برامج ضارة للأجهزة المحمولة من شركة Rocinante
تستهدف حملة جديدة من البرامج الضارة مستخدمي الأجهزة المحمولة في البرازيل، حيث يتم نشر برنامج تروجان مصرفي يعمل بنظام أندرويد يسمى Rocinante. يمكن لهذا البرنامج الخبيث تسجيل ضغطات المفاتيح من خلال استغلال خدمة إمكانية الوصول وجمع المعلومات الشخصية القابلة للتحديد (PII) من الضحايا من خلال شاشات التصيد التي تحاكي البنوك المختلفة. بالإضافة إلى ذلك، يستخدم البيانات المسروقة للسيطرة على الجهاز، باستخدام امتيازات خدمة إمكانية الوصول للحصول على وصول كامل عن بُعد إلى الجهاز المصاب.
جدول المحتويات
التنكر في هيئة تطبيقات شرعية
يستهدف البرنامج الخبيث العديد من المؤسسات المالية البارزة، بما في ذلك Itaú Shop وSantander، من خلال تطبيقات مزيفة تنتحل صفة Bradesco Prime وCorreios Celular، من بين آخرين:
- ليفيلو بونتوس (com.resgatelivelo.cash)
- كوريوس ريكارجا (com.correiosrecarga.android)
- براتسكو برين (com.resgatelivelo.cash)
- وحدة الأمان (com.viberotion1414.app)
يكشف تحليل الكود المصدري للبرامج الضارة أن المشغلين يشيرون داخليًا إلى Rocinante باسم Pegasus أو PegasusSpy. ومع ذلك، من الضروري توضيح أن Pegasus هذا ليس له صلة ببرنامج التجسس متعدد الأنظمة الذي طورته شركة المراقبة التجارية NSO Group.
الاتصالات مع عائلات البرامج الضارة الأخرى
يُنسب Pegasus إلى جهة تهديد تُعرف باسم DukeEugene، والتي طورت أيضًا سلالات مماثلة من البرامج الضارة مثل ERMAC و BlackRock و Hook و Loot، وفقًا لتحليل حديث أجرته Silent Push.
اكتشف الباحثون أن Rocinante يتضمن عناصر متأثرة بإصدارات سابقة من ERMAC. ربما ساهم تسريب الكود المصدري لـ ERMAC في عام 2023 في هذا التطور. هذه هي الحالة الأولى التي يبدو فيها أن عائلة البرامج الضارة الأصلية قد أدرجت أجزاء من الكود المسرب في برمجيتها الخاصة. ومن المحتمل أيضًا أن Rocinante وERMAC يمثلان فرعين منفصلين لنفس المشروع الأولي.
حصان طروادة المصرفي Rocinante يستهدف البيانات الحساسة
ينتشر فيروس Rocinante في المقام الأول من خلال مواقع التصيد الاحتيالي المصممة لخداع المستخدمين وحملهم على تثبيت تطبيقات مزيفة. بمجرد تثبيتها، تطلب هذه التطبيقات امتيازات خدمة إمكانية الوصول لمراقبة جميع الأنشطة على الجهاز المصاب، واعتراض رسائل SMS، وعرض صفحات تسجيل الدخول الاحتيالية.
كما يتصل البرنامج الخبيث بخادم Command-and-Control (C2) لتلقي التعليمات عن بعد، بما في ذلك محاكاة أحداث اللمس والسحب. يتم إرسال المعلومات الشخصية المجمعة إلى روبوت Telegram، الذي يستخرج البيانات المفيدة التي تم الحصول عليها من خلال صفحات تسجيل الدخول المزيفة التي تنتحل هوية البنوك المستهدفة. ثم يتم تنسيق هذه المعلومات ومشاركتها في محادثة يمكن للمجرمين الوصول إليها.
تختلف التفاصيل وفقًا لصفحة تسجيل الدخول المزيفة المستخدمة، وتتضمن معلومات الجهاز مثل الطراز ورقم الهاتف ورقم CPF وكلمة المرور أو رقم الحساب.
يستغل الجهات الفاعلة في التهديد ناقلات عدوى مماثلة
يتزامن تطوير برنامج Trojan المصرفي Rocinante مع اكتشاف باحثي الأمن السيبراني حملة جديدة من البرامج الضارة لبرامج Trojan المصرفية تستهدف المناطق الناطقة بالإسبانية والبرتغالية من خلال استغلال نطاق secureserver.net.
يبدأ الهجوم متعدد المراحل بعناوين URL تهديدية توجه المستخدمين إلى أرشيف يحتوي على ملف .hta مشوش. يقوم هذا الملف بتشغيل حمولة JavaScript التي تجري عمليات فحص مختلفة لـ AntiVM وAntiAV قبل تنزيل حمولة AutoIT النهائية. يتم بعد ذلك تنفيذ حمولة AutoIT من خلال حقن العملية، بهدف حصاد المعلومات المصرفية وبيانات الاعتماد من نظام الضحية واستخراج البيانات إلى خادم Command-and-Control (C2).
