An ninh mạng

Cảnh báo chiến dịch malware Grandoreiro và BTMOB RAT nhắm vào người dùng Windows và Android

Các chuyên gia bảo mật vừa phát hiện hai chiến dịch malware nguy hiểm: Grandoreiro nhắm vào các tổ chức tài chính trên Windows và BTMOB RAT tấn công người dùng Android thông qua mô hình...

Nguyen Hung
28 Tháng 5, 2026 2 Min Read
1 0

Các nhà nghiên cứu từ WatchGuard và ESET vừa đưa ra cảnh báo về hai chiến dịch malware tinh vi đang nhắm mục tiêu vào người dùng tại Mỹ Latinh và châu Âu. Trong khi Grandoreiro tiếp tục mở rộng quy mô tấn công các ngân hàng trên nền tảng Windows, thì BTMOB RAT lại đang trở thành mối đe dọa lớn đối với người dùng thiết bị Android.

Grandoreiro: Kỹ thuật DLL Side-Loading và lạm dụng giao thức WebRTC

Grandoreiro, một banking trojan đã hoạt động từ năm 2016, đang cho thấy khả năng thích nghi mạnh mẽ dù từng bị giới chức Brazil nỗ lực triệt phá. Chiến dịch mới nhất được WatchGuard ghi nhận sử dụng kỹ thuật DLL side-loading để thực thi các file DLL phát triển từ Delphi 11. Đáng chú ý, các file này tích hợp thư viện sgcWebSockets để thực hiện giao tiếp P2P và WebRTC.

Việc sử dụng lưu lượng truy cập từ các ứng dụng hội nghị trực tuyến (thông qua giao thức STUN và ICE) giúp kẻ tấn công ngụy trang hoạt động độc hại dưới dạng lưu lượng mạng thông thường, gây khó khăn cho các hệ thống giám sát. Các mục tiêu bị nhắm đến bao gồm hàng loạt ngân hàng lớn tại Bồ Đào Nha như Abanca, Santander, cùng các dịch vụ tài chính quốc tế như Revolut và Wise.

BTMOB RAT: Mối đe dọa từ mô hình Malware-as-a-Service

Song song đó, ESET cũng cảnh báo về BTMOB, một Android RAT xuất hiện từ đầu năm 2025. Malware này có khả năng chiếm quyền điều khiển thiết bị, chụp ảnh màn hình, ghi lại thao tác bàn phím và thực hiện HTML injection để đánh cắp thông tin đăng nhập.

Điểm nguy hiểm của BTMOB nằm ở mô hình Malware-as-a-Service (MaaS). Kẻ đứng sau cung cấp một giao diện xây dựng APK (builder) cho phép bất kỳ ai, kể cả những người không có kiến thức lập trình, cũng có thể tạo ra các biến thể malware tùy chỉnh. Với mức giá thuê từ 700 USD/tháng, công cụ này đang hạ thấp rào cản gia nhập cho các tội phạm mạng nghiệp dư.

Sau khi cài đặt thông qua các trang web giả mạo dịch vụ streaming hoặc đào tiền ảo, BTMOB sẽ lạm dụng quyền Accessibility Services trên Android để tự cấp quyền hệ thống mà không cần sự can thiệp của người dùng. Các chuyên gia từ D3Lab cho biết, việc rò rỉ bộ công cụ phát triển của BTMOB đã khiến mã nguồn và hạ tầng C2 của malware này lan truyền rộng rãi trên các diễn đàn ngầm, làm tăng nguy cơ bị các nhóm tội phạm khác sao chép và phát triển thêm.

Các chuyên gia khuyến cáo người dùng cần cảnh giác với các email phishing, không tải ứng dụng từ các nguồn không chính thống và hạn chế cấp quyền Accessibility cho các ứng dụng không rõ nguồn gốc để tránh trở thành nạn nhân của các chiến dịch này.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept