Εκστρατείες με τα κακόβουλα λογισμικά Grandoreiro και BTMOB RAT στοχεύουν χρήστες Windows και Android

κακόβουλα λογισμικά,

Οι χρηματοπιστωτικοί οργανισμοί και οι χρήστες φορητών συσκευών σε Λατινική Αμερική και Ευρώπη έχουν τεθεί στο στόχαστρο δύο νέων εκστρατειών με τραπεζικά trojans. Τα συγκεκριμένα κακόβουλα λογισμικά έχουν σχεδιαστεί για να μολύνουν συσκευές Windows με το Grandoreiro και συσκευές Android με το BTMOB.

Σύμφωνα με πρόσφατα ευρήματα των εταιρειών ασφαλείας WatchGuard και ESET, οι δύο αυτές οικογένειες malware χρησιμοποιούνται για την προσβολή εταιρειών σε Ισπανία, Πορτογαλία και Μεξικό, καθώς και χρηστών κινητών τηλεφώνων στη Βραζιλία.

Η εξέλιξη του Grandoreiro στα Windows

Το Grandoreiro, το οποίο είναι ενεργό από το 2016, αποτελεί ένα συνεχώς εξελισσόμενο τραπεζικό κακόβουλο λογισμικό ικανό να υποκλέπτει διαπιστευτήρια που σχετίζονται με χιλιάδες χρηματοπιστωτικά ιδρύματα σε 45 χώρες. Συνήθως διανέμεται μέσω μηνυμάτων ηλεκτρονικού ψαρέματος (phishing), τα οποία καθοδηγούν τα θύματα να πατήσουν σε ύποπτους συνδέσμους.

Παρά τις συλλήψεις και τις προσπάθειες των βραζιλιάνικων αρχών να εξαρθρώσουν την υποδομή του στις αρχές του 2024, το λογισμικό συνεχίζει να επεκτείνεται, ενσωματώνοντας πλέον και ελέγχους CAPTCHA για να δυσκολέψει την ανάλυσή του από ερευνητές ασφαλείας.

Η τελευταία εκστρατεία που εντόπισε η WatchGuard στην Πορτογαλία χρησιμοποιεί την τεχνική DLL Side-Loading, εκμεταλλευόμενη τέσσερα διαφορετικά νόμιμα προγράμματα για την εκτέλεση αρχείων DLL που έχουν αναπτυχθεί σε Delphi 11.

Δύο από αυτά τα αρχεία – τα mingwm10.dll και libwebp.dll – ενσωματώνουν τη βιβλιοθήκη sgcWebSockets για την επίτευξη επικοινωνίας peer-to-peer (P2P) και WebRTC, χρησιμοποιώντας το πρωτόκολλο STUN (Session Traversal Utilities for NAT).

Οι επιτιθέμενοι επιλέγουν να κρύβουν τη δραστηριότητά τους μέσα στην κίνηση δεδομένων που αφορά διαδικτυακές διασκέψεις, καθώς αυτού του είδους η κίνηση είναι πυκνή, δύσκολη στην παρακολούθηση και θεωρείται αξιόπιστη από τους οργανισμούς.

Άλλα δύο αρχεία DLL της ίδιας εκστρατείας – τα libffi-6.dll και libpng15.dll – χρησιμοποιούν το πρωτόκολλο ICE αντί του STUN για τον ίδιο σκοπό, περιέχοντας ρητές αναφορές σε πορτογαλικές τράπεζες, όπως οι Abanca, Banco de Portugal, BBVA PT, Caixa Geral Depositos και Santander, καθώς και στις πλατφόρμες Revolut και Wise.

Παράλληλα, εντοπίστηκε και μια δεύτερη εκστρατεία όπου phishing emails παραδίδουν ένα αρχείο ZIP μέσω της υπηρεσίας Mediafire. Αυτό περιέχει ένα τροποποιημένο Visual Basic Script που εκκινεί ένα εκτελέσιμο αρχείο, το οποίο ζητά από τον χρήστη να αναβαθμίσει το Adobe Reader, προχωρώντας στη συνέχεια στην υποκλοπή τραπεζικών δεδομένων.

