Grandoreiro i BTMOB RAT: nowe kampanie malware bankowego atakują Windows i Androida

Co znajdziesz w tym artykule?

1 Wprowadzenie do problemu / definicja
2 W skrócie
3 Kontekst / historia
4 Analiza techniczna
5 Konsekwencje / ryzyko
6 Rekomendacje
7 Podsumowanie
8 Źródła

Wprowadzenie do problemu / definicja

Nowe kampanie z użyciem Grandoreiro oraz BTMOB RAT potwierdzają, że cyberprzestępcy konsekwentnie rozwijają narzędzia do kradzieży danych finansowych, przejmowania kont i zdalnej kontroli nad urządzeniami ofiar. Obie rodziny złośliwego oprogramowania są ukierunkowane na sektor finansowy, ale działają w odmiennych środowiskach: Grandoreiro atakuje systemy Windows, natomiast BTMOB RAT koncentruje się na urządzeniach z Androidem.

W praktyce oznacza to rozszerzenie powierzchni ataku na dwa najważniejsze punkty styku użytkownika z usługami bankowymi. Przestępcy łączą phishing, techniki unikania detekcji, nadużycia legalnych usług oraz mechanizmy zdalnego sterowania, aby zwiększyć skuteczność kampanii i utrudnić ich wykrycie.

W skrócie

Grandoreiro pozostaje aktywnym trojanem bankowym dla Windows i rozwija zestaw technik utrudniających analizę, w tym DLL side-loading, wykorzystanie usług chmurowych oraz komunikację opartą na WebRTC i STUN. Celem malware jest pozyskanie danych uwierzytelniających, informacji bankowych i kontroli nad sesją użytkownika.

BTMOB RAT to z kolei mobilny trojan zdalnego dostępu dla Androida, dystrybuowany przez fałszywe strony i spreparowane pakiety APK. Istotnym elementem tego zagrożenia jest model MaaS, który obniża próg wejścia dla operatorów kampanii i pozwala szybko uruchamiać nowe warianty ataków.

Grandoreiro wykorzystuje phishing i DLL side-loading w środowisku Windows.
BTMOB RAT atakuje Androida przez fałszywe strony i instalację APK spoza oficjalnych źródeł.
Oba zagrożenia są nastawione na kradzież danych finansowych i przejęcie dostępu do usług bankowych.
Komodytyzacja narzędzi ataku zwiększa skalę ryzyka dla użytkowników i instytucji finansowych.

Kontekst / historia

Grandoreiro to dobrze znana rodzina malware bankowego, od lat obecna w kampaniach wymierzonych zwłaszcza w użytkowników i instytucje finansowe w Ameryce Łacińskiej oraz Europie. Mimo wcześniejszych analiz branżowych i działań organów ścigania, malware nadal ewoluuje i pojawia się w nowych wariantach dostosowanych do lokalnych realiów operacyjnych.

Charakterystyczną cechą Grandoreiro jest stałe udoskonalanie łańcucha infekcji oraz wykorzystywanie legalnie wyglądających komponentów i procesów. To sprawia, że zagrożenie pozostaje istotne zarówno dla zespołów SOC, jak i dla dostawców usług antyfraudowych.

BTMOB RAT reprezentuje nowszą falę mobilnych zagrożeń finansowych. W krótkim czasie zyskał funkcje typowe dla zaawansowanych trojanów bankowych, takie jak przechwytywanie ekranu, keylogging, zdalne sterowanie, nadużywanie usług dostępności oraz osadzanie fałszywych ekranów logowania. Dodatkowo jego rozwój w modelu abonamentowym pokazuje, że mobilny malware staje się pełnoprawnym elementem dojrzałego ekosystemu cyberprzestępczego.

Analiza techniczna

W przypadku Grandoreiro jedną z kluczowych technik jest DLL side-loading. Atakujący wykorzystują legalne aplikacje, do których podstawiają złośliwe biblioteki DLL ładowane następnie w zaufanym kontekście procesu. Taki mechanizm utrudnia wykrycie, szczególnie w środowiskach polegających głównie na reputacji plików lub prostych wskaźnikach zachowania.

Dodatkowym utrudnieniem dla obrońców jest warstwa komunikacyjna. Wybrane warianty Grandoreiro korzystają z bibliotek obsługujących WebSocket, P2P i WebRTC, a do zestawiania połączeń używają protokołów STUN oraz ICE. W rezultacie ruch sieciowy malware może przypominać legalną komunikację aplikacji czasu rzeczywistego, co zwiększa poziom szumu w telemetrii i utrudnia korelację incydentów.

Łańcuch infekcji Grandoreiro nadal opiera się także na phishingu. Ofiary otrzymują wiadomości z archiwami ZIP lub odsyłaczami do zasobów hostowanych w popularnych usługach. Po uruchomieniu skryptu inicjowane są kolejne komponenty, komunikaty socjotechniczne oraz testy środowiska pod kątem analizy i sandboxingu, a dopiero potem wdrażany jest właściwy ładunek odpowiedzialny za kradzież danych.

BTMOB RAT działa w innym modelu, ale jego skuteczność jest równie wysoka. Kampania zwykle rozpoczyna się od fałszywych witryn podszywających się pod usługi streamingowe, inwestycyjne lub kryptowalutowe. Następnie użytkownik trafia do spreparowanego widoku przypominającego sklep z aplikacjami i jest nakłaniany do instalacji APK spoza oficjalnego kanału dystrybucji.

