Latinoamérica y Europa se han convertido en el objetivo de dos campañas de
troyanos bancarios diseñadas para infectar dispositivos Windows y Android con
el malware Grandoreiro y BTMOB, respectivamente.
Esto se desprende de nuevos hallazgos de
WatchGuard
y
ESET, que han observado el uso de estas dos familias de malware para atacar a
empresas en España, Portugal y México, así como a usuarios de móviles en
Brasil.
Telefónica Tech también ha publicado un análisis técnico sobre las campañas
recientes de Grandoreiro. El documento completo,
disponible para descarga, detalla la cadena de infección del malware, sus mecanismos de evasión y las
técnicas para mantener la comunicación con su infraestructura de mando y
control.
La campaña Grandoreiro
«utiliza la técnica de carga lateral de DLL, abusando de cuatro programas
diferentes y apuntando a bancos en Portugal», afirmó Euler Neto, investigador de WatchGuard.
Activo desde 2016, Grandoreiro es un malware bancario en constante evolución
capaz de robar credenciales de miles de instituciones financieras en 45 países
y territorios. Generalmente se distribuye mediante correos electrónicos de
phishing, incitando a los destinatarios a hacer clic en enlaces sospechosos.
A pesar de algunas detenciones e intentos de las autoridades brasileñas por
desmantelar su infraestructura a principios de 2024, el malware ha seguido
expandiendo su alcance, incorporando comprobaciones CAPTCHA para resistir el
análisis.
La última campaña detectada por WatchGuard utiliza la carga lateral de DLL
para ejecutar archivos desarrollados en Delphi 11, un lenguaje de programación
comúnmente empleado por malware dirigido a la región. Dos de estas DLL —mingwm10.dll
y libwebp.dll— incorporan
sgcWebSockets, una biblioteca de WebSocket y comunicación en tiempo real, para
comunicaciones punto a punto (P2P) y WebRTC.
«Las DLL asociadas a este caso utilizan el protocolo
STUN
(Session Traversal Utilities for NAT), que permite a los dispositivos detrás
de un NAT descubrir su dirección IP pública y número de puerto,
posibilitando la comunicación punto a punto»,
explicó WatchGuard.
«La ventaja para los ciberdelincuentes de utilizar el tráfico de
videoconferencias en sus campañas radica en que este tráfico es ruidoso,
difícil de monitorizar y en que WebRTC se utiliza habitualmente en las
principales plataformas de videoconferencias».
Otras dos DLL asociadas a la campaña son libffi-6.dll y
libpng15.dll, que utilizan el protocolo
ICE
(Interactive Connectivity Establishment) en lugar de STUN para lograr
el mismo objetivo. Estos archivos hacen referencia específica a bancos e
instituciones financieras que operan en Portugal, como Abanca, Banco de
Portugal, BBVA PT, Caixa Geral Depósitos y Santander, entre otros. También se
ha atacado a Revolut y Wise.
WatchGuard también informó haber
identificado otra campaña
en la que se utilizan correos electrónicos de phishing para distribuir un
archivo ZIP alojado en Mediafire. El archivo contiene un script de Visual
Basic ofuscado que ejecuta un archivo ejecutable, el cual muestra un mensaje
solicitando a los usuarios que actualicen Adobe Reader haciendo clic en un
botón integrado en la alerta.
Al hacerlo, se activa una serie de comprobaciones destinadas a evitar la
detección y dificultar el análisis del malware, antes de ejecutar la carga
útil final para robar información bancaria y datos confidenciales. Algunas de
las tácticas coinciden con una campaña anterior de Grandoreiro
detallada por Kaspersky
en octubre de 2024.
«Lo más relevante aquí no es solo que Grandoreiro siga activo», afirmó
WatchGuard.
«Es que los grupos de ciberdelincuentes con fines lucrativos continúan
adaptándose rápidamente, reutilizando servicios legítimos y ocultándose en
patrones de tráfico en los que muchas organizaciones ya confían».
«Al combinar phishing, carga lateral de DLL, componentes relacionados con
WebRTC, abuso de servicios en la nube y comprobaciones anti-análisis, estas
campañas demuestran cómo el malware bancario se está volviendo más difícil
de detectar con defensas superficiales únicamente».
BTMOB ofrece herramientas de campaña listas para usar
La revelación coincide con un informe de ESET sobre BTMOB, un troyano de
acceso remoto (RAT) para Android que
surgió en febrero de 2025
con la capacidad de desbloquear dispositivos, capturar capturas de pantalla,
registrar pulsaciones de teclas, automatizar el robo de credenciales mediante
inyecciones HTML al abrir ciertas aplicaciones y habilitar el control remoto.
Una versión posterior
introdujo
la capacidad de capturar PIN de Alipay.
«El RAT también se vende con una interfaz para crear APK, lo que permite a
cualquiera generar nuevas cargas útiles y adaptar señuelos de phishing para
regiones específicas con rapidez, y sin escribir código»,
afirmó
Daniel Cunha Barbosa, investigador de ESET.
Las campañas de BTMOB se han observado principalmente en ataques en Brasil y
Latinoamérica, pero la distribución basada en phishing y las capacidades de
toma de control de dispositivos del malware, junto con las herramientas listas
para usar para crear aplicaciones, lo convierten en una amenaza potente que
plantea riesgos mucho más allá de la región y reduce el tiempo y el esfuerzo
necesarios para comprometer completamente un dispositivo, advirtió la empresa
de seguridad eslovaca.
El principal método de propagación del malware es la ingeniería social,
mediante la cual se envían a los usuarios enlaces a sitios web falsos que se
hacen pasar por servicios de streaming, plataformas de minería de
criptomonedas y otros servicios en línea de confianza.
Desde esos sitios, las víctimas son redirigidas a fichas falsas de
aplicaciones en Google Play Store que las engañan para instalar un archivo APK
de Android que contiene el malware. Una vez instalado, el malware solicita
permisos para usar los servicios de accesibilidad de Android y luego los
aprovecha para obtener acceso adicional al sistema sin ninguna interacción del
usuario.
Se cree que BTMOB es el
sucesor
de las familias CraxsRAT, CypherRAT y SpySolr. A mayo de 2026, la última
versión del malware (BTMOB v4.5.5) afirmaba ofrecer protección APK mejorada y
compatibilidad con las últimas actualizaciones de Google Play.
«Esta actualización se centra en la velocidad y la estabilidad»,
publicó un perfil X
supuestamente vinculado al malware el 1 de mayo de 2026.
«Hemos ampliado nuestra infraestructura y perfeccionado el generador para
que siempre tengas acceso a los últimos parches de seguridad móvil».
El troyano es promocionado por un actor malicioso llamado
EVLF
(@craxso) a un precio de 700 dólares al mes. Según un
vídeo de YouTube
compartido por el autor del malware el 1 de mayo de 2026, una licencia de por
vida cuesta 1200 dólares. El código fuente completo del servidor está
disponible por 7000 dólares, lo que permite a los clientes alojar los paneles
de comando y control (C2) en su propia infraestructura.
Esta misma semana, el perfil X también compartió un enlace a un
artículo de Medium
sobre «cómo el troyano BTMOB RAT está convirtiendo los teléfonos Android en
armas teledirigidas» y cómo ha estado «evolucionando rápidamente» desde
principios de 2025.
«Se infiltra a través de sitios de phishing, se apodera de los servicios de
accesibilidad y convierte tu teléfono en una marioneta», dice el artículo.
«Los hackers vigilan tu pantalla en tiempo real. Roban datos bancarios.
Incluso minan criptomonedas en segundo plano mientras navegas por
Instagram».
Curiosamente, el artículo fue publicado por una cuenta llamada
«Desarrollador principal de CraxsRAT». La biografía de la cuenta afirma
que se trata de un
«ciberdelincuente hábil e ingenioso que creó una lucrativa empresa de
ciberdelincuencia vendiendo malware RAT altamente avanzado a otros actores
maliciosos».
El hecho de que BTMOB se venda bajo un modelo de malware como servicio (MaaS)
conlleva el riesgo de facilitar el acceso a actores maliciosos menos
sofisticados. Esto se ve agravado por informes que indican que ya circulan
versiones filtradas en foros clandestinos y Telegram, lo que aumenta el riesgo
de abuso por parte de imitadores y otros aspirantes a delincuentes.
«El acceso rara vez se mantiene restringido indefinidamente, y la
herramienta puede llegar a mercados secundarios mediante la reventa, el
trueque o el intercambio dentro de grupos cerrados», declaró ESET.
«Otras familias de malware también pueden copiar algunos elementos que
facilitan la personalización de la carga útil y la gestión de campañas para
delincuentes menos experimentados».
La empresa italiana de ciberseguridad D3Lab, en un análisis del kit de
desarrollo del troyano de acceso remoto BTMOB, filtrado y publicado en
diciembre de 2025, afirmó que incluía el código fuente de la carga útil para
Android, su instalador, un entorno de compilación, el panel de control para
Windows, el servidor C2 y todas las dependencias de software necesarias para
desplegar la plataforma.
«La filtración de BTMOB ofrece una perspectiva única sobre el
funcionamiento interno de un ecosistema moderno de troyano de acceso remoto
como servicio para Android»,
señaló D3Lab
en aquel momento.
«Demuestra que el atacante no opera simplemente como un desarrollador que
vende un kit de herramientas, sino como un proveedor de servicios que impone
licencias, autenticación y control de versiones a sus clientes».
Fuente:
THN