América Latina y Europa han sido objeto de dos campañas de troyanos bancarios destinadas a infectar dispositivos Windows y Android con malware Grandoreiro y BTMOB, respectivamente.
Esto es según una nueva investigación publicada por WatchGuard y ESET, que observaron que estas dos familias de malware se utilizan para identificar empresas en España, Portugal y México, así como a usuarios de dispositivos móviles en Brasil.
El investigador de WatchGuard, Euler Neto, dijo que la campaña Grandoreiro «se dirige a los bancos portugueses utilizando una técnica de descarga de DLL que explota cuatro piezas diferentes de software».
Grandoreiro es un malware bancario en evolución activa que ha estado activo desde 2016 y es capaz de robar credenciales asociadas con miles de instituciones financieras en 45 países y territorios. Por lo general, se distribuye a través de correos electrónicos de phishing e indica a los destinatarios que hagan clic en un enlace superficial.
A pesar de varios arrestos e intentos por parte de las autoridades brasileñas de desmantelar la infraestructura a principios de 2024, el malware continúa ampliando su alcance al tiempo que incorpora comprobaciones CAPTCHA para frustrar el análisis.
Se descubrió que la última campaña informada por WatchGuard utilizaba la descarga de archivos DLL para lanzar archivos DLL desarrollados en Delphi 11, un lenguaje de programación comúnmente utilizado para malware dirigido a esta región. Se descubrió que dos de las DLL (mingwm10.dll y libwebp.dll) incluían sgcWebSockets, una biblioteca de comunicaciones WebSocket y en tiempo real para comunicaciones peer-to-peer (P2P) y WebRTC.
«Las DLL involucradas en este caso utilizan el protocolo Session Traversal Utilities for NAT (STUN), que permite a los dispositivos detrás de un NAT descubrir direcciones IP públicas y números de puerto y permitir la comunicación de igual a igual», explicó WatchGuard.
«La ventaja de que los atacantes utilicen tráfico de conferencias web en sus campañas es que este tráfico es ruidoso y difícil de monitorear, y WebRTC es comúnmente utilizado por todas las principales plataformas de conferencias web».
Otras dos DLL asociadas con esta campaña son libffi-6.dll y libpng15.dll. Utilizan el protocolo de establecimiento de conexión interactiva (ICE) en lugar de STUN para lograr el mismo propósito. Estos archivos se refieren específicamente a bancos e instituciones financieras que operan en Portugal, como Abanca, Banco de Portugal, BBVA PT, Caixa Geral Depositos, Santander. Revolut y Wise también son elegibles.
WatchGuard también dijo que ha identificado otra campaña en la que se utilizan correos electrónicos de phishing para entregar archivos ZIP alojados en Mediafire. Este archivo contiene un script de Visual Basic ofuscado que inicia un ejecutable que solicita al usuario que actualice Adobe Reader haciendo clic en un botón incrustado en la alerta.
Esto desencadena una serie de comprobaciones destinadas a evadir la detección y complicar el análisis del malware antes de lanzar la carga útil final para robar información bancaria y datos confidenciales. Algunas de las tácticas se superponen con la campaña anterior de Grandoreiro detallada por Kaspersky en octubre de 2024.
«La historia más importante aquí no es sólo que Grandreiro todavía esté activo», dijo WatchGuard. «Eso significa que los grupos de amenazas motivados financieramente continúan adaptándose rápidamente, reutilizando servicios legítimos y ocultándose dentro de patrones de tráfico en los que muchas organizaciones ya pueden confiar».
«Estas campañas demuestran cómo la combinación de phishing, descarga de DLL, componentes relacionados con WebRTC, explotación de servicios en la nube y comprobaciones antianálisis dificultan la detección de malware bancario utilizando únicamente defensas a nivel de superficie».
BTMOB ofrece herramientas de campaña listas para usar
Esta divulgación es consistente con el informe de ESET sobre BTMOB, un troyano de acceso remoto (RAT) de Android que apareció por primera vez en febrero de 2025. BTMOB tiene características como desbloquear el dispositivo, capturar capturas de pantalla, registrar pulsaciones de teclas, automatizar el robo de credenciales mediante la inyección de HTML al abrir ciertas aplicaciones y habilitar el control remoto. Las iteraciones posteriores introdujeron la posibilidad de obtener un PIN de Alipay.
