**WatchGuard** und **ESET** haben aktive Kampagnen aufgedeckt, die den Grandoreiro-Banking-Trojaner nutzen, um Unternehmen in Spanien, Portugal und Mexiko ins Visier zu nehmen, sowie die BTMOB Android RAT gegen mobile Nutzer in Brasilien. ### Grandoreiro: DLL Side-Loading und WebRTC-Verschleierung Die seit 2016 aktive Grandoreiro-Kampagne nutzt DLL-Side-Loading-Techniken und missbraucht mehrere Softwarepakete, um Banken in Portugal anzugreifen. Laut WatchGuard-Forscher Euler Neto entwickelt sich diese Banking-Malware ständig weiter und kann Anmeldeinformationen von Tausenden von Finanzinstituten in 45 Ländern stehlen. Die Verbreitung erfolgt typischerweise über Phishing-E-Mails mit bösartigen Links. Trotz früherer Störversuche hat Grandoreiro seine Zielreichweite erweitert und CAPTCHA-Prüfungen implementiert, um Analysen zu umgehen. Die neueste Kampagne nutzt DLL-Side-Loading, um in Delphi 11 entwickelte DLLs zu starten. Zwei DLLs, `mingwm10.dll` und `libwebp.dll`, integrieren `sgcWebSockets`, eine WebSocket- und Echtzeitkommunikationsbibliothek für P2P- und WebRTC-Kommunikation. WatchGuard stellt fest, dass die DLLs das Session Traversal Utilities for NAT (STUN)-Protokoll verwenden, das Peer-to-Peer-Kommunikation ermöglicht. Die Nutzung von Webkonferenzverkehr hilft Bedrohungsakteuren, ihre bösartigen Aktivitäten zu verbergen. Andere mit der Kampagne verbundene DLLs (`libffi-6.dll` und `libpng15.dll`) verwenden das Interactive Connectivity Establishment (ICE)-Protokoll, um dasselbe Ziel zu erreichen. Diese Dateien zielen speziell auf Banken und Finanzinstitute in Portugal ab, darunter **Abanca**, **Banco de Portugal**, **BBVA PT**, **Caixa Geral Depositos** und **Santander**, sowie auf **Revolut** und **Wise**. WatchGuard identifizierte auch eine weitere Grandoreiro-Kampagne, die Phishing-E-Mails verwendet, um ein auf Mediafire gehostetes ZIP-Archiv zu liefern. Dieses Archiv enthält ein verschleiertes Visual Basic Script, das eine ausführbare Datei startet und Benutzer auffordert, **Adobe Reader** zu aktualisieren. Dies löst eine Reihe von Prüfungen aus, um die Erkennung zu vermeiden, bevor die endgültige Payload zum Stehlen von Bankinformationen bereitgestellt wird. Diese Taktiken stimmen mit einer früheren Grandoreiro-Kampagne überein, die von **Kaspersky** im Oktober 2024 detailliert beschrieben wurde. "Die größere Geschichte hier ist nicht nur, dass Grandoreiro noch aktiv ist", sagte WatchGuard. "Es ist, dass finanziell motivierte Bedrohungsgruppen sich weiterhin schnell anpassen, legitime Dienste wiederverwenden und sich in Verkehrsmustern verstecken, denen viele Organisationen möglicherweise bereits vertrauen." "Durch die Kombination von Phishing, DLL-Side-Loading, WebRTC-bezogenen Komponenten, der Nutzung von Cloud-Diensten und Anti-Analyse-Prüfungen zeigen diese Kampagnen, wie Banking-Malware mit oberflächlichen Abwehrmaßnahmen allein immer schwieriger zu erkennen ist." ### BTMOB: MaaS Android RAT mit fertigen Kampagnen-Tools  ESETs Bericht hebt BTMOB hervor, einen Android Remote Access Trojaner (RAT), der im Februar 2025 aufgetaucht ist. Zu den Fähigkeiten von BTMOB gehören das Entsperren von Geräten, das Aufnehmen von Screenshots, das Protokollieren von Tastatureingaben, die Automatisierung des Diebstahls von Anmeldeinformationen durch HTML-Injektionen und die Fernsteuerung. Eine spätere Version fügte die Fähigkeit hinzu, Alipay-PINs