Thought Leadership
WatchGuard und ESET dokumentieren neue Angriffswellen mit den Schadsoftware-Familien Grandoreiro und BTMOB gegen Desktops und Mobilgeräte.
Die IT-Sicherheitsunternehmen WatchGuard und ESET haben Berichte über zwei parallel verlaufende Kampagnen mit Banking-Trojanern veröffentlicht. Die Angriffe richten sich gezielt gegen Endanwender und Unternehmen in mehreren europäischen und lateinamerikanischen Ländern, darunter Spanien, Portugal, Mexiko und Brasilien. Während die Kampagne rund um die Schadsoftware Grandoreiro primär auf Windows-basierte Systeme in Portugal und Spanien abzielt, konzentriert sich die Schadsoftware-Familie BTMOB auf die Infektion von Android-Mobilgeräten.
Beide Bedrohungen zeichnen sich durch ein hohes Maß an technologischer Anpassung aus und nutzen bestehende Infrastrukturen aus, um traditionelle Abwehrmechanismen auf Endpunkten zu umgehen. Das primäre Ziel der finanziell motivierten Akteure besteht im Diebstahl von sensiblen Zugangsdaten für das Online-Banking sowie in der Übernahme der vollständigen Kontrolle über die infizierten Geräte.
DLL-Side-Loading und WebRTC-Missbrauch
Die von WatchGuard dokumentierte Grandoreiro-Kampagne verwendet hochentwickelte Verschleierungstechniken auf Windows-Systemen. Nach Angaben des Sicherheitsforschers Euler Neto nutzen die Angreifer das sogenannte DLL-Side-Loading-Verfahren. Hierbei werden legitime Anwendungen missbraucht, um schadhafte Programmbibliotheken im Hintergrund auszuführen.
In der aktuellen Kampagne betrifft dies vier unterschiedliche Software-Komponenten. Die Schadsoftware selbst wurde in der Programmiersprache Delphi 11 entwickelt, die im lateinamerikanischen Raum traditionell häufig für die Erstellung von Banking-Malware genutzt wird. Zwei der identifizierten Bibliotheken, namentlich mingwm10.dll und libwebp.dll, integrieren eine spezialisierte Kommunikationsbibliothek namens sgcWebSockets. Diese wird verwendet, um Peer-to-Peer- und WebRTC-Verbindungen direkt zwischen dem infizierten Host und den Befehlsservern der Angreifer aufzubauen.
Durch die Nutzung des STUN-Protokolls (Session Traversal Utilities for NAT) sind die infizierten Systeme in der Lage, ihre eigene öffentliche IP-Adresse und die zugehörigen Portnummern hinter einer Firewall oder einem NAT-Router selbstständig zu ermitteln. Der Vorteil für die Angreifer liegt darin, dass der Datenverkehr von Webkonferenzen extrem umfangreich und im regulären Netzwerkverkehr schwer zu überwachen ist.
Da WebRTC auf fast allen modernen Kommunikationsplattformen standardmäßig verwendet wird, verschwinden die schadhaften Aktivitäten in den regulären Hintergrunddaten der Unternehmen. Andere Komponenten der Kampagne, wie libffi-6.dll und libpng15.dll, nutzen alternativ das ICE-Protokoll (Interactive Connectivity Establishment), um denselben Zweck zu erfüllen. Die Schadsoftware referenziert im Code explizit große portugiesische Finanzinstitute wie Abanca, Banco de Portugal, BBVA PT, Caixa Geral Depositos und Santander sowie die Fintech-Dienste Revolut und Wise.
Umgehung von Sicherheitsanalysen und Verteilung über Cloud-Dienste
Neben der WebRTC-Kommunikation wurde eine parallele Grandoreiro-Kampagne identifiziert, die auf klassischen Phishing-E-Mails basiert. Die Opfer erhalten Nachrichten, die sie zum Herunterladen eines ZIP-Archivs auffordern, das auf der Cloud-Plattform Mediafire gehostet wird. Dieses Archiv enthält ein verschleiertes Visual Basic Script, welches beim Ausführen eine ausführbare Datei startet. Diese Datei blendet ein gefälschtes Benachrichtigungsfenster ein, das den Anwender dazu auffordert, eine angebliche Aktualisierung für das Programm Adobe Reader per Knopfdruck zu bestätigen. Das Klicken auf diese Schaltfläche löst eine komplexe Kaskade von Systemprüfungen aus.