Po instalacji malware żąda uprawnień do usług dostępności Androida. To newralgiczny moment, ponieważ takie zezwolenia umożliwiają automatyzację działań na ekranie, odczyt elementów interfejsu, przechwytywanie treści, nadawanie dalszych uprawnień oraz przejmowanie sesji użytkownika. Możliwość wyświetlania nakładek HTML i fałszywych ekranów logowania znacząco zwiększa skuteczność kradzieży poświadczeń do aplikacji bankowych.

Niepokojący jest również model biznesowy BTMOB RAT. Malware oferowane jest wraz z builderem APK, panelem operatorskim i możliwością dostosowania kampanii do konkretnego kraju lub scenariusza socjotechnicznego. To oznacza, że nawet mniej zaawansowani przestępcy mogą uruchamiać własne operacje z użyciem gotowej infrastruktury i rozwijanych centralnie komponentów.

Konsekwencje / ryzyko

Dla organizacji finansowych i ich klientów omawiane kampanie oznaczają wzrost ryzyka oszustw, przejęcia kont, wycieku danych oraz nadużyć autoryzacyjnych. Grandoreiro może prowadzić do kradzieży danych logowania, monitorowania aktywności użytkownika i wykonywania operacji na rachunkach z użyciem skradzionych sesji lub poświadczeń.

W przypadku BTMOB RAT zagrożenie obejmuje jeszcze szerszy zakres zasobów. Przejęty smartfon może dać atakującemu dostęp do bankowości mobilnej, kodów MFA, wiadomości SMS, komunikatorów, poczty, portfeli cyfrowych oraz danych firmowych synchronizowanych z urządzeniem. Jeśli malware uzyska wysokie uprawnienia dostępności, część działań może być realizowana automatycznie i pozostać niezauważona przez użytkownika.

Dodatkowym czynnikiem ryzyka jest komodytyzacja cyberprzestępczości. Gdy builder, panel zarządzania i gotowe szablony kampanii są oferowane jako usługa, rośnie liczba operatorów, a poziom techniczny kampanii pozostaje relatywnie wysoki. To zwiększa presję na zespoły bezpieczeństwa, fraud detection, mobile security i threat intelligence.

Rekomendacje

Organizacje powinny wzmocnić ochronę punktów końcowych Windows pod kątem nadużyć związanych z DLL side-loading. W praktyce oznacza to monitorowanie relacji proces–biblioteka, analizę ścieżek ładowania DLL, wykrywanie uruchamiania bibliotek z nietypowych lokalizacji oraz wdrożenie polityk allowlisting dla krytycznych aplikacji.

Warto rozszerzyć detekcję o korelację ruchu WebRTC, STUN i ICE z zachowaniem procesów, które nie powinny generować takiej komunikacji. Istotna pozostaje także silna ochrona antyphishingowa, sandboxowanie załączników oraz ograniczanie wykonywania skryptów i makr w środowiskach, gdzie nie są one niezbędne biznesowo.

Dla urządzeń z Androidem kluczowe jest egzekwowanie polityki instalacji aplikacji wyłącznie z zaufanych źródeł, blokowanie sideloadingu tam, gdzie to możliwe, oraz monitorowanie nadużyć usług dostępności. W środowiskach korporacyjnych ważną rolę odgrywają rozwiązania MDM lub EMM pozwalające ograniczać instalację nieautoryzowanych pakietów APK i wymuszać aktualizacje systemu oraz aplikacji.

Banki i dostawcy usług finansowych powinni rozwijać mechanizmy wykrywania oszustw oparte na analizie behawioralnej, ocenie ryzyka sesji, korelacji urządzeń i sygnałach mobilnych. Samo MFA może być niewystarczające, jeśli urządzenie użytkownika zostało przejęte i atakujący może symulować interakcje w aplikacji.

Aktualizować reguły detekcji dla Grandoreiro i mobilnych RAT.
Łączyć dane z EDR, MTD, bram pocztowych i systemów antyfraudowych.
Analizować kampanie phishingowe wykorzystujące legalne usługi hostingowe.
Monitorować wycieki builderów, paneli i artefaktów MaaS.
Prowadzić ćwiczenia reagowania obejmujące przejęcie urządzenia mobilnego i kradzież sesji bankowej.

Podsumowanie

Grandoreiro i BTMOB RAT pokazują dwa uzupełniające się kierunki rozwoju współczesnych kampanii finansowych: ukrywanie złośliwej aktywności w legalnie wyglądających procesach oraz upraszczanie cyberprzestępczości przez modele usługowe. W środowisku Windows rośnie znaczenie side-loadingu, komunikacji przypominającej legalny ruch oraz technik antyanalitycznych, a na Androidzie coraz większą rolę odgrywają trojany przejmujące kontrolę nad urządzeniem przez usługi dostępności.

Dla obrońców kluczowe pozostaje podejście wielowarstwowe, obejmujące ochronę poczty, punktów końcowych, urządzeń mobilnych i systemów antyfraudowych. Tego typu kampanie nie są już wyłącznie problemem użytkownika końcowego, lecz pełnoprawnym wyzwaniem dla organizacji i całego sektora finansowego.

Źródła

Grandoreiro Malware and BTMOB RAT Campaigns Target Windows and Android Users — https://thehackernews.com/2026/05/grandoreiro-malware-and-btmob-rat.html
WatchGuard: analysis of Grandoreiro campaigns — https://www.watchguard.com/
ESET WeLiveSecurity: research on BTMOB RAT — https://www.welivesecurity.com/
D3Lab: analysis of leaked BTMOB RAT toolkit — https://www.d3lab.net/
Kaspersky: Grandoreiro malware research — https://www.kaspersky.com/