América Latina y Europa se convierten en el objetivo de dos campañas de troyanos bancarios diseñados para infectar dispositivos Windows y Android con malware Grandoreiro y BTMOB, respectivamente.
Esto es según nuevos hallazgos de WatchGuard y ESET, que han observado que las dos familias de malware se utilizan para identificar empresas en España, Portugal y México, así como usuarios de dispositivos móviles en Brasil.
La campaña Grandoreiro «utiliza la técnica DLL Side-Loading abusando de cuatro software diferentes, apuntando a bancos en Portugal», dijo el investigador de WatchGuard Euler Neto.
Activo desde 2016, Grandoreiro es un malware bancario en evolución activa que es capaz de robar credenciales asociadas con miles de instituciones financieras en 45 países y territorios. Por lo general, se distribuye a través de correos electrónicos de phishing, instruyendo a los destinatarios a hacer clic en enlaces incompletos.
A pesar de algunos arrestos e intentos de las autoridades brasileñas de desmantelar su infraestructura a principios de 2024, el malware ha seguido ampliando su alcance, al tiempo que incorpora comprobaciones CAPTCHA para resistir el análisis.
Se descubrió que la última campaña señalada por WatchGuard aprovecha la carga lateral de DLL para lanzar DLL desarrolladas en Delphi 11, un lenguaje de programación comúnmente utilizado para malware dirigido a la región. Se ha descubierto que dos de las DLL, mingwm10.dll y libwebp.dll, incorporan sgcWebSockets, una biblioteca de WebSocket y comunicación en tiempo real, para comunicaciones peer-to-peer (P2P) y WebRTC.
«Las DLL asociadas con este caso utilizan el protocolo Session Traversal Utilities for NAT (STUN), que es un protocolo que ayuda a los dispositivos detrás de un NAT a descubrir su dirección IP pública y número de puerto, lo que permite la comunicación entre pares», explicó WatchGuard.
«La ventaja para los actores de amenazas de utilizar tráfico de conferencias web en sus campañas se debe a que este tráfico es ruidoso, difícil de monitorear y a que WebRTC se usa comúnmente en todas las principales plataformas de conferencias web».
Otras dos DLL asociadas con la campaña son libffi-6.dll y libpng15.dll, que utilizan el protocolo Interactive Connectivity Establishment (ICE) en lugar de STUN para lograr el mismo objetivo. Estos ficheros hacen referencia específica a bancos e instituciones financieras que operan en Portugal, como Abanca, Banco de Portugal, BBVA PT, Caixa Geral Depositos y Santander, entre otros. También son objetivos Revolut y Wise.
WatchGuard también dijo que identificó otra campaña en la que se utilizan correos electrónicos de phishing para entregar un archivo ZIP alojado en Mediafire. El archivo contiene un script de Visual Basic ofuscado que es responsable de iniciar un ejecutable, que muestra un mensaje que solicita a los usuarios que actualicen Adobe Reader haciendo clic en un botón incrustado en la alerta.
Al hacerlo, se activa una serie de comprobaciones destinadas a evitar la detección y complicar el análisis de malware, antes de lanzar la carga útil final para robar información bancaria y datos confidenciales. Algunas de las tácticas se superponen con una campaña anterior de Grandoreiro detallada por Kaspersky en octubre de 2024.
«La historia más importante aquí no es sólo que Grandoreiro todavía esté activo», dijo WatchGuard. «El problema es que los grupos de amenazas motivados financieramente continúan adaptándose rápidamente, reutilizando servicios legítimos y escondiéndose dentro de patrones de tráfico en los que muchas organizaciones ya pueden confiar».
«Al combinar phishing, carga lateral de DLL, componentes relacionados con WebRTC, abuso de servicios en la nube y comprobaciones antianálisis, estas campañas muestran cómo el malware bancario se está volviendo más difícil de detectar solo con defensas a nivel de superficie».
BTMOB ofrece herramientas de campaña listas para usar
La divulgación coincide con un informe de ESET sobre BTMOB, un troyano de acceso remoto (RAT) de Android que surgió por primera vez en febrero de 2025 con capacidades para desbloquear dispositivos, capturar capturas de pantalla, registrar pulsaciones de teclas, automatizar el robo de credenciales mediante inyecciones de HTML cuando se abren ciertas aplicaciones y habilitar el control remoto. Una iteración posterior introdujo la capacidad de capturar PIN de Alipay.
