Киберпреступники активизировались в Латинской Америке и Европе: пользователи Windows и Android сталкиваются с новыми кампаниями по распространению банковских троянов. По данным исследователей из WatchGuard и ESET, вредонос Grandoreiro атакует компьютеры, а BTMOB — смартфоны.
Основные цели — компании в Испании, Португалии и Мексике, а также мобильные пользователи в Бразилии.
Grandoreiro действует с 2016 года и постоянно эволюционирует. Вредонос способен похищать учётные данные клиентов тысяч финансовых организаций в 45 странах. Чаще всего заражение происходит через фишинговые письма: злоумышленники заманивают пользователей подозрительными ссылками.
Несмотря на аресты и попытки бразильских властей разрушить инфраструктуру трояна в начале 2024 года, Grandoreiro продолжает расширяться. Чтобы усложнить анализ, в код добавили проверку CAPTCHA.
В последней атаке, обнаруженной WatchGuard, злоумышленники используют технику подгрузки DLL (DLL Side‑Loading). Она позволяет запускать вредоносные библиотеки, созданные на языке программирования Delphi 11, — он популярен у создателей вредоносного ПО в регионе.
Ключевые элементы атаки:
DLL‑библиотеки. Две библиотеки — mingwm10.dll и libwebp.dll — используют библиотеку sgcWebSockets для P2P‑ и WebRTC‑коммуникаций.
Протокол STUN. Помогает устройствам за NAT определить свой публичный IP‑адрес и номер порта, обеспечивая прямое соединение между узлами.
Другие DLL. Библиотеки libffi‑6.dll и libpng15.dll применяют протокол ICE вместо STUN для тех же целей.
Кого атакуют
Вредонос нацелен на банки и финансовые организации Португалии, в т. ч.:
Abanca;
Banco de Portugal;
BBVA PT;
Caixa Geral Depositos;
Santander;
Revolut;
Wise.
WatchGuard также выявил кампанию, где фишинговые письма содержат ссылку на ZIP‑архив, размещённый на Mediafire. Внутри — запутанный скрипт на Visual Basic, который запускает исполняемый файл. Пользователю показывают сообщение с просьбой обновить Adobe Reader, предлагая нажать кнопку в окне предупреждения.
После клика запускается серия проверок, чтобы избежать обнаружения и усложнить анализ вредоноса. Затем активируется финальная полезная нагрузка — она крадёт банковские данные и конфиденциальную информацию. Некоторые приёмы совпадают с предыдущей кампанией Grandoreiro, о которой сообщал «Касперский» в октябре 2024 года.
Эксперты WatchGuard подчёркивают: проблема не только в активности Grandoreiro. Киберпреступники быстро адаптируются, используют легитимные сервисы и маскируются под обычный трафик, которому многие организации доверяют.
ESET сообщает о BTMOB — трояне удалённого доступа для Android, который появился в феврале 2025 года. Он умеет:
разблокировать устройства;
делать скриншоты;
записывать нажатия клавиш;
автоматически красть учётные данные через HTML‑инъекции при открытии определённых приложений;
предоставлять удалённый контроль;
перехватывать PIN‑коды Alipay (в более поздних версиях).
Троян продаётся с интерфейсом APK‑сборщика: любой может быстро создавать новые полезные нагрузки и адаптировать фишинговые приманки для конкретных регионов — без написания кода. Это значительно сокращает время и усилия, необходимые для взлома устройства.
Социальная инженерия. Пользователям отправляют ссылки на поддельные сайты, маскирующиеся под стриминговые сервисы или платформы для майнинга криптовалют.
Поддельные приложения. С сайтов жертв перенаправляют на фальшивые страницы в Google Play, где предлагают установить APK‑файл с вредоносным ПО.
Получение прав. После установки троян запрашивает доступ к службам специальных возможностей Android и использует его, чтобы получить дополнительные системные права без участия пользователя.
BTMOB считается преемником семейств CraxsRAT, CypherRAT и SpySolr. На май 2026 года последняя версия — 4.5.5. Она обещает улучшенную защиту APK и совместимость с последними обновлениями Google Play.
Бизнес‑модель: MaaS (Malware‑as‑a‑Service)
Злоумышленник под ником EVLF (@craxso) продаёт BTMOB по подписке:
$700 в месяц;
пожизненная лицензия — $1 200;
полный исходный код сервера — $7 000 (позволяет клиентам размещать панели управления на своей инфраструктуре).
Утечка инструментария BTMOB в декабре 2025 года (анализ D3Lab) показала, что в комплект входят:
исходный код Android‑полезной нагрузки;
дроппер;
среда сборки;
панель оператора для Windows;
бэкенд C2;
все зависимости для развёртывания платформы.
Это снижает порог входа для менее опытных киберпреступников. Утечки уже циркулируют на подпольных форумах и в Telegram, увеличивая риск злоупотреблений.
Чтобы комментировать, зарегистрируйтесь или авторизуйтесь
Microsoft внедряет новую функцию Cloud‑Initiated Driver Recovery для Windows Update — она позволит автоматически откатывать проблемные драйверы через облако. Теперь, если обновление вызывает сбои в работе устройств или получает низкую оценку качества, компания сможет удалённо заменить драйвер без участия пользователя и производителя оборудования.
Производители программного обеспечения выпустили срочные обновления для устранения критических уязвимостей. Эти бреши могли позволить злоумышленникам обойти защиту, получить доступ к данным или выполнить произвольный код. Разберём подробно, какие проблемы были найдены и как их устранили.
Компания Microsoft сообщила о критической уязвимости в локальных версиях почтового сервера Exchange Server. Проблема с идентификатором CVE‑2026‑42897 (оценка по шкале CVSS — 8,1 балла) уже используется злоумышленниками для атак в реальных условиях.