«RAT también viene con una interfaz de creación de APK, que permite a cualquiera generar nuevas cargas útiles y adaptar rápidamente señuelos de pesca a regiones específicas sin escribir ningún código», dijo el investigador de ESET Daniel Cunha Barbosa.
Estas herramientas listas para usar reducen aún más el tiempo y el esfuerzo necesarios para comprometer un dispositivo completo. La principal forma de propagación del malware es a través de la ingeniería social, donde a los usuarios se les envían enlaces a sitios web falsos que pretenden ser servicios de streaming o plataformas de minería de criptomonedas.
Estos sitios redirigen a las víctimas a una lista de aplicaciones falsas de Google Play Store y las persuaden para que instalen archivos de paquetes de Android (APK) que contienen malware. Una vez instalado, el malware solicita permiso para utilizar los servicios de accesibilidad de Android y los utiliza para otorgarse acceso adicional al sistema sin interacción del usuario.
BTMOB se considera un sucesor de las familias CraxsRAT, CypherRAT y SpySolr. En mayo de 2026, la última versión de este malware es la 4.5.5, que pretende ofrecer protección APK mejorada y compatibilidad con las últimas actualizaciones de Google Play.
El perfil X supuestamente vinculado al malware publicado el 1 de mayo de 2026 dice: «Esta actualización tiene que ver con la velocidad y la estabilidad. Hemos ampliado nuestra infraestructura y mejorado nuestro constructor para ayudarlo a mantenerse a la vanguardia de los últimos parches de seguridad móvil».
Este troyano está siendo anunciado por un actor de amenazas llamado EVLF (@craxso) por una tarifa mensual de 700 dólares. Según un vídeo de YouTube compartido por el autor del malware el 1 de mayo de 2026, una licencia perpetua vale 1200 dólares. El código fuente completo del servidor está disponible por $7000 y permite a los clientes alojar un panel de comando y control (C2) en su propia infraestructura.
Esta misma semana, el perfil X también compartió un enlace a un artículo de Medium sobre «Cómo BTMOB RAT convierte los teléfonos Android en armas controladas de forma remota», que ha estado «evolucionando rápidamente» desde principios de 2025.
«Hackean sitios de phishing, utilizan servicios de accesibilidad y convierten su teléfono en una marioneta», dice el artículo. «Los piratas informáticos monitorean tu pantalla en vivo. Roban tus datos bancarios. Incluso pueden extraer criptomonedas en segundo plano mientras navegas por Instagram».
Curiosamente, este artículo fue publicado por una cuenta denominada «CraxsRAT Main Developer». La biografía de la cuenta los describe como «cibercriminales hábiles e ingeniosos que han construido una rentable empresa de cibercrimen vendiendo malware RAT avanzado a otros actores de amenazas».
El hecho de que BTMOB se venda bajo un modelo de malware como servicio (MaaS) corre el riesgo de reducir la barrera de entrada para atacantes menos sofisticados. Esto se ve exacerbado aún más por los informes de que versiones filtradas ya están circulando en foros clandestinos y en Telegram, lo que aumenta el riesgo de uso indebido por parte de imitadores y otros posibles delincuentes.
«Es poco probable que el acceso se bloquee permanentemente y la herramienta puede llegar al mercado secundario a través de la reventa, el trueque o el intercambio dentro de grupos cerrados», dijo ESET. «Las familias de malware competidoras también pueden copiar varios elementos que facilitan la personalización de la carga útil y la gestión de campañas para los delincuentes menos capacitados».
En un análisis del kit de herramientas de desarrollo BTMOB RAT filtrado y publicado en diciembre de 2025, la empresa italiana de ciberseguridad D3Lab dijo que incluía el código fuente de la carga útil de Android, su cuentagotas, el entorno de creación, el panel del operador para Windows, el backend C2 y todas las dependencias de software necesarias para implementar la plataforma.
«La filtración de BTMOB proporciona una perspectiva poco común del funcionamiento interno del moderno ecosistema RAT-as-a-Service de Android», señaló D3Lab en ese momento. «Esto muestra que los actores de amenazas operan no sólo como desarrolladores que venden kits de herramientas, sino como proveedores de servicios que imponen licencias, certificaciones y control de versiones a sus clientes».
Source link