Um eine Entdeckung durch Sicherheitsanalysten und automatisierte Sandbox-Umgebungen zu verhindern, nutzt Grandoreiro unter anderem CAPTCHA-Abfragen. Das Programm verifiziert, ob ein realer Mensch vor dem Bildschirm sitzt, bevor die eigentliche Schadlast aktiviert wird. WatchGuard wies in diesem Zusammenhang auf die strategische Anpassung der Kriminellen hin und erklärte wortwörtlich: Die größere Geschichte hier ist nicht nur, dass Grandoreiro immer noch aktiv ist. Es ist, dass finanziell motivierte Bedrohungsgruppen sich weiterhin schnell anpassen, legitime Dienste wiederverwenden und sich in Datenverkehrsmustern verstecken, denen viele Organisationen bereits vertrauen. Durch die Kombination von Phishing, DLL-Side-Loading, WebRTC-Komponenten und dem Missbrauch von Cloud-Diensten erweisen sich diese Kampagnen als äußerst resistent gegenüber oberflächlichen Sicherheitskontrollen.
Der BTMOB-Trojaner und das Malware-as-a-Service-Modell für Android
Zeitgleich zu den Windows-Angriffen dokumentiert ein Bericht des IT-Sicherheitsunternehmens ESET die rasante Evolution des Android-Trojaners BTMOB. Dieser Remote Access Trojaner trat erstmals im Februar 2025 in Erscheinung und verfügt über weitreichende Fähigkeiten zur Gerätekontrolle. BTMOB kann infizierte Mobiltelefone eigenständig entsperren, kontinuierlich Screenshots anfertigen, Tastaturanschläge protokollieren und über manipulierte HTML-Overlays beim Öffnen legitimer Finanz-Apps Zugangsdaten abfangen. Neuere Versionen des Trojaners wurden zudem um Funktionen zum Diebstahl von Alipay-PINs erweitert. Nach Analysen des Sicherheitsforschers Daniel Cunha Barbosa wird die Schadsoftware nach dem Prinzip Malware-as-a-Service vertrieben. Die Käufer erhalten Zugriff auf eine automatisierte APK-Builder-Schnittstelle, mit der sich ohne Programmierkenntnisse maßgeschneiderte schadhafte Android-Pakete für spezifische Regionen erstellen lassen.
Der primäre Verbreitungsweg von BTMOB basiert auf Social-Engineering-Taktiken. Opfer werden über Phishing-Links auf gefälschte Internetseiten geleitet, die sich als Streaming-Dienste oder Plattformen für das Schürfen von Kryptowährungen ausgeben. Von dort aus erfolgt eine Weiterleitung auf direkte App-Stores, die den offiziellen Google Play Store imitieren und den Download einer infizierten APK-Datei erzwingen. Nach der Installation erschleicht sich die Software den Zugriff auf die Barrierefreiheitsdienste (Accessibility Services) von Android. Über diese Schnittstelle erteilt sich der Trojaner eigenständig sämtliche administrativen Systemberechtigungen, ohne dass dafür eine weitere Interaktion mit dem Benutzer erforderlich ist.
Der Entwickler der Software, der unter dem Pseudonym EVLF agiert, bietet Lizenzen für 700 US-Dollar pro Monat oder als lebenslange Lizenz für 1200 US-Dollar an. Der vollständige Quellcode für die Server-Infrastruktur wird in Untergrundforen und über den Messengerdienst Telegram für 7000 US-Dollar gehandelt. Eine geleakte Version des Entwicklungskits, die vom italienischen Sicherheitsunternehmen D3Lab analysiert wurde, enthielt den gesamten Payload-Quellcode, Dropper und Administrations-Panels für Windows.
Implikationen für das IT-Sicherheitsmanagement und die Endgerätesicherheit
Die anhaltende Aktivität und technologische Verfeinerung von Grandoreiro und BTMOB im Jahr 2026 unterstreichen die Notwendigkeit für ein proaktives IT-Risikomanagement in Unternehmen. Da mobile Endgeräte über den Zugriff auf Firmen-E-Mails und Authentifizierungs-Apps zunehmend als Brücke in interne Netzwerke dienen, stellt die Kompromittierung eines Android-Geräts eine Bedrohung für die gesamte IT-Infrastruktur dar. Organisationen müssen im Rahmen ihrer IT-Governance strikte Richtlinien für die Nutzung von geschäftlichen Mobilgeräten durchsetzen.
Hierzu gehört die konsequente Deaktivierung von Installationen aus unbekannten Quellen sowie die Überwachung und Einschränkung von weitreichenden Android-Rechten wie den Barrierefreiheitsdiensten durch Mobile-Device-Management-Systeme. Auf Netzwerkebene müssen IT-Verantwortliche den ausgehenden verschlüsselten WebRTC- und WebSocket-Datenverkehr kontinuierlich auf Anomalien analysieren, um verdeckte Kommunikationskanäle von Windows-Trojanern wie Grandoreiro frühzeitig zu blockieren und die Compliance-Vorgaben nachhaltig abzusichern.
