Die aktuelle Bedrohungslage im Bereich Banking-Malware liest sich wie ein Lehrstück für die industrielle Skalierung von Cybercrime. Wie aktuelle Berichte von WatchGuard und ESET verdeutlichen, sind die Zeiten vorbei, in denen Malware-Autoren allein durch technisches Geschick auffielen. Heute überzeugen sie durch professionelle Geschäftsmodelle und ausgefeilte Verschleierungstaktiken. Zwei aktuelle Kampagnen – Grandoreiro für Windows und BTMOB für Android – zeigen, wie schnell Bedrohungsakteure sich anpassen und gleichzeitig die Einstiegshürden für weniger versierte Kriminelle senken.
Grandoreiro: Wenn Malware im Konferenz-Traffic untertaucht
Der seit 2016 aktive Banking-Trojaner Grandoreiro ist ein hartnäckes Problem. Trotz Razzien und Infrastrukturschlägen durch brasilianische Behörden im frühen 2024 bleibt die Malware aktiv und erweitert ihr Zielfeld kontinuierlich auf Länder wie Spanien, Portugal und Mexiko. Was die aktuelle Kampagne laut WatchGuard jedoch besonders interessant macht, ist die Art und Weise, wie die Malware ihre Kommunikation verschleiert.
Grandoreiro nutzt nun die DLL Side-Loading-Technik über vier verschiedene Software-Komponenten, die in Delphi 11 entwickelt wurden – einer Programmiersprache, die in der Region für Malware äußerst populär ist. Zwei der eingeschleusten DLLs (mingwm10.dll und libwebp.dll) nutzen die Bibliothek sgcWebSockets für Peer-to-Peer-Kommunikation via WebRTC. Dabei kommt das STUN-Protokoll zum Einsatz, das Geräten hinter einem NAT hilft, ihre öffentliche IP-Adresse zu finden.
Der Clou dabei: WebRTC ist der Standard für nahezu alle großen Videokonferenz-Tools. Dieser Traffic ist von Natur aus laut und schwer zu überwachen. Indem die Angreifer ihr Command-and-Control-Geflecht in diese Verkehrsmuster einbetten, tarnen sie sich perfekt im Rauschen des legitimen Geschäftsverkehrs. Zwei weitere DLLs (libffi-6.dll und libpng15.dll) nutzen stattdessen das ICE-Protokoll, verfolgen aber dasselbe Ziel. Injiziert werden diese Dateien unter anderem über Phishing-E-Mails, die ein verschleiertes VBS-Skript aus einem Mediafire-Archiv starten und Nutzer über eine gefälschte Adobe-Reader-Aktualisierungsmeldung zur Ausführung der Schadsoftware verleiten. Spezifisch ins Visier genommen werden dabei Banken in Portugal wie Abanca, Banco de Portugal, BBVA PT, Caixa Geral Depositos, Santander sowie FinTechs wie Revolut und Wise.
BTMOB: Malware-as-a-Service für die breite Masse
Während Grandoreiro auf technische Raffinesse setzt, demonstriert der Android-Trojaner BTMOB die kommerzielle Seite der Cyberkriminalität. Laut ESET ist BTMOB ein direkter Nachfolger der CraxsRAT-, CypherRAT- und SpySolr-Familien und richtet sich primär an Nutzer in Brasilien. Die Malware bietet alles, was man von einem modernen RAT erwartet: Bildschirmaufzeichnung, Keylogging, das automatisierte Abgreifen von Zugangsdaten via HTML-Injektionen und sogar das Mitlesen von Alipay-PINs.
Das eigentlich Brisante an BTMOB ist jedoch nicht die Technik, sondern der Vertrieb. BTMOB wird als klassische Malware-as-a-Service (MaaS) verkauft. Der Autor, der unter dem Handle EVLF (@craxso) auftritt, bietet einen intuitiven APK-Builder an. Kunden können damit ohne jegliche Programmierkenntnisse neue Payloads generieren und Phishing-Kampagnen für spezifische Regionen maßschneidern. Der Preis: 700 Dollar pro Monat, 1.200 Dollar für eine Lebenszeit-Lizenz oder 7.000 Dollar für den kompletten Server-Quellcode.
Die Dreistigkeit der Betreiber ist bemerkenswert. Sie bewerben ihr Produkt aktiv auf X, verlinken auf eigene Medium-Artikel (verfasst vom Profil "CraxsRAT Main developer", das sich selbst als erfolgreicher Cyberkrimineller bezeichnet) und publizieren YouTube-Videos, in denen die neue Version 4.5.5 mit verbesserter APK-Protektion und Kompatibilität zu den neuesten Google Play-Updates angepriesen wird. Die Verbreitung erfolgt dabei klassisch über Social Engineering: Gefälschte Streaming- oder Crypto-Mining-Seiten leiten Nutzer zu Fake-Play-Store-Einträgen. Einmal installiert, fordert die Malware Zugriff auf die Android-Eingabehilfen an – ein Mechanismus, der es ihr ermöglicht, sich selbst weitere Berechtigungen zu erteilen und das Gerät komplett zu übernehmen.
Analyse: Die Demokratisierung des Datenraubs
Beide Kampagnen verdeutlichen einen entmutigenden Trend in der Cybersicherheit: Die Einstiegshürden für Cybercrime sinken drastisch, während die Abwehrmaßnahmen immer komplexer werden.
Auf der einen Seite haben wir Akteure, die legitime Infrastrukturen und Protokolle wie WebRTC kapern, um tief in Unternehmensnetzwerken unterzutauchen. Oberflächliche Verteidigungsmaßnahmen scheitern hier kläglich, weil der Traffic als vertrauenswürdig eingestuft wird. Auf der anderen Seite senken MaaS-Modelle wie BTMOB die Hemmschwellen massiv. Wie ESET anmerkt, zirkulieren geleakte Versionen der BTMOB-Entwicklungstools bereits in Untergrundforen und auf Telegram. Eine Analyse von D3Lab vom Dezember 2025 zeigte, dass diese Leaks den kompletten Quellcode, Dropper und C2-Backends umfassen. Wenn solche Werkzeuge in den Sekundärmärkten landen, ist es nur eine Frage der Zeit, bis Copycats die Taktiken kopieren und weiterverkaufen.
Die Erkenntnis von WatchGuard trifft den Nagel auf den Kopf: Es geht nicht mehr nur darum, dass spezifische Malware wie Grandoreiro noch existiert. Es geht darum, dass finanzgetriebene Bedrohungsakteure extrem agil sind. Sie recyclen legitime Dienste, verstecken sich in Verkehrsmustern, die wir vertrauen, und verkaufen ihre Werkzeuge als fertige Produkte an jeden, der bezahlen kann. Die Konsequenz für Verteidiger ist klar: Traditionelle Signatur- und Oberflächenerkennung reicht nicht mehr aus. Es bedarf tiefgreifender Verhaltensanalysen und eines kritischen Blicks auf scheinbar legitimen WebRTC- und Konferenz-Traffic.
Quelle: The Hacker News
