MalwareHackerangriffeCyberkriminalität

Grandoreiro und BTMOB: Banking-Trojaner bedrohen europäische und brasilianische Nutzer

Von CyberDeutsch Redaktion
Grandoreiro und BTMOB: Banking-Trojaner bedrohen europäische und brasilianische Nutzer
Zusammenfassung

Zwei umfangreiche Malware-Kampagnen gefährden derzeit Nutzer und Finanzinstitutionen in Europa und Lateinamerika. Die Sicherheitsfirmen WatchGuard und ESET haben die Verbreitung der Banking-Trojaner Grandoreiro und BTMOB dokumentiert, die gezielt auf Windows- und Android-Geräte abzielen. Grandoreiro, seit 2016 aktiv, hat sich trotz Abschaltungsversuchen brasilianischer Behörden im frühen 2024 weiterentwickelt und bedroht mittlerweile Finanzinstitutionen in 45 Ländern – darunter prominente europäische Banken in Portugal und Spanien wie BBVA, Santander und Caixa Geral Depositos. Die Malware nutzt raffinierte Techniken wie DLL-Seitenladen und WebRTC-Kommunikation, um Erkennungssystemen zu entgehen. Parallel dazu verbreitet sich BTMOB, ein Android-RAT, der Geräte in vollständige Remote-Marionetten verwandelt und es Angreifern ermöglicht, Banking-Daten zu stehlen und Kryptowährungen zu schürfen. Besonders besorgniserregend ist die Malware-as-a-Service-Struktur beider Kampagnen, die es auch weniger technisch versierten Kriminellen ermöglicht, groß angelegte Anschläge durchzuführen. Deutsche Nutzer und Unternehmen sind zwar nicht primär im Fokus, sollten aber die fortgeschrittenen Social-Engineering- und Phishing-Techniken ernst nehmen.

Die Banking-Trojaner Grandoreiro und BTMOB sind zurück und gefährlicher denn je. Während Grandoreiro bereits seit 2016 im Umlauf ist, nutzt die jüngste Kampagne eine bisher weniger verbreitete Angriffstechnik: DLL-Side-Loading. Dabei werden legitime Softwarekomponenten missbraucht, um böswillige DLLs zu laden.

Die Grandoreiro-Kampagne richtet sich primär gegen portugiesische Banken wie Abanca, Banco de Portugal, BBVA PT und Caixa Geral Depositos sowie internationale Fintech-Dienste wie Revolut und Wise. Besonders raffiniert ist die Implementierung: Die verwendeten DLLs (mingwm10.dll, libwebp.dll, libffi-6.dll und libpng15.dll) wurden in Delphi 11 programmiert und nutzen WebSocket-Bibliotheken sowie STUN- und ICE-Protokolle für Peer-to-Peer-Kommunikation. Dies erschwert die Erkennung erheblich, da die Kommunikation im Rauschen von Web-Conferencing-Traffic verschwindet.

Das Verbreitungsmodell ist besorgniserregend: Phishing-E-Mails leiten Opfer auf Fake-Websites, wo sie vermeintliche Adobe-Reader-Updates installieren. Stattdessen laden sie sich Banking-Malware herunter, die Credentials stiehlt und Zwei-Faktor-Authentifizierung umgeht.

Yet BTMOB präsentiert ein noch problematischere Bedrohung. Der Android-Trojaner, der seit Februar 2025 aktiv ist, wird offen als Malware-as-a-Service vermarktet. Für 700 Dollar monatlich oder 1.200 Dollar lebenslang können auch weniger technisch versierte Cyberkriminelle voller funktionsfähige Android-Trojaner deployed. Die aktuelle Version 4.5.5 bietet einen grafischen APK-Builder, mit dem Angreifer ohne Code-Kenntnisse neue Varianten erstellen können.

BTMOB nutzt Social Engineering, um Nutzer auf Fake-Streaming- oder Krypto-Mining-Websites zu locken. Von dort werden Android-Apps über gefälschte Google-Play-Store-Einträge verteilt. Nach Installation missbräuchlich Accessibility Services, was dem Trojaner Fernzugriff auf das Gerät ermöglicht — der Benutzer bemerkt nichts davon.

Das Leak der kompletten BTMOB-Entwicklungs-Toolkit im Dezember 2025 verschärft die Situation. Die freizügige Verfügbarkeit des Quellcodes in Underground-Foren und Telegram bedeutet, dass Copycats schnell entstehen können.

Für Nutzer und Unternehmen gilt: Vorsicht bei verdächtigen Links, regelmäßige Software-Updates, und die Überprüfung von App-Berechtigungen sind essentiell. Das BSI empfiehlt zusätzlich Multi-Faktor-Authentifizierung und kontinuierliche Überwachung verdächtiger Aktivitäten.

Ähnliche Artikel