拉丁美洲和歐洲正成為兩波銀行木馬攻擊的目標,這些攻擊旨在分別感染Windows和Android設備,植入Grandoreiro和BTMOB惡意軟體。
根據WatchGuard和ESET的最新發現,這兩類惡意軟體家族被用於鎖定西班牙、葡萄牙和墨西哥的公司,以及巴西的行動用戶。
WatchGuard研究員Euler Neto表示,Grandoreiro活動「利用DLL側載技術,濫用四種不同的軟體,目標鎖定葡萄牙的銀行」。
Grandoreiro自2016年以來一直活躍,是一種不斷演進的銀行木馬,能夠竊取與45個國家和地區數千家金融機構相關的憑證。它通常透過網路釣魚電子郵件分發,指示收件者點擊可疑連結。
儘管巴西當局在2024年初進行了一些逮捕行動並試圖瓦解其基礎設施,但該惡意軟體仍持續擴大其目標範圍,同時整合了CAPTCHA驗證以抵抗分析。
WatchGuard標記的最新活動被發現利用DLL側載來啟動以Delphi 11開發的DLL,Delphi 11是一種常用於針對該地區惡意軟體的程式語言。其中兩個DLL檔案——mingwm10.dll和libwebp.dll——被發現整合了sgcWebSockets,這是一個用於點對點(P2P)和WebRTC通訊的WebSocket和即時通訊函式庫。
WatchGuard解釋說:「與此案例相關的DLL使用NAT會話穿透工具(STUN)協定,這是一種幫助NAT後面的設備發現其公共IP位址和連接埠號的協定,從而實現點對點通訊。」
「威脅行為者在活動中使用網路會議流量的優勢在於,這種流量很嘈雜,難以監控,而且WebRTC普遍用於所有主要的網路會議平台。」
與該活動相關的另外兩個DLL是libffi-6.dll和libpng15.dll,它們使用互動式連接建立(ICE)協定而非STUN來達成相同目標。這些檔案特別提到了在葡萄牙營運的銀行和金融機構,例如Abanca、Banco de Portugal、BBVA PT、Caixa Geral Depositos和Santander等。此外,Revolut和Wise也成為目標。
WatchGuard還表示,他們識別出另一項活動,其中使用網路釣魚電子郵件來傳遞託管在Mediafire上的ZIP壓縮檔。該檔案包含一個經過混淆的Visual Basic Script,負責啟動一個可執行檔,該檔案會顯示一則訊息,要求用戶點擊警報中嵌入的按鈕來更新Adobe Reader。
執行此操作會觸發一系列旨在避免偵測和複雜化惡意軟體分析的檢查,然後啟動最終的酬載,以竊取銀行資訊和敏感數據。其中一些策略與Kaspersky在2024年10月詳細介紹的先前Grandoreiro活動有所重疊。
WatchGuard表示:「這裡更大的故事不僅僅是Grandoreiro仍然活躍。而是有經濟動機的威脅團體持續快速適應,重複使用合法服務,並隱藏在許多組織可能已經信任的流量模式中。」
「透過結合網路釣魚、DLL側載、WebRTC相關組件、雲端服務濫用和反分析檢查,這些活動展示了銀行木馬如何變得越來越難以僅靠表面防禦來發現。」
此披露恰逢ESET發布關於BTMOB的報告,BTMOB是一款Android遠端存取木馬(RAT),於2025年2月首次出現,具備解鎖設備、擷取螢幕截圖、記錄擊鍵、透過HTML注入自動化憑證竊取(在開啟特定應用程式時觸發)以及啟用遠端控制等功能。後續版本增加了擷取Alipay PIN碼的能力。
ESET研究員Daniel Cunha Barbosa表示:「該RAT還附帶一個APK建構器介面,允許任何人快速生成新的酬載並為特定地區調整網路釣魚誘餌,而無需編寫任何程式碼。」
BTMOB活動主要在巴西和拉丁美洲的攻擊中被觀察到,但該惡意軟體的網路釣魚分發和設備接管能力,加上現成的應用程式建構工具,使其成為一個強大的威脅,其風險遠超該地區,並降低了進行完整設備損壞所需的時間和精力,斯洛伐克安全廠商警告。
該惡意軟體傳播的主要方式是透過社交工程,用戶會收到指向偽裝成串流服務、加密貨幣挖礦平台和其他可信線上服務的虛假網站連結。
從這些網站,受害者會被導向假的Google Play商店應用程式列表,誘騙他們安裝包含惡意軟體的Android套件(APK)檔案。一旦安裝,惡意軟體就會尋求使用Android輔助服務的權限,然後利用這些權限在未經用戶互動的情況下自行授予額外的系統存取權。
BTMOB被認為是CraxsRAT、CypherRAT和SpySolr家族的後繼者。截至2026年5月,該惡意軟體的最新版本(BTMOB v4.5.5)聲稱提供增強的APK保護和與最新Google Play更新的相容性。
據稱與該惡意軟體相關的X帳戶於2026年5月1日發布:「這次更新完全是關於速度和穩定性。我們已經擴大了基礎設施並改進了建構器,以讓您領先最新的行動安全補丁。」
該木馬由名為EVLF(@craxso)的威脅行為者以每月700美元的價格進行廣告宣傳。根據惡意軟體作者於2026年5月1日分享的YouTube影片,終身授權的價格為1200美元。完整的伺服器原始碼售價為7000美元,允許客戶將命令與控制(C2)面板託管在自己的基礎設施上。
就在本週,該X帳戶還分享了一個關於「BTMOB RAT如何將Android手機變成遙控武器」的Medium文章連結,並自2025年初以來一直在「快速演進」。
文章寫道:「它透過網路釣魚網站潛入,獲取輔助服務,並將您的手機變成傀儡。駭客會即時監控您的螢幕。他們竊取銀行詳細資訊。他們甚至在您瀏覽Instagram時在後台挖礦。」
有趣的是,這篇文章是由一個名為「CraxsRAT主要開發者」的帳戶發布的。該帳戶的簡介聲稱他們是「一位技術精湛且資源豐富的網路罪犯,透過向其他威脅行為者出售高度先進的RAT惡意軟體,建立了一個有利可圖的網路犯罪企業。」
BTMOB以惡意軟體即服務(MaaS)模式銷售的事實,增加了對不太複雜的威脅行為者而言的進入門檻。此外,據報導,洩漏的版本已在地下論壇和Telegram上流傳,增加了被模仿者和其他有抱負的罪犯濫用的風險。
ESET表示:「存取權很少能永遠保持在受控範圍內,該工具可以透過轉售、交換或在封閉群組內共享進入次級市場。競爭性的惡意軟體家族也可以複製一些元素,使惡意軟體酬載的客製化和活動管理對技術較差的罪犯來說更容易。」
義大利網路安全公司D3Lab在2025年12月發布的對洩漏的BTMOB RAT開發工具包的分析中表示,該工具包包含Android酬載原始碼、其投放器、建構器環境、Windows操作員面板、C2後端以及部署該平台所需的所有軟體依賴項。
D3Lab當時指出:「BTMOB洩漏提供了對現代Android RAT即服務生態系統內部運作的罕見視角。它表明威脅行為者不僅僅是銷售工具包的開發者,而是作為一個服務提供者,對其客戶實施授權、驗證和版本控制。」


