\n WatchGuard<\/a>
\n y
\n ESET<\/a>, que han observado el uso de estas dos familias de malware para atacar a
\n empresas en Espa\u00f1a, Portugal y M\u00e9xico, as\u00ed como a usuarios de m\u00f3viles en
\n Brasil.\n<\/p>\n
\n Telef\u00f3nica Tech tambi\u00e9n ha publicado un an\u00e1lisis t\u00e9cnico sobre las campa\u00f1as \n La campa\u00f1a Grandoreiro \n Activo desde 2016, Grandoreiro es un malware bancario en constante evoluci\u00f3n \n A pesar de algunas detenciones e intentos de las autoridades brasile\u00f1as por \n La \u00faltima campa\u00f1a detectada por WatchGuard utiliza la carga lateral de DLL \n \u00abLas DLL asociadas a este caso utilizan el protocolo \n Otras dos DLL asociadas a la campa\u00f1a son libffi-6.dll<\/i> y \n WatchGuard tambi\u00e9n inform\u00f3 haber \n Al hacerlo, se activa una serie de comprobaciones destinadas a evitar la \n \u00abLo m\u00e1s relevante aqu\u00ed no es solo que Grandoreiro siga activo\u00bb<\/i>, afirm\u00f3 \n \u00abAl combinar phishing, carga lateral de DLL, componentes relacionados con \n La revelaci\u00f3n coincide con un informe de ESET sobre BTMOB, un troyano de \n \u00abEl RAT tambi\u00e9n se vende con una interfaz para crear APK, lo que permite a \n Las campa\u00f1as de BTMOB se han observado principalmente en ataques en Brasil y \n El principal m\u00e9todo de propagaci\u00f3n del malware es la ingenier\u00eda social, \n Desde esos sitios, las v\u00edctimas son redirigidas a fichas falsas de \n Se cree que BTMOB es el \n \u00abEsta actualizaci\u00f3n se centra en la velocidad y la estabilidad\u00bb<\/i>, \n El troyano es promocionado por un actor malicioso llamado \n Esta misma semana, el perfil X tambi\u00e9n comparti\u00f3 un enlace a un \n \u00abSe infiltra a trav\u00e9s de sitios de phishing, se apodera de los servicios de \n Curiosamente, el art\u00edculo fue publicado por una cuenta llamada \n El hecho de que BTMOB se venda bajo un modelo de malware como servicio (MaaS) \n \u00abEl acceso rara vez se mantiene restringido indefinidamente, y la \n La empresa italiana de ciberseguridad D3Lab, en un an\u00e1lisis del kit de \n \u00abLa filtraci\u00f3n de BTMOB ofrece una perspectiva \u00fanica sobre el
\n recientes de Grandoreiro. El documento completo,
\n disponible para descarga<\/a>, detalla la cadena de infecci\u00f3n del malware, sus mecanismos de evasi\u00f3n y las
\n t\u00e9cnicas para mantener la comunicaci\u00f3n con su infraestructura de mando y
\n control.\n<\/p>\n
\n \u00abutiliza la t\u00e9cnica de carga lateral de DLL, abusando de cuatro programas
\n diferentes y apuntando a bancos en Portugal\u00bb<\/i>, afirm\u00f3 Euler Neto, investigador de WatchGuard.\n<\/p>\n
\n capaz de robar credenciales de miles de instituciones financieras en 45 pa\u00edses
\n y territorios. Generalmente se distribuye mediante correos electr\u00f3nicos de
\n phishing, incitando a los destinatarios a hacer clic en enlaces sospechosos.\n<\/p>\n
\n desmantelar su infraestructura a principios de 2024, el malware ha seguido
\n expandiendo su alcance, incorporando comprobaciones CAPTCHA para resistir el
\n an\u00e1lisis.\n<\/p>\n
\n para ejecutar archivos desarrollados en Delphi 11, un lenguaje de programaci\u00f3n
\n com\u00fanmente empleado por malware dirigido a la regi\u00f3n. Dos de estas DLL \u2014mingwm10.dll<\/i>
\n y libwebp.dll<\/i>\u2014 incorporan
\n sgcWebSockets<\/a><\/i>, una biblioteca de WebSocket y comunicaci\u00f3n en tiempo real, para
\n comunicaciones punto a punto (P2P) y WebRTC.\n<\/p>\n
\n STUN<\/a>
\n (Session Traversal Utilities for NAT), que permite a los dispositivos detr\u00e1s
\n de un NAT descubrir su direcci\u00f3n IP p\u00fablica y n\u00famero de puerto,
\n posibilitando la comunicaci\u00f3n punto a punto\u00bb<\/i>,
\n explic\u00f3 WatchGuard<\/a>.
