Grandoreiro và BTMOB RAT: Hai Chiến Dịch Malware Song Song Nhắm vào Windows và Android
Trong khi cộng đồng bảo mật vẫn còn đang theo dõi sự trỗi dậy của các mối đe dọa mới, hai chiến dịch malware hoàn toàn riêng biệt đã và đang hoạt động song song nhắm vào cả người dùng Windows lẫn Android tại Mỹ Latin và châu Âu. Một bên là Grandoreiro — banking trojan kỳ cựu đã tồn tại từ năm 2016, vẫn không ngừng tiến hóa kỹ thuật — và bên còn lại là BTMOB RAT, một Android Remote Access Trojan thế hệ mới được bán theo mô hình Malware-as-a-Service với giao diện builder "zero code". Hai mối đe dọa này đến từ hai báo cáo riêng biệt của WatchGuard và ESET, nhưng cùng minh họa một xu hướng rõ ràng: tội phạm mạng đang ngày càng giỏi ẩn mình bên trong các lưu lượng và dịch vụ mà các tổ chức vốn đã tin tưởng.
Grandoreiro — Banking Trojan Không Chịu Chết
Lịch Sử và Độ Bền Bỉ Đáng Sợ
Grandoreiro không phải là cái tên mới trong cộng đồng threat intelligence. Banking malware này đã hoạt động liên tục từ năm 2016 và có khả năng đánh cắp thông tin xác thực liên quan đến hàng nghìn tổ chức tài chính tại 45 quốc gia và vùng lãnh thổ. Điều đáng chú ý hơn cả không phải là tuổi đời của nó, mà là khả năng thích nghi. Dù cơ quan chức năng Brazil từng cố gắng triệt phá hạ tầng của Grandoreiro vào đầu năm 2024, chiến dịch vẫn tiếp tục mở rộng phạm vi nhắm mục tiêu và tích hợp thêm các cơ chế chống phân tích mới như kiểm tra CAPTCHA.
Phiên bản mới nhất được WatchGuard phát hiện tiếp tục phân phối qua email phishing cổ điển — nạn nhân nhận được email với link độc hại giả vờ là thông báo quan trọng, được dẫn dụ nhấp vào và từ đó chuỗi lây nhiễm bắt đầu. Đây là bằng chứng cho thấy ngay cả một vector tấn công đã tồn tại hàng thập kỷ vẫn đủ hiệu quả khi được kết hợp với các kỹ thuật mới hơn ở các tầng sau.
Kỹ Thuật DLL Side-Loading và Ngụy Trang Bằng WebRTC
Điểm kỹ thuật nổi bật nhất trong chiến dịch mới nhất là việc sử dụng DLL Side-Loading, một kỹ thuật cho phép kẻ tấn công nạp DLL độc hại bằng cách lợi dụng một tiến trình hợp lệ trên hệ thống. Theo WatchGuard, chiến dịch này lạm dụng bốn phần mềm khác nhau theo phương pháp này, trong đó hai DLL đặc biệt đáng chú ý là mingwm10.dll và libwebp.dll. Cả hai đều nhúng thư viện sgcWebSockets, một WebSocket và thư viện truyền thông thời gian thực, để thiết lập kênh liên lạc P2P và WebRTC.
Việc sử dụng WebRTC không phải ngẫu nhiên. Theo phân tích của WatchGuard, lưu lượng WebRTC vốn rất "ồn ào" và khó giám sát vì nó là nền tảng cho hầu hết các ứng dụng hội nghị truyền hình phổ biến như Google Meet, Zoom hay Microsoft Teams. Kẻ tấn công cố tình ẩn lưu lượng C2 của mình vào đúng loại traffic mà hầu hết các tổ chức đã whitelist hoặc ít nghi ngờ nhất trong hệ thống giám sát mạng.
Hai DLL còn lại là libffi-6.dll và libpng15.dll, sử dụng giao thức ICE (Interactive Connectivity Establishment) thay vì STUN để đạt cùng mục tiêu thiết lập kết nối P2P xuyên NAT. Các file này cứng hóa (hardcode) tham chiếu đến một danh sách các ngân hàng và tổ chức tài chính hoạt động tại Bồ Đào Nha như Abanca, Banco de Portugal, BBVA PT, Caixa Geral Depositos, Santander, Revolut và Wise — cho thấy đây là một chiến dịch nhắm mục tiêu (targeted) rất cụ thể, không phải tấn công đại trà.
