Chiến dịch mã độc Grandoreiro và BTMOB RAT tấn công người dùng Windows và Android

Khu vực Mỹ Latinh và Châu Âu đang trở thành mục tiêu của hai chiến dịch Trojan ngân hàng được thiết kế để lây nhiễm các thiết bị Windows và Android lần lượt bằng mã độc Grandoreiro và BTMOB. Theo những phát hiện mới từ WatchGuard và ESET, hai dòng mã độc này đang được sử dụng để nhắm vào các công ty tại Tây Ban Nha, Bồ Đào Nha và Mexico, cũng như người dùng di động tại Brazil.
Mã độc tấn công Android và Windows

Khu vực Mỹ Latinh và Châu Âu đang trở thành mục tiêu của hai chiến dịch Trojan ngân hàng được thiết kế để lây nhiễm các thiết bị Windows và Android, lần lượt sử dụng mã độc Grandoreiro và BTMOB.

Thông tin này dựa trên những phát hiện mới từ WatchGuard và ESET, những đơn vị đã quan sát thấy hai dòng mã độc này đang được sử dụng để nhắm vào các công ty tại Tây Ban Nha, Bồ Đào Nha và Mexico, cũng như người dùng di động tại Brazil.

Chiến dịch Grandoreiro "sử dụng kỹ thuật DLL Side-Loading lợi dụng bốn phần mềm khác nhau, nhắm mục tiêu vào các ngân hàng ở Bồ Đào Nha," nhà nghiên cứu Euler Neto của WatchGuard cho biết.

Hoạt động từ năm 2016, Grandoreiro là một mã độc ngân hàng liên tục phát triển, có khả năng đánh cắp thông tin đăng nhập liên quan đến hàng ngàn tổ chức tài chính tại 45 quốc gia và vùng lãnh thổ. Nó thường được phát tán qua email phishing, hướng dẫn người nhận nhấp vào các liên kết đáng ngờ.

Mặc dù một số vụ bắt giữ đã diễn ra và các nhà chức trách Brazil đã nỗ lực triệt phá hạ tầng của nó vào đầu năm 2024, mã độc này vẫn tiếp tục mở rộng phạm vi nhắm mục tiêu, đồng thời tích hợp các bước kiểm tra CAPTCHA để chống lại việc phân tích.

Chiến dịch mới nhất được WatchGuard gắn cờ đã sử dụng DLL side-loading để thực thi các tệp DLL được phát triển bằng Delphi 11, một ngôn ngữ lập trình thường được sử dụng cho mã độc nhắm vào khu vực này. Hai trong số các tệp DLL - mingwm10.dll và libwebp.dll - đã được tìm thấy tích hợp sgcWebSockets, một thư viện WebSocket và truyền thông thời gian thực, phục vụ cho giao tiếp Peer-to-Peer (P2P) và WebRTC.

"Các tệp DLL liên quan đến trường hợp này sử dụng giao thức Session Traversal Utilities for NAT (STUN), một giao thức giúp các thiết bị sau NAT phát hiện địa chỉ IP công cộng và số cổng của chúng, cho phép giao tiếp ngang hàng," WatchGuard giải thích.

"Lợi thế của các tác nhân đe dọa khi sử dụng lưu lượng truy cập hội nghị web trong các chiến dịch của chúng là do lưu lượng này có độ nhiễu cao, khó giám sát và WebRTC được sử dụng phổ biến trên tất cả các nền tảng hội nghị trực tuyến lớn."

Hai tệp DLL khác liên quan đến chiến dịch là libffi-6.dll và libpng15.dll, sử dụng giao thức Interactive Connectivity Establishment (ICE) thay vì STUN để đạt được mục tiêu tương tự. Các tệp này nhắm mục tiêu cụ thể đến các ngân hàng và tổ chức tài chính hoạt động tại Bồ Đào Nha, chẳng hạn như Abanca, Banco de Portugal, BBVA PT, Caixa Geral Depositos và Santander, cùng nhiều đơn vị khác. Revolut và Wise cũng nằm trong danh sách mục tiêu.

Sơ đồ tấn công của mã độc Android

WatchGuard cũng cho biết họ đã xác định được một chiến dịch khác, trong đó email phishing được sử dụng để gửi một tệp nén ZIP lưu trữ trên Mediafire. Tệp này chứa một Visual Basic Script đã được làm rối mã nguồn, chịu trách nhiệm thực thi một tệp thực thi hiển thị thông báo yêu cầu người dùng cập nhật Adobe Reader bằng cách nhấp vào một nút được nhúng trong cảnh báo.

