**WatchGuard** e **ESET** descobriram campanhas ativas utilizando o trojan bancário Grandoreiro para atingir empresas na Espanha, Portugal e México, e o RAT para Android BTMOB contra usuários móveis no Brasil. ### Grandoreiro: DLL Side-Loading e Ofuscação de WebRTC A campanha Grandoreiro, ativa desde 2016, emprega técnicas de DLL side-loading, abusando de múltiplos pacotes de software para atingir bancos em Portugal. De acordo com o pesquisador da WatchGuard, Euler Neto, este malware bancário está em constante evolução, capaz de roubar credenciais de milhares de instituições financeiras em 45 países. A distribuição geralmente ocorre por meio de e-mails de phishing contendo links maliciosos. Apesar de tentativas anteriores de interrupção, o Grandoreiro expandiu seu alcance de alvos e implementou verificações CAPTCHA para evadir análises. A campanha mais recente utiliza DLL side-loading para carregar DLLs desenvolvidas em Delphi 11. Duas DLLs, `mingwm10.dll` e `libwebp.dll`, incorporam `sgcWebSockets`, uma biblioteca de comunicação em tempo real e WebSocket para comunicações P2P e WebRTC. A WatchGuard observa que as DLLs utilizam o protocolo Session Traversal Utilities for NAT (STUN), permitindo comunicação peer-to-peer. O uso de tráfego de webconferência ajuda os atores de ameaças a ocultar suas atividades maliciosas. Outras DLLs associadas à campanha (`libffi-6.dll` e `libpng15.dll`) utilizam o protocolo Interactive Connectivity Establishment (ICE) para atingir o mesmo objetivo. Esses arquivos visam especificamente bancos e instituições financeiras que operam em Portugal, incluindo **Abanca**, **Banco de Portugal**, **BBVA PT**, **Caixa Geral Depositos** e **Santander**, além de **Revolut** e **Wise**. A WatchGuard também identificou outra campanha Grandoreiro utilizando e-mails de phishing para entregar um arquivo ZIP hospedado no Mediafire. Este arquivo contém um Visual Basic Script ofuscado que executa um programa, solicitando aos usuários que atualizem o **Adobe Reader**. Isso desencadeia uma série de verificações para evitar detecção antes de implantar o payload final para roubar informações bancárias. Essas táticas se alinham com uma campanha Grandoreiro anterior detalhada pela **Kaspersky** em outubro de 2024. "A história maior aqui não é apenas que o Grandoreiro ainda está ativo", disse a WatchGuard. "É que grupos com motivação financeira continuam a se adaptar rapidamente, reutilizar serviços legítimos e se esconder em padrões de tráfego que muitas organizações podem já confiar." "Ao combinar phishing, DLL side-loading, componentes relacionados a WebRTC, abuso de serviços em nuvem e verificações anti-análise, essas campanhas mostram como o malware bancário está se tornando mais difícil de detectar apenas com defesas superficiais." ### BTMOB: RAT Android MaaS com Ferramentas de Campanha Prontas  O relatório da ESET destaca o BTMOB, um trojan de acesso remoto (RAT) para Android que surgiu em fevereiro de 2025. As capacidades do BTMOB incluem desbloqueio de dispositivos, captura de screenshots, registro de teclas, automação de roubo de credenciais via injeções HTML e controle remoto. Uma versão posterior adicionou a capacidade de capturar PINs do Alipay. De acordo com o pesquisador da ESET, Daniel Cunha Barbosa, o RAT é vendido com uma interface de construtor de APK, permitindo que qualquer pessoa gere novos payloads e adapte iscas de phishing rapidamente e sem conhecimento de codificação. Essas ferramentas prontas reduzem a barreira de entrada para a realização de comprometimentos completos de dispositivos. O malware se espalha por meio de engenharia social, com usuários recebendo links para sites falsos disfarçados de serviços de streaming ou plataformas de mineração de criptomoedas. Esses sites redirecionam as vítimas para listagens de aplicativos falsos da **Google Play Store**, enganando-as para instalar o arquivo APK malicioso. Uma vez instalado, o malware solicita permissões de serviço de acessibilidade e as utiliza para se conceder acesso adicional ao sistema sem interação do usuário. Acredita-se que o BTMOB seja o sucessor do CraxsRAT, CypherRAT e SpySolr. A versão mais recente, 4.5.5 (maio de 2026), afirma ter proteção de APK aprimorada e compatibilidade com as atualizações mais recentes do Google Play. Um perfil X supostamente ligado ao malware declarou em 1º de maio de 2026: "Esta atualização é toda sobre velocidade e estabilidade. Expandimos nossa infraestrutura e refinamos o construtor para mantê-lo à frente dos últimos patches de segurança móvel." O Trojan é anunciado por um ator de ameaça chamado EVLF (@craxso) por US$ 700 por mês. Um vídeo do **YouTube** compartilhado pelo autor do malware em 1º de maio de 2026, precifica uma licença vitalícia em US$ 1.200, com o código-fonte completo do servidor disponível por US$ 7.000, permitindo que os clientes hospedem seus próprios painéis de comando e controle (C2). <html> <iframe width="560" height="315" src="https://www.youtube.com/embed/fC9jSOS7tSE" title="YouTube video player" frameborder="0" allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share" allowfullscreen></iframe> </html> Tão recentemente quanto esta semana, o perfil X compartilhou um link para um artigo do **Medium** sobre "como o BTMOB RAT está transformando telefones Android em armas controladas remotamente", observando sua rápida evolução desde o início de 2025. "Ele entra por sites de phishing, pega serviços de acessibilidade e transforma seu telefone em um fantoche", diz o artigo. "Hackers assistem sua tela ao vivo. Eles roubam detalhes bancários. Eles até mineram cripto em segundo plano enquanto você navega no Instagram." O artigo foi publicado por uma conta chamada "CraxsRAT Main developer", alegando ser um "cibercriminoso habilidoso e engenhoso que construiu uma empresa de cibercrime lucrativa vendendo malware RAT altamente avançado para outros atores de ameaças." O modelo malware-as-a-service (MaaS) do BTMOB reduz a barreira de entrada para atores de ameaças menos sofisticados. Versões vazadas circulando em fóruns underground e **Telegram** aumentam o risco de abuso. A ESET alerta que esse acesso raramente permanece contido e pode se mover para mercados secundários. Famílias de malware concorrentes também podem copiar elementos que facilitam a personalização de payloads e o gerenciamento de campanhas para criminosos menos experientes. A empresa italiana de cibersegurança **D3Lab**, em uma análise do kit de desenvolvimento BTMOB RAT vazado publicado em dezembro,