Grandoreiro 恶意软件与 BTMOB RAT 活动针对 Windows 和 Android 用户

根据 WatchGuard 和 ESET 的最新发现，拉丁美洲和欧洲成为两个银行木马活动的目标，这两个活动分别旨在使 Windows 和 Android 设备感染 Grandoreiro 和 BTMOB 恶意软件。
研究人员观察到这两个恶意软件家族被用于针对西班牙、葡萄牙和墨西哥的公司，以及巴西的移动用户。

WatchGuard 研究员 Euler Neto 表示：“Grandoreiro 活动‘滥用四种不同软件使用 DLL Side-Loading 技术，针对葡萄牙的银行。’”

Grandoreiro 自 2016 年起活跃，是一种不断演进的银行恶意软件，能够窃取全球 45 个国家和地区数千家金融机构的凭证。它通常通过钓鱼邮件传播，指示收件人点击可疑链接。
尽管 2024 年初巴西当局进行了一些逮捕并试图瓦解其基础设施，但该恶意软件仍在继续扩大其目标范围，并加入了 CAPTCHA 检查以抵抗分析。

WatchGuard 标记的最新活动被发现利用 DLL Side-Loading 启动使用 Delphi 11 开发的 DLL，这是一种常用于针对该地区恶意软件的编程语言。其中两个 DLL（mingwm10.dll 和 libwebp.dll）被发现集成了 sgcWebSockets（一个 WebSocket 和实时通信库），用于点对点（P2P）和 WebRTC 通信。

WatchGuard 解释道：“与该案例相关的 DLL 使用了用于 NAT 的会话遍历实用程序（STUN）协议，该协议帮助 NAT 后的设备发现其公网 IP 地址和端口号，从而实现点对点通信。”
“威胁行为者在活动中使用网络会议流量的优势在于，这种流量嘈杂、难以监控，且 WebRTC 在所有主流网络会议平台中被广泛使用。”

与该活动相关的另外两个 DLL 是 libffi-6.dll 和 libpng15.dll，它们使用交互式连接建立（ICE）协议而不是 STUN 来实现相同的目标。这些文件专门引用了在葡萄牙运营的银行和金融机构，如 Abanca、Banco de Portugal、BBVA PT、Caixa Geral Depositos 和 Santander 等。Revolut 和 Wise 也遭到针对。

WatchGuard 还表示，他们发现了另一项活动，其中使用钓鱼邮件投递托管在 Mediafire 上的 ZIP 压缩包。该文件包含一个混淆的 Visual Basic Script，负责启动一个可执行文件，该文件显示一条消息，要求用户点击警报中嵌入的按钮来更新 Adobe Reader。
这样做会触发一系列旨在避免检测和增加恶意软件分析难度的检查，然后再启动最终负载以窃取银行信息和敏感数据。其中一些战术与卡巴斯基在 2024 年 10 月详述的先前 Grandoreiro 活动重叠。

WatchGuard 表示：“这里更大的故事不仅仅是 Grandoreiro 仍然活跃，而是出于经济动机的威胁组织继续快速适应、重用合法服务，并隐藏在许多组织可能已经信任的流量模式中。”
“通过结合钓鱼、DLL Side-Loading、WebRTC 相关组件、云服务滥用和反分析检查，这些活动表明仅靠表面防御已越来越难发现银行木马。”

BTMOB 提供现成的活动工具
这一披露与 ESET 关于 BTMOB 的报告同时发布。BTMOB 是一种 Android 远程访问木马（RAT），于 2025 年 2 月首次出现，具有解锁设备、捕获屏幕截图、记录键盘击键、在打开特定应用时通过 HTML 注入自动窃取凭证以及启用远程控制的功能。后续迭代引入了捕获支付宝 PIN 码的能力。

ESET 研究员 Daniel Cunha Barbosa 表示：“该 RAT 还附带一个 APK 构建器接口，允许任何人快速生成新负载并针对特定地区调整钓鱼诱饵，而无需编写任何代码。”
这些现成的工具进一步降低了进行完整设备入侵所需的时间和精力。该恶意软件传播的主要方法是通过社会工程学，用户会收到指向假冒流媒体服务或加密货币挖矿平台的虚假网站链接。

从这些网站，受害者被引导至虚假的 Google Play Store 应用列表，诱骗他们安装包含恶意软件的 Android 包（APK）文件。安装后，恶意软件会寻求使用 Android 无障碍服务的权限，然后利用该权限在无需任何用户交互的情况下授予自身额外的系统访问权限。

BTMOB 被认为是 CraxsRAT、CypherRAT 和 SpySolr 家族的继任者。截至 2026 年 5 月，该恶意软件的最新版本为 4.5.5，声称提供增强的 APK 保护并与最新的 Google Play 更新兼容。

一个据称与该恶意软件相关的 X 账号在 2026 年 5 月 1 日发布称：“此次更新完全关乎速度和稳定性。我们扩展了基础设施并改进了构建器，以让您领先于最新的移动安全补丁。”
该特洛伊木马由名为 EVLF（@craxso）的威胁行为者以每月 700 美元的价格出售。根据恶意软件作者于 2026 年 5 月 1 日分享的一段 YouTube 视频，终身许可证价值 1200 美元。完整的服务器源代码售价 7000 美元，允许客户在自己的基础设施上托管命令与控制（C2）面板。

就在本周，该 X 账号还分享了一篇 Medium 文章的链接，标题为“BTMOB RAT 如何将 Android 手机变成远程控制的武器”，并声称自 2025 年初以来“发展迅速”。
文章写道：“它通过钓鱼网站潜入，获取无障碍服务，并将您的手机变成傀儡。黑客实时观看您的屏幕。他们窃取银行详细信息。他们甚至在您浏览 Instagram 时在后台挖掘加密货币。”

有趣的是，该文章由名为“CraxsRAT 主要开发者”的账号发布。该账号简介声称他们是“一名技术娴熟且足智多谋的网络罪犯，通过向其他威胁行为者出售高度先进的 RAT 恶意软件建立了有利可图的网络犯罪企业。”

BTMOB 以恶意软件即服务（MaaS）模式出售，这可能会降低经验不足的威胁行为者的入门门槛。此外，有报道称泄露版本已经在地下论坛和 Telegram 上流传，增加了被模仿者和其他野心勃勃的罪犯滥用的风险。

ESET 表示：“访问权很少能永远保持封闭，该工具可以通过转售、易物或在封闭群组内共享进入二级市场。竞争的恶意软件家族也可以复制某些元素，使负载定制和活动管理对技术较差的罪犯来说更容易。”

意大利网络安全公司 D3Lab 在 2025 年 12 月发布的一份对泄露的 BTMOB RAT 开发工具包的分析中表示，该工具包包括 Android 负载源代码、其 Dropper、构建器环境、Windows 操作员面板、C2 后端以及部署该平台所需的所有软件依赖项。
D3Lab 当时指出：“BTMOB 的泄露提供了对现代 Android RAT-as-a-Service 生态系统内部运作的罕见视角。它表明，威胁行为者不仅仅是一个出售工具包的开发者，更是一个对其客户强制执行许可、身份验证和版本控制的服务提供商。”