\n \u00abLa ventaja para los ciberdelincuentes de utilizar el tr\u00e1fico de
\n videoconferencias en sus campa\u00f1as radica en que este tr\u00e1fico es ruidoso,
\n dif\u00edcil de monitorizar y en que WebRTC se utiliza habitualmente en las
\n principales plataformas de videoconferencias\u00bb<\/i>.\n<\/p>\n
\n libpng15.dll<\/i>, que utilizan el protocolo
\n ICE<\/a>
\n (Interactive Connectivity Establishment)<\/i> en lugar de STUN para lograr
\n el mismo objetivo. Estos archivos hacen referencia espec\u00edfica a bancos e
\n instituciones financieras que operan en Portugal, como Abanca, Banco de
\n Portugal, BBVA PT, Caixa Geral Dep\u00f3sitos y Santander, entre otros. Tambi\u00e9n se
\n ha atacado a Revolut y Wise.\n<\/p>\n![](\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjVydJBQbifDVrFptQh20cL_12fb84qWixM51B-DJGSHlaixGSZRk6HXX6YwVyrufPH5qL6UYgWZYbgsA3XLL04UCIpIf-gGEt_glTugz3DkoTuzsmkA9i0n0NJwX7koVRwuZ6WPRr0AXzsXa_GohITg1fsF7OTllHl3-9QqH4HmC_df5lWHNKH9354eXPf\/w640-h188\/android.png\")
\n<\/div>\n
\n identificado otra campa\u00f1a<\/a>
\n en la que se utilizan correos electr\u00f3nicos de phishing para distribuir un
\n archivo ZIP alojado en Mediafire. El archivo contiene un script de Visual
\n Basic ofuscado que ejecuta un archivo ejecutable, el cual muestra un mensaje
\n solicitando a los usuarios que actualicen Adobe Reader haciendo clic en un
\n bot\u00f3n integrado en la alerta.\n<\/p>\n
\n detecci\u00f3n y dificultar el an\u00e1lisis del malware, antes de ejecutar la carga
\n \u00fatil final para robar informaci\u00f3n bancaria y datos confidenciales. Algunas de
\n las t\u00e1cticas coinciden con una campa\u00f1a anterior de Grandoreiro
\n detallada por Kaspersky<\/a>
\n en octubre de 2024.\n<\/p>\n
\n WatchGuard.
\n \u00abEs que los grupos de ciberdelincuentes con fines lucrativos contin\u00faan
\n adapt\u00e1ndose r\u00e1pidamente, reutilizando servicios leg\u00edtimos y ocult\u00e1ndose en
\n patrones de tr\u00e1fico en los que muchas organizaciones ya conf\u00edan\u00bb<\/i>.\n<\/p>\n
\n WebRTC, abuso de servicios en la nube y comprobaciones anti-an\u00e1lisis, estas
\n campa\u00f1as demuestran c\u00f3mo el malware bancario se est\u00e1 volviendo m\u00e1s dif\u00edcil
\n de detectar con defensas superficiales \u00fanicamente\u00bb.<\/i>\n<\/p>\n\n BTMOB ofrece herramientas de campa\u00f1a listas para usar
\n<\/h3>\n
\n acceso remoto (RAT) para Android que
\n surgi\u00f3 en febrero de 2025<\/a>
\n con la capacidad de desbloquear dispositivos, capturar capturas de pantalla,
\n registrar pulsaciones de teclas, automatizar el robo de credenciales mediante
\n inyecciones HTML al abrir ciertas aplicaciones y habilitar el control remoto.
\n Una versi\u00f3n posterior
\n introdujo<\/a>
\n la capacidad de capturar PIN de Alipay.\n<\/p>\n
\n cualquiera generar nuevas cargas \u00fatiles y adaptar se\u00f1uelos de phishing para
\n regiones espec\u00edficas con rapidez, y sin escribir c\u00f3digo\u00bb<\/i>,
\n afirm\u00f3<\/a>
\n Daniel Cunha Barbosa, investigador de ESET.\n<\/p>\n
\n Latinoam\u00e9rica, pero la distribuci\u00f3n basada en phishing y las capacidades de
\n toma de control de dispositivos del malware, junto con las herramientas listas
\n para usar para crear aplicaciones, lo convierten en una amenaza potente que
\n plantea riesgos mucho m\u00e1s all\u00e1 de la regi\u00f3n y reduce el tiempo y el esfuerzo
\n necesarios para comprometer completamente un dispositivo, advirti\u00f3 la empresa
\n de seguridad eslovaca.\n<\/p>\n
\n mediante la cual se env\u00edan a los usuarios enlaces a sitios web falsos que se
\n hacen pasar por servicios de streaming, plataformas de miner\u00eda de
\n criptomonedas y otros servicios en l\u00ednea de confianza.\n<\/p>\n
\n aplicaciones en Google Play Store que las enga\u00f1an para instalar un archivo APK
\n de Android que contiene el malware. Una vez instalado, el malware solicita
\n permisos para usar los servicios de accesibilidad de Android y luego los
\n aprovecha para obtener acceso adicional al sistema sin ninguna interacci\u00f3n del
\n usuario.\n<\/p>\n
\n sucesor<\/a>
\n de las familias CraxsRAT, CypherRAT y SpySolr. A mayo de 2026, la \u00faltima
\n versi\u00f3n del malware (BTMOB v4.5.5) afirmaba ofrecer protecci\u00f3n APK mejorada y
\n compatibilidad con las \u00faltimas actualizaciones de Google Play.\n<\/p>\n
\n public\u00f3 un perfil X<\/a>
\n supuestamente vinculado al malware el 1 de mayo de 2026.
