Die Grandoreiro-Kampagne nutzt laut WatchGuard-Forscher Euler Neto die Technik des DLL-Side-Loading und missbraucht dabei vier verschiedene legitime Programme, um Banken in Portugal anzugreifen. Trotz einiger Festnahmen und Versuche brasilianischer Behörden, die Infrastruktur Anfang 2024 zu zerschlagen, hat die Schadsoftware ihren Aktionsradius ausgeweitet und CAPTCHA-Prüfungen eingebaut, um die Analyse zu erschweren.
Die in der aktuellen Kampagne eingesetzten DLLs sind in Delphi 11 entwickelt – einer in der Region für Malware verbreiteten Programmiersprache. Zwei davon, mingwm10.dll und libwebp.dll, binden die WebSocket-Bibliothek sgcWebSockets für Peer-to-Peer- und WebRTC-Kommunikation ein. Sie verwenden laut WatchGuard das STUN-Protokoll, mit dem Geräte hinter einem NAT ihre öffentliche IP-Adresse und Portnummer ermitteln können. Der Vorteil für die Angreifer: Web-Konferenz-Datenverkehr ist laut WatchGuard „störungsreich", schwer zu überwachen und WebRTC auf allen großen Konferenzplattformen verbreitet.
Zwei weitere DLLs, libffi-6.dll und libpng15.dll, setzen stattdessen das ICE-Protokoll ein. Sie verweisen gezielt auf in Portugal tätige Finanzinstitute wie Abanca, Banco de Portugal, BBVA PT, Caixa Geral Depositos und Santander sowie auf Revolut und Wise.
WatchGuard beschreibt zudem eine zweite Kampagne, bei der Phishing-Mails ein über Mediafire gehostetes ZIP-Archiv ausliefern. Es enthält ein verschleiertes Visual-Basic-Skript, das eine ausführbare Datei startet und Nutzer auffordert, per Schaltfläche Adobe Reader zu aktualisieren. Anschließend laufen Prüfungen zur Tarnung, bevor die finale Schadkomponente Bankdaten abgreift. Einige Taktiken überschneiden sich mit einer von Kaspersky im Oktober 2024 beschriebenen Grandoreiro-Kampagne.
Parallel berichtet ESET über BTMOB, einen Android-RAT, der erstmals im Februar 2025 auftrat. Er kann Geräte entsperren, Screenshots erstellen, Tastatureingaben protokollieren, über HTML-Injektionen beim Öffnen bestimmter Apps automatisiert Zugangsdaten stehlen und Fernsteuerung ermöglichen; eine spätere Version fügte das Auslesen von Alipay-PINs hinzu. Laut ESET-Forscher Daniel Cunha Barbosa wird der Trojaner mit einer APK-Builder-Oberfläche verkauft, mit der sich ohne Programmierkenntnisse neue Schadpakete erzeugen und Phishing-Köder regional anpassen lassen.
Die Verbreitung erfolgt über Social Engineering: Opfer werden auf gefälschte Webseiten gelockt, die sich als Streaming-Dienste oder Krypto-Mining-Plattformen ausgeben, und von dort zu gefälschten Google-Play-Einträgen geleitet, die zur Installation einer schädlichen APK verleiten. Nach der Installation fordert die Malware Zugriff auf die Android-Bedienungshilfen und verschafft sich darüber weitere Systemrechte ohne Zutun des Nutzers. BTMOB gilt als Nachfolger der Familien CraxsRAT, CypherRAT und SpySolr; die jüngste Version war im Mai 2026 die 4.5.5.
Beworben wird der Trojaner von einem Akteur namens EVLF (@craxso) für 700 US-Dollar pro Monat, eine unbefristete Lizenz für 1.200 US-Dollar und der komplette Server-Quellcode für 7.000 US-Dollar. Da BTMOB im Malware-as-a-Service-Modell vertrieben wird, sinkt die Einstiegshürde für weniger versierte Täter – verschärft dadurch, dass laut Berichten bereits geleakte Versionen in Untergrundforen und auf Telegram kursieren. Die italienische Firma D3Lab analysierte im Dezember 2025 ein geleaktes BTMOB-Entwicklungspaket, das den Quellcode der Android-Schadkomponente, den Dropper, eine Builder-Umgebung, das Windows-Bedienpanel, das C2-Backend und alle nötigen Abhängigkeiten enthielt.