«El RAT también se vende con una interfaz de creación de APK, lo que permite a cualquiera generar nuevas cargas útiles y adaptar señuelos de phishing para regiones específicas en un momento rápido y sin escribir ningún código», dijo el investigador de ESET Daniel Cunha Barbosa.
Estas herramientas listas para usar reducen aún más el tiempo y el esfuerzo necesarios para realizar un compromiso completo del dispositivo. El método principal a través del cual se propaga el malware es a través de la ingeniería social, donde a los usuarios se les envían enlaces a sitios web falsos que se hacen pasar por servicios de transmisión por secuencias o plataformas de minería de criptomonedas.
Desde esos sitios, las víctimas son dirigidas a listados falsos de aplicaciones de Google Play Store que las engañan para que instalen un archivo de paquete de Android (APK) que contiene el malware. Una vez instalado, el malware busca permisos para utilizar los servicios de accesibilidad de Android y luego los aprovecha para otorgarse acceso adicional al sistema sin ninguna interacción del usuario.
Se cree que BTMOB es el sucesor de las familias CraxsRAT, CypherRAT y SpySolr. En mayo de 2026, la última versión del malware es la 4.5.5 y afirma ofrecer protección APK mejorada y compatibilidad con las últimas actualizaciones de Google Play.
«Esta actualización tiene que ver con la velocidad y la estabilidad», un perfil X supuestamente vinculado al malware publicado el 1 de mayo de 2026. «Hemos ampliado nuestra infraestructura y perfeccionado el constructor para mantenerlo a la vanguardia de los últimos parches de seguridad móvil».
El troyano es anunciado por un actor de amenazas llamado EVLF (@craxso) por un precio de 700 dólares al mes. Según un vídeo de YouTube compartido por el autor del malware el 1 de mayo de 2026, una licencia de por vida vale 1200 dólares. El código fuente completo del servidor está disponible por 7.000 dólares, lo que permite a los clientes alojar los paneles de comando y control (C2) en su propia infraestructura.
Tan recientemente como esta semana, el perfil X también compartió un enlace a un artículo de Medium sobre «cómo BTMOB RAT está convirtiendo los teléfonos Android en armas controladas a distancia» y ha estado «evolucionando rápidamente» desde principios de 2025.
«Se cuela a través de sitios de phishing, capta servicios de accesibilidad y convierte su teléfono en una marioneta», se lee en el artículo. «Los piratas informáticos observan tu pantalla en vivo. Roban datos bancarios. Incluso extraen criptomonedas en segundo plano mientras navegas por Instagram».
Curiosamente, el artículo fue publicado por una cuenta denominada «Desarrollador principal de CraxsRAT». La biografía de la cuenta afirma que es un «cibercriminal hábil e ingenioso que construyó una rentable empresa de cibercrimen vendiendo malware RAT altamente avanzado a otros actores de amenazas».
El hecho de que BTMOB se venda bajo un modelo de malware como servicio (MaaS) corre el riesgo de reducir la barrera de entrada para actores de amenazas menos sofisticados. Esto se ve agravado por informes de que versiones filtradas ya están circulando en foros clandestinos y Telegram, lo que aumenta el riesgo de abuso por parte de imitadores y otros aspirantes a delincuentes.
«El acceso rara vez permanece contenido para siempre, y la herramienta puede trasladarse a mercados secundarios mediante la reventa, el trueque o el intercambio dentro de grupos cerrados», dijo ESET. «Las familias de malware competidoras también pueden copiar algunos elementos que facilitan la personalización de la carga útil y la gestión de campañas para los delincuentes menos hábiles».
La empresa italiana de ciberseguridad D3Lab, en un análisis del kit de herramientas de desarrollo BTMOB RAT filtrado y publicado en diciembre de 2025, dijo que incluía el código fuente de la carga útil de Android, su cuentagotas, un entorno de creación, el panel del operador para Windows, el backend C2 y todas las dependencias de software necesarias para implementar la plataforma.
«La filtración de BTMOB proporciona una perspectiva poco común sobre el funcionamiento interno de un ecosistema moderno de Android RAT como servicio», señaló D3Lab en ese momento. «Demuestra que el actor de amenazas opera no simplemente como un desarrollador que vende un conjunto de herramientas, sino como un proveedor de servicios que impone licencias, autenticación y control de versiones a sus clientes».