\n \u00abHemos ampliado nuestra infraestructura y perfeccionado el generador para
\n que siempre tengas acceso a los \u00faltimos parches de seguridad m\u00f3vil\u00bb<\/i>.\n<\/p>\n
\n EVLF<\/a>
\n (@craxso<\/i>) a un precio de 700 d\u00f3lares al mes. Seg\u00fan un
\n v\u00eddeo de YouTube<\/a>
\n compartido por el autor del malware el 1 de mayo de 2026, una licencia de por
\n vida cuesta 1200 d\u00f3lares. El c\u00f3digo fuente completo del servidor est\u00e1
\n disponible por 7000 d\u00f3lares, lo que permite a los clientes alojar los paneles
\n de comando y control (C2) en su propia infraestructura.\n<\/p>\n
\n art\u00edculo de Medium<\/a>
\n sobre \u00abc\u00f3mo el troyano BTMOB RAT est\u00e1 convirtiendo los tel\u00e9fonos Android en
\n armas teledirigidas\u00bb y c\u00f3mo ha estado \u00abevolucionando r\u00e1pidamente\u00bb desde
\n principios de 2025.\n<\/p>\n
\n accesibilidad y convierte tu tel\u00e9fono en una marioneta\u00bb, dice el art\u00edculo.
\n \u00abLos hackers vigilan tu pantalla en tiempo real. Roban datos bancarios.
\n Incluso minan criptomonedas en segundo plano mientras navegas por
\n Instagram\u00bb<\/i>.\n<\/p>\n
\n \u00abDesarrollador principal de CraxsRAT\u00bb<\/i>. La biograf\u00eda de la cuenta afirma
\n que se trata de un
\n \u00abciberdelincuente h\u00e1bil e ingenioso que cre\u00f3 una lucrativa empresa de
\n ciberdelincuencia vendiendo malware RAT altamente avanzado a otros actores
\n maliciosos\u00bb.<\/i>\n<\/p>\n
\n conlleva el riesgo de facilitar el acceso a actores maliciosos menos
\n sofisticados. Esto se ve agravado por informes que indican que ya circulan
\n versiones filtradas en foros clandestinos y Telegram, lo que aumenta el riesgo
\n de abuso por parte de imitadores y otros aspirantes a delincuentes.\n<\/p>\n
\n herramienta puede llegar a mercados secundarios mediante la reventa, el
\n trueque o el intercambio dentro de grupos cerrados\u00bb<\/i>, declar\u00f3 ESET.
\n \u00abOtras familias de malware tambi\u00e9n pueden copiar algunos elementos que
\n facilitan la personalizaci\u00f3n de la carga \u00fatil y la gesti\u00f3n de campa\u00f1as para
\n delincuentes menos experimentados\u00bb.<\/i>\n<\/p>\n
\n desarrollo del troyano de acceso remoto BTMOB, filtrado y publicado en
\n diciembre de 2025, afirm\u00f3 que inclu\u00eda el c\u00f3digo fuente de la carga \u00fatil para
\n Android, su instalador, un entorno de compilaci\u00f3n, el panel de control para
\n Windows, el servidor C2 y todas las dependencias de software necesarias para
\n desplegar la plataforma.\n<\/p>\n
\n funcionamiento interno de un ecosistema moderno de troyano de acceso remoto
\n como servicio para Android\u00bb<\/i>,
\n se\u00f1al\u00f3 D3Lab<\/a>
\n en aquel momento.
\n \u00abDemuestra que el atacante no opera simplemente como un desarrollador que
\n vende un kit de herramientas, sino como un proveedor de servicios que impone
\n licencias, autenticaci\u00f3n y control de versiones a sus clientes\u00bb.<\/i>\n<\/p>\n