Το BTMOB RAT μετατρέπει τα κινητά Android σε υποχείρια

Την ίδια στιγμή, η ESET εξέδωσε αναφορά για το BTMOB, ένα trojan απομακρυσμένης πρόσβασης (RAT) για συσκευές Android που εμφανίστηκε για πρώτη φορά τον Φεβρουάριο του 2025.

Το συγκεκριμένο λογισμικό έχει τη δυνατότητα να ξεκλειδώνει συσκευές, να βγάζει στιγμιότυπα οθόνης, να καταγράφει πληκτρολογήσεις (keylogging) και να αυτοματοποιεί την κλοπή διαπιστευτηρίων μέσω εισαγωγής κώδικα HTML όταν ανοίγουν συγκεκριμένες εφαρμογές, ενώ σε νεότερη έκδοση απέκτησε και τη δυνατότητα υποκλοπής κωδικών PIN της υπηρεσίας Alipay.

Το BTMOB πωλείται με μια διεπαφή δημιουργίας αρχείων APK (APK builder), επιτρέποντας σε οποιονδήποτε αγοραστή να δημιουργήσει νέα κακόβουλα αρχεία και να προσαρμόσει τα μηνύματα phishing για συγκεκριμένες περιοχές, χωρίς να χρειάζεται να γράψει κώδικα.

Η διασπορά του γίνεται μέσω κοινωνικής μηχανικής, με την αποστολή συνδέσμων που οδηγούν σε ψεύτικες ιστοσελίδες οι οποίες παριστάνουν υπηρεσίες streaming ή πλατφόρμες εξόρυξης κρυπτονομισμάτων. Από εκεί, οι χρήστες κατευθύνονται σε πλαστές λίστες του Google Play Store, οι οποίες τους ξεγελούν ώστε να εγκαταστήσουν το κακόβουλο αρχείο APK.

Μετά την εγκατάσταση, το malware ζητά άδεια χρήσης των υπηρεσιών προσβασιμότητας (Accessibility Services) του Android και τις εκμεταλλεύεται για να παραχωρήσει στον εαυτό του επιπλέον δικαιώματα συστήματος χωρίς καμία αλληλεπίδραση με τον χρήστη. Το BTMOB θεωρείται ο διάδοχος των οικογενειών CraxsRAT, CypherRAT και SpySolr, και η τρέχουσα έκδοσή του προσφέρει ενισχυμένη προστασία του αρχείου APK και συμβατότητα με τις τελευταίες ενημερώσεις ασφαλείας της Google.

Το μοντέλο Malware-as-a-Service

Το BTMOB διατίθεται ως υπηρεσία (Malware-as-a-Service) από έναν δημιουργό με το ψευδώνυμο EVLF έναντι 700 δολαρίων τον μήνα, ενώ η ισόβια άδεια χρήσης κοστίζει 1.200 δολάρια και ο πλήρης πηγαίος κώδικας του διακομιστή ανέρχεται στα 7.000 δολάρια. Αυτό το μοντέλο διάθεσης μειώνει σημαντικά το εμπόδιο εισόδου για λιγότερο έμπειρους κυβερνοεγκληματίες.

Η κατάσταση περιπλέκεται καθώς διαρρεύσιμες εκδόσεις του εργαλείου ανάπτυξης του BTMOB έχουν ήδη αρχίσει να κυκλοφορούν σε υπόγεια φόρουμ και στο Telegram, αυξάνοντας τον κίνδυνο αντιγραφής του από τρίτους.

Ανάλυση της ιταλικής εταιρείας κυβερνοασφάλειας D3Lab σε διαρρεύσαν πακέτο του BTMOB έδειξε ότι αυτό περιλάμβανε τον πηγαίο κώδικα του ωφέλιμου φορτίου, το εργαλείο dropper, το περιβάλλον δημιουργίας, το πάνελ ελέγχου για Windows και το backend του διακομιστή C2, επιβεβαιώνοντας ότι οι δημιουργοί λειτουργούν πλέον ως οργανωμένοι πάροχοι υπηρεσιών λογισμικού που επιβάλλουν ελέγχους αδειών και αυθεντικοποίησης στους πελάτες τους.

Scroll to Top