**WatchGuard**と**ESET**は、Grandoreiro銀行トロイの木馬を利用してスペイン、ポルトガル、メキシコの企業を標的とするキャンペーンと、ブラジルのモバイルユーザーを標的とするBTMOB Android RATの活動を発見しました。 ### Grandoreiro: DLLサイドローディングとWebRTC難読化 2016年から活動しているGrandoreiroキャンペーンは、DLLサイドローディング技術を採用し、複数のソフトウェアパッケージを悪用してポルトガルの銀行を標的にしています。WatchGuardの研究者Euler Netoによると、この銀行マルウェアは常に進化しており、45カ国の数千の金融機関から認証情報を窃盗する能力があります。配布は通常、悪意のあるリンクを含むフィッシングメールを介して行われます。 過去の妨害試みにもかかわらず、Grandoreiroは標的範囲を拡大し、分析を回避するためにCAPTCHAチェックを実装しました。最新のキャンペーンでは、Delphi 11で開発されたDLLを起動するためにDLLサイドローディングを使用しています。`mingwm10.dll`と`libwebp.dll`の2つのDLLは、P2PおよびWebRTC通信用のWebSocketおよびリアルタイム通信ライブラリである`sgcWebSockets`を組み込んでいます。 WatchGuardは、これらのDLLがNAT（STUN）用のセッショントラバーサルユーティリティプロトコルを使用しており、ピアツーピア通信を可能にすると指摘しています。Web会議トラフィックの使用は、攻撃者が悪意のある活動を隠蔽するのに役立ちます。 キャンペーンに関連する他のDLL（`libffi-6.dll`と`libpng15.dll`）は、同じ目標を達成するためにICE（Interactive Connectivity Establishment）プロトコルを使用しています。これらのファイルは、ポルトガルで事業を展開する銀行や金融機関、具体的には**Abanca**、**Banco de Portugal**、**BBVA PT**、**Caixa Geral Depositos**、**Santander**、さらに**Revolut**や**Wise**を標的にしています。 WatchGuardはまた、フィッシングメールを使用してMediafireでホストされているZIPアーカイブを配信する別のGrandoreiroキャンペーンを特定しました。このアーカイブには、ユーザーに**Adobe Reader**の更新を促す難読化されたVisual Basicスクリプトが含まれています。これにより、最終的なペイロードを展開して銀行情報を窃盗する前に、検出を回避するためのチェックが実行されます。これらの戦術は、**Kaspersky**が2024年10月に詳述した以前のGrandoreiroキャンペーンと一致しています。 「ここでのより大きな話は、Grandoreiroがまだ活動しているということだけではありません」とWatchGuardは述べています。「それは、金銭的動機のある脅威グループが、引き続き迅速に適応し、正規のサービスを再利用し、多くの組織がすでに信頼している可能性のあるトラフィックパターンの中に隠れているということです。」 「フィッシング、DLLサイドローディング、WebRTC関連コンポーネント、クラウドサービスの使用、および分析回避チェックを組み合わせることで、これらのキャンペーンは、表層的な防御だけでは銀行マルウェアを発見するのがいかに困難になっているかを示しています。」 ### BTMOB: MaaS Android RATと既製のキャンペーンツール  ESETのレポートは、2025年2月に登場したAndroidリモートアクセストロイの木馬（RAT）であるBTMOBを強調しています。BTMOBの機能には、デバイスのロック解除、スクリーンショットのキャプチャ、キーストロークの記録、HTMLインジェクションによる認証情報窃盗の自動化、リモート制御の有効化が含まれます。後続のバージョンでは、Alipay PINのキャプチャ機能が追加されました。 ESETの研究者Daniel Cunha Barbosaによると、このRATはAPKビルダーインターフェースと共に販売されており、コーディング知識なしで誰でも新しいペイロードを生成し、フィッシングの誘い文句を迅速に調整できます。 これらの既製のツールは、完全なデバイス侵害を実行するための参入障壁を下げます。マルウェアはソーシャルエンジニアリングを介して拡散し、ユーザーはストリーミングサービスや暗号通貨マイニングプラットフォームを装った偽のウェブサイトへのリンクを受け取ります。これらのサイトは、被害者を偽の**Google Play Store**アプリリストにリダイレクトし、悪意のあるAPKファイルをインストールするように騙します。インストールされると、マルウェアはアクセシビリティサービス権限を要求し、それらを使用してユーザーの操作なしに追加のシステムアクセスを自身に付与します。 BTMOBは、CraxsRAT、CypherRAT、SpySolrの後継であると考えられています。最新バージョン4.5.5（2026年5月）は、APK保護の強化と最新のGoogle Playアップデートとの互換性を主張しています。 マルウェアに関連付けられているとされるXプロフィールは、2026年5月1日に次のように述べています。「このアップデートは、スピードと安定性に関するものです。最新のモバイルセキュリティパッチに先んじるために、インフラストラクチャを拡張し、ビルダーを洗練させました。」 このトロイの木馬は、EVLF（@craxso）という攻撃者によって月額700ドルで宣伝されています。マルウェア作者が2026年5月1日に共有した**YouTube**動画では、生涯ライセンスが1,200ドル、完全なサーバーソースコードが7,000ドルで提供されており、顧客はコマンドアンドコントロール（C2）パネルを自分でホストできます。 <html> <iframe width="560" height="315" src="https://www.youtube.com/embed/fC9jSOS7tSE" title="YouTube video player" frameborder="0" allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share" allowfullscreen></iframe> </html> つい先週も、Xプロフィールは「BTMOB RATがAndroidフォンをリモートコントロールされた武器に変えている方法」に関する**Medium**記事へのリンクを共有し、2025年初頭からの急速な進化に言及しました。 「フィッシングサイトから忍び込み、アクセシビリティサービスを掴み、あなたの電話を操り人形に変える」と記事は述べています。「ハッカーはあなたの画面をライブで監視します。彼らは銀行の詳細を盗みます。彼らはあなたがInstagramをスクロールしている間にバックグラウンドで仮想通貨をマイニングさえします。」 この記事は、「高度なRATマルウェアを他の攻撃者に販売することで、収益性の高いサイバー犯罪企業を築いた、熟練した機知に富んだサイバー犯罪者」を自称する「CraxsRAT Main developer」というアカウントによって公開されました。 BTMOBのマルウェア・アズ・ア・サービス（MaaS）モデルは、あまり洗練されていない攻撃者にとって参入障壁を下げます。アンダーグラウンドフォーラムや**Telegram**で流通しているリークされたバージョンは、悪用のリスクを高めます。ESETは、このアクセスが保持されることはまれであり、二次市場に移行する可能性があると警告しています。競合するマルウェアファミリーも、スキルの低い犯罪者によるペイロードのカスタマイズとキャンペーン管理を容易にする要素をコピーする可能性があります。 イタリアのサイバーセキュリティ企業**D3Lab**は、12月に公開されたリークされたBTMOB RAT開発ツールキットの分析で、