para sites falsos que se passam por serviços de streaming ou plataformas de mineração de criptomoedas.
A partir desses sites, as vítimas são redirecionadas para falsas páginas da Google Play Store, que induzem à instalação de um arquivo APK contendo o malware.
Depois de instalado, o malware tenta obter permissões para usar os serviços de acessibilidade do Android e, em seguida, explora esse acesso para conceder a si próprio privilégios adicionais no sistema, sem qualquer interação do usuário.
Acredita-se que o BTMOB seja o sucessor das famílias CraxsRAT, CypherRAT e SpySolr.
Em maio de 2026, a versão mais recente do malware era a 4.5.5, que afirma oferecer proteção aprimorada para APK e compatibilidade com as atualizações mais recentes do Google Play.
“Esta atualização é toda sobre velocidade e estabilidade”, publicou em 1º de maio de 2026 um perfil no X supostamente ligado ao malware.
“Expandimos nossa infraestrutura e refinamos o builder para mantê-lo à frente dos patches de segurança móvel mais recentes.”
O trojan é anunciado por um threat actor chamado EVLF (@craxso) por US$ 700 por mês.
Segundo um vídeo no YouTube compartilhado pelo autor do malware em 1º de maio de 2026, uma licença vitalícia custa US$ 1.200.
O código-fonte completo dos servidores é vendido por US$ 7.000, permitindo que clientes hospedem os painéis de command and control (C2) em sua própria infraestrutura.
Ainda nesta semana, o perfil no X compartilhou um link para um artigo no Medium sobre “como o BTMOB RAT está transformando celulares Android em armas controladas remotamente”, afirmando que ele vem “evoluindo rapidamente” desde o início de 2025.
“Ele entra por sites de phishing, obtém acesso aos serviços de acessibilidade e transforma seu telefone em um fantoche”, diz o artigo.
“Hackers observam sua tela ao vivo.
Eles roubam dados bancários.
Chegam até a minerar criptomoedas em segundo plano enquanto você rola o Instagram.”
Curiosamente, o artigo foi publicado por uma conta chamada “CraxsRAT Main developer”.
Na biografia, a conta afirma ser “um cibercriminoso habilidoso e engenhoso, que construiu uma empresa lucrativa de cibercrime vendendo malware RAT altamente avançado para outros threat actors”.
O fato de o BTMOB ser vendido no modelo malware-as-a-service (MaaS) tende a reduzir a barreira de entrada para threat actors menos sofisticados.
Isso se agrava com relatos de que versões vazadas já circulam em fóruns clandestinos e no Telegram, ampliando o risco de abuso por imitadores e outros criminosos em ascensão.
“O acesso raramente permanece contido para sempre, e a ferramenta pode migrar para mercados secundários por revenda, troca ou compartilhamento em grupos fechados”, afirmou a ESET.
“Famílias de malware concorrentes também podem copiar alguns elementos que facilitam a personalização de payloads e a gestão de campanhas para criminosos menos experientes.”
A empresa italiana de cibersegurança D3Lab, em uma análise do toolkit vazado de desenvolvimento do BTMOB RAT publicada em dezembro de 2025, informou que o material incluía o código-fonte do payload para Android, seu dropper, um ambiente de builder, o painel do operador para Windows, o backend do C2 e todas as dependências de software necessárias para implantar a plataforma.
“O vazamento do BTMOB oferece uma rara visão sobre o funcionamento interno de um ecossistema moderno de Android RAT-as-a-Service”, observou a D3Lab na época.
“Isso demonstra que o threat actor atua não apenas como um desenvolvedor vendendo um toolkit, mas como um provedor de serviços que impõe licenciamento, autenticação e controle de versões sobre seus clientes.”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...