**WatchGuard** y **ESET** han descubierto campañas activas que utilizan el troyano bancario Grandoreiro para atacar empresas en España, Portugal y México, y el RAT de Android BTMOB contra usuarios móviles en Brasil. ### Grandoreiro: DLL Side-Loading y Ofuscación WebRTC La campaña Grandoreiro, activa desde 2016, emplea técnicas de DLL side-loading, abusando de múltiples paquetes de software para atacar bancos en Portugal. Según el investigador de WatchGuard, Euler Neto, este malware bancario está en constante evolución, capaz de robar credenciales de miles de instituciones financieras en 45 países. La distribución suele ocurrir a través de correos electrónicos de phishing que contienen enlaces maliciosos. A pesar de intentos previos de interrupción, Grandoreiro ha expandido su alcance de objetivos e implementado verificaciones CAPTCHA para evadir el análisis. La última campaña utiliza DLL side-loading para lanzar DLLs desarrolladas en Delphi 11. Dos DLLs, `mingwm10.dll` y `libwebp.dll`, incorporan `sgcWebSockets`, una biblioteca de WebSockets y comunicación en tiempo real para comunicaciones P2P y WebRTC. WatchGuard señala que las DLLs utilizan el protocolo Session Traversal Utilities for NAT (STUN), permitiendo la comunicación peer-to-peer. El uso de tráfico de webconferencias ayuda a los actores de amenazas a ocultar sus actividades maliciosas. Otras DLLs asociadas con la campaña (`libffi-6.dll` y `libpng15.dll`) utilizan el protocolo Interactive Connectivity Establishment (ICE) para lograr el mismo objetivo. Estos archivos atacan específicamente a bancos e instituciones financieras que operan en Portugal, incluyendo **Abanca**, **Banco de Portugal**, **BBVA PT**, **Caixa Geral Depositos**, y **Santander**, así como **Revolut** y **Wise**. WatchGuard también identificó otra campaña de Grandoreiro que utiliza correos electrónicos de phishing para entregar un archivo ZIP alojado en Mediafire. Este archivo contiene un script Visual Basic ofuscado que lanza un ejecutable, solicitando a los usuarios que actualicen **Adobe Reader**. Esto desencadena una serie de verificaciones para evitar la detección antes de desplegar el payload final para robar información bancaria. Estas tácticas se alinean con una campaña previa de Grandoreiro detallada por **Kaspersky** en octubre de 2024. "La historia más importante aquí no es solo que Grandoreiro sigue activo", dijo WatchGuard. "Es que los grupos con motivaciones financieras continúan adaptándose rápidamente, reutilizando servicios legítimos y ocultándose en patrones de tráfico que muchas organizaciones ya pueden considerar confiables." "Al combinar phishing, DLL side-loading, componentes relacionados con WebRTC, abuso de servicios en la nube y verificaciones anti-análisis, estas campañas demuestran cómo el malware bancario se está volviendo más difícil de detectar solo con defensas superficiales." ### BTMOB: RAT de Android como Servicio con Herramientas de Campaña Listas para Usar  El informe de ESET destaca BTMOB, un troyano de acceso remoto (RAT) para Android que surgió en febrero de 2025. Las capacidades de BTMOB incluyen desbloquear dispositivos, capturar capturas de pantalla, registrar pulsaciones de teclas, automatizar el robo de credenciales mediante inyecciones HTML y permitir el control remoto. Una versión posterior agregó la capacidad de capturar PINs de Alipay. Según el investigador de ESET, Daniel Cunha Barbosa, el RAT se vende con una interfaz de constructor de APK, lo que permite a cualquiera generar nuevos payloads y adaptar señuelos de phishing rápidamente y sin conocimientos de codificación. Estas herramientas listas para usar reducen la barrera de entrada para realizar compromisos completos de dispositivos. El malware se propaga a través de ingeniería social, con usuarios que reciben enlaces a sitios web falsos disfrazados de servicios de streaming o plataformas de minería de criptomonedas. Estos sitios redirigen a las víctimas a listados de aplicaciones falsas de la **Google Play Store**, engañándolas para que instalen el archivo APK malicioso. Una vez instalado, el malware solicita permisos de servicio de accesibilidad y los utiliza para otorgarse acceso adicional al sistema sin interacción del usuario. Se cree que BTMOB es el sucesor de CraxsRAT, CypherRAT y SpySolr. La última versión, 4.5.5 (mayo de 2026), afirma tener protección APK mejorada y compatibilidad con las últimas actualizaciones de Google Play. Un perfil de X presuntamente vinculado al malware declaró el 1 de mayo de 2026: "Esta actualización se centra en la velocidad y la estabilidad. Hemos expandido nuestra infraestructura y refinado el constructor para mantenerte por delante de los últimos parches de seguridad móvil." El troyano es publicitado por un actor de amenazas llamado EVLF (@craxso) por $700 al mes. Un video de **YouTube** compartido por el autor del malware el 1 de mayo de 2026, fija el precio de una licencia de por vida en $1,200, con el código fuente completo del servidor disponible por $7,000, lo que permite a los clientes alojar sus propios paneles de comando y control (C2). <html> <iframe width="560" height="315" src="https://www.youtube.com/embed/fC9jSOS7tSE" title="YouTube video player" frameborder="0" allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share" allowfullscreen></iframe> </html> Tan recientemente como esta semana, el perfil de X compartió un enlace a un artículo de **Medium** sobre "cómo BTMOB RAT está convirtiendo los teléfonos Android en armas controladas remotamente", señalando su rápida evolución desde principios de 2025. "Se cuela a través de sitios de phishing, obtiene servicios de accesibilidad y convierte tu teléfono en una marioneta", se lee en el artículo. "Los hackers observan tu pantalla en vivo. Roban detalles bancarios. Incluso minan criptomonedas en segundo plano mientras navegas por Instagram." El artículo fue publicado por una cuenta llamada "CraxsRAT Main developer", que afirma ser un "ciberdelincuente hábil y recursivo que construyó una empresa de ciberdelincuencia rentable vendiendo malware RAT altamente avanzado a otros actores de amenazas". El modelo de malware como servicio (MaaS) de BTMOB reduce la barrera de entrada para actores de amenazas menos sofisticados. Las versiones filtradas que circulan en foros clandestinos y **Telegram** aumentan el riesgo de abuso. ESET advierte que este acceso rara vez se mantiene contenido y puede pasar a mercados secundarios. Familias de malware competidoras también pueden copiar elementos que facilitan la personalización de payloads y la gestión de campañas para criminales menos experimentados. La empresa italiana de ciberseguridad **D3Lab**, en un análisis del kit de desarrollo BTMOB RAT filtrado publicado en diciembre,