Chiến Dịch Thứ Hai: VBScript, Mediafire và Giả Mạo Adobe Reader
WatchGuard cũng ghi nhận một chiến dịch song song liên quan đến Grandoreiro, lần này sử dụng vector phân phối khác. Email phishing trong chiến dịch này dẫn nạn nhân đến một file ZIP được lưu trữ trên Mediafire — một dịch vụ lưu trữ đám mây hợp pháp, giúp bypass các hệ thống lọc URL. Bên trong ZIP là một Visual Basic Script (VBS) bị obfuscate, có nhiệm vụ khởi chạy một executable giả vờ thông báo người dùng cần cập nhật Adobe Reader và yêu cầu nhấp vào nút xác nhận.
Sau khi nạn nhân nhấp vào, một chuỗi kiểm tra chống phân tích và chống sandbox được kích hoạt trước khi payload cuối cùng được triển khai để đánh cắp thông tin ngân hàng và dữ liệu nhạy cảm. WatchGuard xác nhận một số chiến thuật trong chiến dịch này trùng lặp với một chiến dịch Grandoreiro trước đó mà Kaspersky đã phân tích chi tiết vào tháng 10/2024.
BTMOB RAT — Vũ Khí Android Thế Hệ MaaS
Xuất Xứ và Khả Năng Tấn Công
Trong khi Grandoreiro nhắm vào Windows, một mối đe dọa khác đang nhắm thẳng vào thiết bị Android. BTMOB RAT lần đầu được ghi nhận vào tháng 2/2025, được xem là hậu duệ của các họ malware trước đó gồm CraxsRAT, CypherRAT và SpySolr. Không giống các banking trojan truyền thống chỉ nhắm vào thông tin xác thực tài chính, BTMOB cho phép kẻ tấn công kiểm soát toàn diện thiết bị nạn nhân với một bộ khả năng rất rộng:
Mở khóa thiết bị từ xa mà không cần tương tác của người dùng
Chụp màn hình và ghi lại hoạt động trên thiết bị theo thời gian thực
Keylogging — ghi lại toàn bộ thao tác bàn phím
HTML Injection — tự động chèn form giả vào đúng thời điểm một ứng dụng nhất định được mở, đánh cắp thông tin xác thực theo ngữ cảnh
Chiếm quyền điều khiển thiết bị hoàn toàn từ xa
Thu thập Alipay PIN — tính năng được bổ sung trong phiên bản cập nhật sau
Mô Hình Phân Phối MaaS và APK Builder Không Cần Code
Điểm định nghĩa nên sự nguy hiểm của BTMOB không chỉ nằm ở các tính năng kỹ thuật, mà ở cách nó được thương mại hóa. BTMOB được bán bởi một threat actor sử dụng tên EVLF (alias @craxso) theo mô hình Malware-as-a-Service với nhiều mức giá: \(700/tháng, \)1.200 license trọn đời, hoặc $7.000 cho toàn bộ source code máy chủ C2 để khách hàng tự host infrastructure.
Kèm theo đó là một APK builder interface — giao diện đồ họa cho phép người mua tạo ra các payload mới, tùy chỉnh phishing lure cho từng khu vực địa lý cụ thể mà không cần viết một dòng code nào. Điều này đồng nghĩa với việc ngưỡng tham gia cho tội phạm mạng không có kiến thức kỹ thuật đã giảm xuống mức cực thấp — bất kỳ ai sẵn sàng chi tiền đều có thể triển khai một chiến dịch Android RAT hoàn chỉnh trong thời gian rất ngắn.
Tính đến tháng 5/2026, BTMOB đã nâng cấp lên phiên bản v4.5.5, tập trung vào việc tăng cường bảo vệ APK và đảm bảo tương thích với các bản cập nhật bảo mật mới nhất của Google Play. Một tài khoản X được cho là liên kết với tác giả malware đã đăng vào ngày 1/5/2026: "Update này tập trung vào tốc độ và độ ổn định. Chúng tôi đã mở rộng hạ tầng và tinh chỉnh builder để giúp bạn đi trước các bản vá bảo mật di động mới nhất."
Cơ Chế Lây Nhiễm và Lạm Dụng Accessibility Services
Chuỗi lây nhiễm của BTMOB bắt đầu bằng social engineering quen thuộc: nạn nhân nhận được link dẫn đến các trang web giả mạo dịch vụ streaming, nền tảng đào coin cryptocurrency hoặc các dịch vụ trực tuyến phổ biến khác. Từ đó, nạn nhân được dẫn đến các "cửa hàng ứng dụng giả" bắt chước giao diện Google Play Store, thuyết phục họ cài đặt một file APK độc hại.
Sau khi được cài đặt, BTMOB ngay lập tức yêu cầu quyền truy cập Android Accessibility Services — một cơ chế hợp pháp được thiết kế để hỗ trợ người khuyết tật, nhưng cũng là mục tiêu bị lạm dụng thường xuyên nhất bởi Android malware vì nó cho phép ứng dụng quan sát và tương tác với toàn bộ giao diện hệ thống. Một khi đã có quyền Accessibility, BTMOB tự cấp thêm các quyền hệ thống bổ sung mà không cần thêm bất kỳ tương tác nào từ người dùng — đây là lúc thiết bị thực sự bị kiểm soát hoàn toàn.
Rủi Ro Từ Leak và Thị Trường Thứ Cấp
Vào tháng 1/2026, một diễn đàn dark web tuyên bố cung cấp các file liên quan đến BTMOB để tải miễn phí. Forum này sau đó đã offline và ESET không thu thập được payload cụ thể từ sự kiện đó. Tuy nhiên, vào tháng 12/2025, công ty an ninh mạng người Italy D3Lab đã công bố phân tích bộ toolkit phát triển BTMOB bị rò rỉ, xác nhận rằng nó bao gồm source code payload Android, dropper, builder environment, panel điều hành cho Windows, backend C2 và toàn bộ các phụ thuộc phần mềm cần thiết để triển khai nền tảng.
Điều này đặt ra một rủi ro nghiêm trọng mà ESET gọi là "secondary market risk" — ngay cả khi tác giả gốc kiểm soát chặt chẽ việc bán license, một khi source code đã bị rò rỉ, nó có thể lưu hành qua nhiều kênh: bán lại, trao đổi trong nhóm kín, hoặc được fork thành các biến thể copycat mới. Lịch sử của CraxsRAT và SpySolr — các gia đình malware tiền thân của BTMOB — cho thấy đây là một vòng lặp quen thuộc trong hệ sinh thái MaaS.
Nhận Xét Chung
Xu Hướng "Lẩn Trốn Trong Luồng Tin Cậy"
Nhìn từ góc độ phân tích chiến lược, điểm chung đáng chú ý nhất giữa hai chiến dịch hoàn toàn khác nhau này là cùng một triết lý tấn công: ẩn mình bên trong những gì đã được tin tưởng. Grandoreiro dùng WebRTC và lưu lượng web conference để ngụy trang C2 traffic. BTMOB lạm dụng Accessibility Services — một tính năng hệ điều hành hợp pháp — để leo thang đặc quyền. Cả hai đều lợi dụng các dịch vụ đám mây hợp pháp (Mediafire cho hosting, Telegram cho phân phối MaaS) để tránh bị chặn bởi các hệ thống phân loại dựa trên danh tiếng domain.
WatchGuard tổng kết chính xác: "Câu chuyện lớn hơn ở đây không chỉ là Grandoreiro vẫn còn hoạt động. Mà là các nhóm tấn công có động cơ tài chính tiếp tục thích nghi nhanh chóng, tái sử dụng các dịch vụ hợp pháp, và ẩn mình bên trong các traffic pattern mà nhiều tổ chức có thể đã tin tưởng."
Khuyến Nghị Phòng Thủ
Cho các đội ngũ SOC và Blue Team, hai chiến dịch này cung cấp một số hướng phát hiện và phòng thủ thực tiễn:
Giám sát DLL Side-Loading: Xây dựng rule phát hiện các tiến trình hợp lệ nạp DLL từ các đường dẫn bất thường hoặc DLL không nằm trong danh sách ký số đã biết.
Phân tích WebRTC/STUN traffic: Thiết lập baseline cho lưu lượng WebRTC hợp lệ trong tổ chức và alert khi xuất hiện kết nối STUN/ICE từ các tiến trình không liên quan đến ứng dụng hội nghị đã được phê duyệt.
Chính sách cài đặt APK: Trên môi trường doanh nghiệp, bắt buộc người dùng chỉ cài ứng dụng từ Google Play chính thức và vô hiệu hóa quyền cài APK từ nguồn không rõ.
Giám sát Accessibility Services: Thiết lập alert ngay khi một ứng dụng vừa cài đặt yêu cầu quyền Accessibility Services — đây là hành vi cực kỳ bất thường đối với ứng dụng hợp lệ thông thường.
Threat Intelligence cho MaaS: Theo dõi các kênh Telegram, X và diễn đàn underground nơi BTMOB và các biến thể được rao bán, để cập nhật IOC mới kịp thời trước khi các chiến dịch mới được triển khai.
IOCs
Grandoreiro — Windows Campaign
| Loại IOC | Giá Trị | Ghi Chú |
|---|---|---|
| Kỹ thuật đặc trưng | DLL Side-Loading via 4 software | Sử dụng cả STUN và ICE protocol |
| DLL độc hại | mingwm10.dll, libwebp.dll |
Tích hợp sgcWebSockets cho WebRTC/P2P C2 |
| DLL bổ sung | libffi-6.dll, libpng15.dll |
Sử dụng ICE protocol, hardcode tên ngân hàng Bồ Đào Nha |
| Hosting phân phối | Mediafire (cloud storage) | Dùng để bypass URL reputation filter |
| Loại file đính kèm | ZIP chứa obfuscated VBScript | Giả mạo thông báo cập nhật Adobe Reader |
| Ngân hàng bị nhắm mục tiêu | Abanca, Banco de Portugal, BBVA PT, Caixa Geral Depositos, Santander, Revolut, Wise | Hardcode trong DLL của chiến dịch Bồ Đào Nha |
| Ngôn ngữ lập trình payload | Delphi 11 | Phổ biến trong malware nhắm vào khu vực Mỹ Latin |
BTMOB RAT — Android Campaign
| Loại IOC | Giá Trị | Ghi Chú |
|---|---|---|
| ESET detection name | MSIL/BtmobRat, Android/Spy.Agent.EED, Android/Spy.Agent.EIJ, Android/Spy.Agent.EIK |
Các detection name chính thức của ESET |
| Threat actor | EVLF / @craxso |
Người bán BTMOB RAT, rao bán qua Telegram và X |
| Phiên bản hiện tại | BTMOB v4.5.5 (tháng 5/2026) | Tập trung vào APK protection và Google Play compat |
| Giá bán | \(700/tháng, \)1.200 lifetime, $7.000 full source | Mô hình MaaS với nhiều tier |
| C2 infrastructure | arbsniper.com |
Domain liên quan đến hạ tầng BTMOB |
| IP addresses liên quan | 178.156.177.192, 191.101.131.250, 195.160.221.203, 104.21.64.137 |
Một phần trong danh sách IOC từ ESET |
| Khu vực chính bị nhắm | Brazil, Mỹ Latin, Argentina | Có chiến dịch giả mạo cơ quan thuế và hải quan Argentina |
| Phương thức lây nhiễm | Fake streaming/crypto app → Fake Google Play → Malicious APK | Chuỗi phishing hoàn chỉnh từ đầu đến cuối |
| Cơ chế leo thang đặc quyền | Android Accessibility Services abuse | Cấp thêm quyền hệ thống mà không cần tương tác người dùng |
| Tiền thân | CraxsRAT, CypherRAT, SpySolr | BTMOB là hậu duệ của các họ malware này |
