**WatchGuard** et **ESET** ont découvert des campagnes actives exploitant le cheval de Troie bancaire Grandoreiro pour cibler des entreprises en Espagne, au Portugal et au Mexique, ainsi que le RAT Android BTMOB contre des utilisateurs mobiles au Brésil. ### Grandoreiro : Chargement latéral de DLL et obfuscation WebRTC La campagne Grandoreiro, active depuis 2016, utilise des techniques de chargement latéral de DLL, abusant de plusieurs progiciels pour cibler les banques au Portugal. Selon le chercheur de WatchGuard, Euler Neto, ce malware bancaire évolue constamment, capable de voler des identifiants à des milliers d'institutions financières dans 45 pays. La distribution se fait généralement par e-mails de phishing contenant des liens malveillants. Malgré les tentatives de perturbation précédentes, Grandoreiro a élargi son empreinte de ciblage et implémenté des vérifications CAPTCHA pour échapper à l'analyse. La dernière campagne utilise le chargement latéral de DLL pour lancer des DLL développées en Delphi 11. Deux DLL, `mingwm10.dll` et `libwebp.dll`, intègrent `sgcWebSockets`, une bibliothèque de communication WebSocket et en temps réel pour les communications P2P et WebRTC. WatchGuard note que les DLL utilisent le protocole STUN (Session Traversal Utilities for NAT), permettant la communication peer-to-peer. L'utilisation du trafic de visioconférence aide les acteurs de la menace à dissimuler leurs activités malveillantes. D'autres DLL associées à la campagne (`libffi-6.dll` et `libpng15.dll`) utilisent le protocole ICE (Interactive Connectivity Establishment) pour atteindre le même objectif. Ces fichiers ciblent spécifiquement les banques et institutions financières opérant au Portugal, notamment **Abanca**, **Banco de Portugal**, **BBVA PT**, **Caixa Geral Depositos**, et **Santander**, ainsi que **Revolut** et **Wise**. WatchGuard a également identifié une autre campagne Grandoreiro utilisant des e-mails de phishing pour livrer une archive ZIP hébergée sur Mediafire. Cette archive contient un script Visual Basic obfusqué qui lance un exécutable, invitant les utilisateurs à mettre à jour **Adobe Reader**. Cela déclenche une série de vérifications pour éviter la détection avant de déployer la charge utile finale pour voler des informations bancaires. Ces tactiques correspondent à une campagne Grandoreiro précédente détaillée par **Kaspersky** en octobre 2024. « L'histoire la plus importante ici n'est pas seulement que Grandoreiro est toujours actif », a déclaré WatchGuard. « C'est que les groupes motivés par l'argent continuent de s'adapter rapidement, de réutiliser des services légitimes et de se cacher dans des modèles de trafic que de nombreuses organisations peuvent déjà considérer comme fiables. » « En combinant le phishing, le chargement latéral de DLL, les composants liés à WebRTC, l'abus de services cloud et les vérifications anti-analyse, ces campagnes montrent à quel point les malwares bancaires deviennent difficiles à repérer avec des défenses superficielles seules. » ### BTMOB : RAT Android MaaS avec des outils de campagne prêts à l'emploi  Le rapport d'ESET met en lumière BTMOB, un cheval de Troie d'accès à distance (RAT) pour Android apparu en février 2025. Les capacités de BTMOB incluent le déverrouillage des appareils, la capture d'écran, l'enregistrement des frappes au clavier, l'automatisation du vol d'identifiants via des injections HTML et le contrôle à distance. Une version ultérieure a ajouté la capacité de capturer les codes PIN Alipay. Selon le chercheur d'ESET Daniel Cunha Barbosa, le RAT est vendu avec une interface de création d'APK, permettant à quiconque de générer de nouvelles charges utiles et d'adapter rapidement les leurres de phishing sans connaissances en codage. Ces outils prêts à l'emploi abaissent la barrière à l'entrée pour compromettre entièrement les appareils. Le malware se propage par ingénierie sociale, les utilisateurs recevant des liens vers de faux sites Web déguisés en services de streaming ou en plateformes de minage de cryptomonnaies. Ces sites redirigent les victimes vers de fausses listes d'applications du **Google Play Store**, les incitant à installer le fichier APK malveillant. Une fois installé, le malware demande les autorisations du service d'accessibilité et les utilise pour s'accorder un accès système supplémentaire sans interaction de l'utilisateur. BTMOB est considéré comme le successeur de CraxsRAT, CypherRAT et SpySolr. La dernière version, 4.5.5 (mai 2026), revendique une protection APK améliorée et une compatibilité avec les dernières mises à jour de Google Play. Un profil X prétendument lié au malware a déclaré le 1er mai 2026 : « Cette mise à jour est axée sur la vitesse et la stabilité. Nous avons étendu notre infrastructure et affiné le constructeur pour vous permettre de garder une longueur d'avance sur les derniers correctifs de sécurité mobile. » Le Trojan est annoncé par un acteur de la menace nommé EVLF (@craxso) pour 700 $ par mois. Une vidéo **YouTube** partagée par l'auteur du malware le 1er mai 2026, fixe le prix d'une licence à vie à 1 200 $, avec le code source complet du serveur disponible pour 7 000 $, permettant aux clients d'héberger eux-mêmes les panneaux de commande et de contrôle (C2). <html> <iframe width="560" height="315" src="https://www.youtube.com/embed/fC9jSOS7tSE" title="YouTube video player" frameborder="0" allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share" allowfullscreen></iframe> </html> Récemment encore cette semaine, le profil X a partagé un lien vers un article **Medium** sur « comment BTMOB RAT transforme les téléphones Android en armes télécommandées », notant son évolution rapide depuis début 2025. « Il s'infiltre par des sites de phishing, s'empare des services d'accessibilité et transforme votre téléphone en marionnette », indique l'article. « Les pirates regardent votre écran en direct. Ils volent vos informations bancaires. Ils minent même de la crypto en arrière-plan pendant que vous naviguez sur Instagram. » L'article a été publié par un compte nommé « CraxsRAT Main developer », se présentant comme un « cybercriminel compétent et débrouillard qui a bâti une entreprise de cybercriminalité rentable en vendant des malwares RAT très avancés à d'autres acteurs de la menace. » Le modèle de malware-as-a-service (MaaS) de BTMOB abaisse la barrière à l'entrée pour les acteurs de la menace moins sophistiqués. Les versions divulguées circulant sur les forums clandestins et **Telegram** augmentent le risque d'abus. ESET avertit que cet accès reste rarement contenu et peut se propager sur les marchés secondaires. Les familles de malwares concurrentes peuvent également copier des éléments qui facilitent la personnalisation des charges utiles et la gestion des campagnes pour les criminels moins qualifiés. La société italienne de cybersécurité **D3Lab**, dans une analyse de la boîte à outils de développement du RAT BTMOB divulguée publiée en décembre,