Grandoreiro Malware and BTMOB RAT Campaigns Target Windows and Android Users

1 minute de lecture

Mis à jour : May 27, 2026

Menaces persistantes : Analyse des campagnes Grandoreiro et BTMOB

Les campagnes malveillantes ciblant les secteurs financiers en Europe et en Amérique latine se multiplient, s’appuyant sur des techniques d’évasion sophistiquées pour Windows et Android.

Points clés :

Grandoreiro (Windows) : Ce cheval de Troie bancaire utilise le DLL side-loading pour exécuter des payloads malveillants. Les attaquants exploitent désormais des protocoles de communication en temps réel (WebRTC, STUN, ICE) pour masquer leurs activités dans le trafic légitime des plateformes de conférence web.
BTMOB (Android) : Ce RAT (Remote Access Trojan) est distribué via un modèle Malware-as-a-Service (MaaS). Il permet à des attaquants peu qualifiés de générer des APK malveillants via une interface simplifiée. Il utilise les services d’accessibilité Android pour obtenir un contrôle total de l’appareil à l’insu de l’utilisateur.
Évolution : Les auteurs de BTMOB ont perfectionné leur écosystème avec des systèmes de licences et de mises à jour fréquentes (version 4.5.5 actuelle), tout en facilitant la diffusion de leur outil via des fuites organisées ou des ventes sur le darknet.

Vulnérabilités et vecteurs d’attaque :

Techniques : Abus des services d’accessibilité Android, DLL side-loading, injection HTML, et détournement de flux WebRTC.
CVE : Aucune vulnérabilité spécifique (type 0-day) n’est mentionnée ; l’exploitation repose sur le détournement de fonctionnalités légitimes du système d’exploitation et de logiciels tiers.

Recommandations :

Utilisateurs : Ne jamais installer d’applications en dehors des boutiques officielles (Google Play Store). Se méfier des messages incitant à des mises à jour logicielles urgentes (ex: Adobe Reader).
Entreprises :
- Renforcer la sécurité des points de terminaison en limitant l’exécution de DLL non signées.
- Surveiller les anomalies dans le trafic réseau, en particulier les flux WebRTC inhabituels ou inattendus.
- Sensibiliser les employés aux campagnes de phishing bancaire, qui restent le vecteur principal de distribution de Grandoreiro.
- Appliquer le principe du moindre privilège pour les applications mobiles demandant des autorisations d’accessibilité étendues.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Grandoreiro Malware and BTMOB RAT Campaigns Target Windows and Android Users

Menaces persistantes : Analyse des campagnes Grandoreiro et BTMOB

Partager sur

Vous pourriez aimer

Windows 11 KB5089573 update released with performance improvements

Mise à jour facultative KB5089573 pour Windows 11 : Performances et Sécurisation du démarrage

Malicious npm Package Stole Files From Claude AI User Directory via GitHub

Exfiltration de données via le paquet npm malveillant “Malware-Slop”

KnowledgeDeliver flaw exploited as a zero-day to install web shells

Vulnérabilité critique dans KnowledgeDeliver : Exploitation de clés machine statiques

ISC Stormcast For Wednesday, May 27th, 2026 https://isc.sans.edu/podcastdetail/9946, (Wed, May 27th)

Indisponibilité du contenu technique