Hành động này sẽ kích hoạt một loạt các bước kiểm tra nhằm tránh bị phát hiện và gây khó khăn cho việc phân tích mã độc, trước khi triển khai payload cuối cùng để đánh cắp thông tin ngân hàng và dữ liệu nhạy cảm. Một số chiến thuật trùng lặp với một chiến dịch Grandoreiro trước đó đã được Kaspersky chi tiết vào tháng 10 năm 2024.

"Câu chuyện lớn hơn ở đây không chỉ là việc Grandoreiro vẫn còn hoạt động," WatchGuard cho biết. "Mà là các nhóm đe dọa có động cơ tài chính đang tiếp tục thích nghi nhanh chóng, tái sử dụng các dịch vụ hợp pháp và ẩn mình bên trong các mẫu lưu lượng truy cập mà nhiều tổ chức có thể đã tin tưởng."

BTMOB Cung Cấp Các Công Cụ Chiến Dịch Có Sẵn

Tiết lộ này trùng hợp với báo cáo từ ESET về BTMOB, một Trojan truy cập từ xa (RAT) trên Android xuất hiện lần đầu vào tháng 2 năm 2025 với các khả năng mở khóa thiết bị, chụp ảnh màn hình, ghi lại phím nhấn (keystroke logging), tự động đánh cắp thông tin đăng nhập thông qua HTML injection khi các ứng dụng nhất định được mở và cho phép điều khiển từ xa. Một phiên bản sau đó đã bổ sung khả năng đánh cắp mã PIN Alipay.

"RAT này cũng được bán kèm với giao diện APK builder, cho phép bất kỳ ai cũng có thể tạo payload mới và tùy chỉnh mồi nhử phishing cho các khu vực cụ thể một cách nhanh chóng - mà không cần viết mã," nhà nghiên cứu Daniel Cunha Barbosa của ESET cho biết.

Những công cụ có sẵn này giúp giảm bớt thời gian và công sức cần thiết để thực hiện một vụ xâm nhập thiết bị hoàn chỉnh. Phương thức lây lan chính của mã độc là thông qua kỹ thuật xã hội (social engineering), nơi người dùng được gửi các liên kết đến các trang web giả mạo mạo danh các dịch vụ phát trực tuyến hoặc nền tảng khai thác tiền điện tử.

Từ những trang web đó, nạn nhân được chuyển hướng đến các danh sách ứng dụng Google Play Store giả mạo, lừa họ cài đặt tệp Android package (APK) chứa mã độc. Sau khi được cài đặt, mã độc sẽ yêu cầu quyền sử dụng dịch vụ hỗ trợ tiếp cận (accessibility services) của Android, sau đó lợi dụng nó để tự cấp thêm các quyền truy cập hệ thống khác mà không cần sự tương tác của người dùng.

BTMOB được tin là "người kế nhiệm" của các dòng mã độc CraxsRAT, CypherRAT và SpySolr. Tính đến tháng 5 năm 2026, phiên bản mới nhất của mã độc là 4.5.5, tuyên bố cung cấp khả năng bảo vệ APK tăng cường và tương thích với các bản cập nhật Google Play mới nhất.

Trojan này được quảng cáo bởi một tác nhân đe dọa tên là EVLF (@craxso) với mức giá 700 USD mỗi tháng. Một giấy phép trọn đời có giá 1.200 USD. Toàn bộ mã nguồn máy chủ có sẵn với giá 7.000 USD, cho phép khách hàng tự lưu trữ bảng điều khiển Command-and-Control (C2) trên hạ tầng của riêng họ.

Việc BTMOB được bán theo mô hình Mã độc dưới dạng dịch vụ (Malware-as-a-Service - MaaS) có nguy cơ làm giảm rào cản gia nhập cho các tác nhân đe dọa ít tinh vi hơn. Điều này càng trở nên nghiêm trọng hơn khi có báo cáo rằng các phiên bản rò rỉ đã lưu thông trên các diễn đàn ngầm và Telegram.

"Sự rò rỉ BTMOB cung cấp một cái nhìn hiếm hoi về hoạt động bên trong của một hệ sinh thái Android RAT-as-a-Service hiện đại," công ty an ninh mạng D3Lab của Ý lưu ý. "Nó chứng minh rằng tác nhân đe dọa không chỉ hoạt động như một nhà phát triển bán bộ công cụ, mà còn như một nhà cung cấp dịch vụ thực thi việc cấp phép, xác thực và kiểm soát phiên bản đối với khách hàng của họ."