zu erfassen. Laut ESET-Forscher Daniel Cunha Barbosa wird die RAT mit einer APK-Builder-Oberfläche verkauft, die es jedem ermöglicht, neue Payloads zu generieren und Phishing-Köder schnell und ohne Programmierkenntnisse anzupassen. Diese fertigen Werkzeuge senken die Einstiegshürde für die vollständige Kompromittierung von Geräten. Die Malware verbreitet sich über Social Engineering, wobei Benutzer Links zu gefälschten Websites erhalten, die als Streaming-Dienste oder Krypto-Mining-Plattformen getarnt sind. Diese Websites leiten Opfer zu gefälschten **Google Play Store**-App-Listings weiter und verleiten sie zur Installation der bösartigen APK-Datei. Nach der Installation fordert die Malware Berechtigungen für den Bedienungshilfedienst an und nutzt diese, um sich selbst zusätzlichen Systemzugriff ohne Benutzerinteraktion zu gewähren. BTMOB gilt als Nachfolger von CraxsRAT, CypherRAT und SpySolr. Die neueste Version, 4.5.5 (Mai 2026), beansprucht verbesserte APK-Schutz und Kompatibilität mit den neuesten Google Play-Updates. Ein X-Profil, das angeblich mit der Malware verbunden ist, gab am 1. Mai 2026 bekannt: "Dieses Update dreht sich alles um Geschwindigkeit und Stabilität. Wir haben unsere Infrastruktur erweitert und den Builder verfeinert, um Sie über die neuesten mobilen Sicherheitspatches hinaus zu halten." Der Trojaner wird von einem Bedrohungsakteur namens EVLF (@craxso) für 700 US-Dollar pro Monat beworben. Ein von den Malware-Autoren am 1. Mai 2026 geteiltes **YouTube**-Video beziffert eine lebenslange Lizenz auf 1.200 US-Dollar, wobei der vollständige Quellcode des Servers für 7.000 US-Dollar erhältlich ist, was es Kunden ermöglicht, die Command-and-Control (C2)-Panels selbst zu hosten. <html> <iframe width="560" height="315" src="https://www.youtube.com/embed/fC9jSOS7tSE" title="YouTube video player" frameborder="0" allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share" allowfullscreen></iframe> </html> Erst diese Woche teilte das X-Profil einen Link zu einem **Medium**-Artikel darüber, wie "BTMOB RAT Android-Telefone in ferngesteuerte Waffen verwandelt", und hob seine schnelle Entwicklung seit Anfang 2025 hervor. "Es schleicht sich über Phishing-Websites ein, greift auf Bedienungshilfen zu und verwandelt Ihr Telefon in eine Marionette", heißt es in dem Artikel. "Hacker beobachten Ihren Bildschirm live. Sie stehlen Bankdaten. Sie schürfen sogar im Hintergrund Krypto, während Sie Instagram durchsuchen." Der Artikel wurde von einem Konto namens "CraxsRAT Main developer" veröffentlicht, das sich als "qualifizierter und einfallsreicher Cyberkrimineller, der ein profitables Cybercrime-Unternehmen aufgebaut hat, indem er hoch entwickelte RAT-Malware an andere Bedrohungsakteure verkauft" bezeichnet. Das Malware-as-a-Service (MaaS)-Modell von BTMOB senkt die Einstiegshürde für weniger anspruchsvolle Bedrohungsakteure. In Untergrundforen und **Telegram** zirkulierende geleakte Versionen erhöhen das Missbrauchsrisiko. ESET warnt, dass dieser Zugang selten eingedämmt bleibt und in Sekundärmärkte übergehen kann. Konkurrierende Malware-Familien können auch Elemente kopieren, die die Payload-Anpassung und die Kampagnenverwaltung für weniger erfahrene Kriminelle erleichtern. Das italienische Cybersicherheitsunternehmen **D3Lab** analysierte im Dezember das geleakte BTMOB RAT-Entwicklungstoolkit und veröffentlichte eine Analyse, in der es heißt: