Nel 2026 due campagne di banking malware stanno aumentando il rischio di frodi finanziarie in Europa e America Latina, colpendo sia PC Windows sia smartphone Android. Da una parte troviamo Grandoreiro, un trojan bancario attivo dal 2016 e in costante evoluzione, dall’altra BTMOB, un RAT per Android venduto come malware as a service che rende più semplice lanciare attacchi anche a gruppi poco esperti.
Grandoreiro: diffusione, tecniche e bersagli
Grandoreiro continua a diffondersi soprattutto tramite phishing email che spingono le vittime a cliccare su link sospetti. Nonostante operazioni di contrasto e arresti, la minaccia si è adattata e oggi integra controlli anti-analisi come verifiche CAPTCHA, utili a rallentare i ricercatori e a ridurre le possibilità di rilevamento automatico.
Un aspetto tecnico rilevante nelle campagne più recenti è l’uso del DLL side loading, cioè il caricamento di librerie malevole sfruttando software legittimi. In alcuni casi le DLL sono sviluppate in Delphi, linguaggio spesso usato nei malware mirati all’area iberica e latinoamericana.
Per rendere le comunicazioni più difficili da monitorare, alcune varianti includono componenti legati a WebRTC e traffico tipico delle piattaforme di web conferencing, sfruttando protocolli come STUN e ICE per facilitare connessioni peer-to-peer anche dietro NAT. Questo approccio aumenta il rumore di rete e permette agli attaccanti di nascondersi in flussi che molte organizzazioni considerano normali.
I bersagli includono banche e istituti finanziari in Portogallo e servizi fintech diffusi come Revolut e Wise, oltre a campagne osservate anche in Spagna e Messico.
In un altro scenario, l’infezione parte da archivi ZIP ospitati su servizi cloud, con script offuscati che simulano aggiornamenti come Adobe Reader e avviano controlli anti-sandbox prima di scaricare il payload finale.
BTMOB: minaccia Android e tecniche di social engineering
Sul fronte mobile, BTMOB rappresenta una minaccia crescente per la sicurezza Android. Questo remote access trojan può sbloccare dispositivi, catturare screenshot, registrare tasti premuti e rubare credenziali tramite iniezioni HTML quando si aprono app specifiche.
La diffusione avviene tramite social engineering con siti falsi che imitano servizi di streaming o piattaforme crypto, reindirizzando a pagine che sembrano store ufficiali e inducono a installare file APK malevoli. Una volta installato, il malware punta ai permessi di accessibilità per ottenere controllo esteso senza ulteriori interazioni.