Мобилен зловреден софтуер Rocinante
Нова кампания за злонамерен софтуер е насочена към мобилни потребители в Бразилия, внедрявайки троянски кон за Android, наречен Rocinante. Този зловреден софтуер може да регистрира натискания на клавиши, като използва услугата за достъпност и събира лична идентификационна информация (PII) от жертвите чрез фишинг екрани, които имитират различни банки. Освен това, той използва откраднатите данни, за да поеме устройството, като използва привилегиите на услугата за достъпност, за да получи пълен отдалечен достъп до заразеното устройство.
Съдържание
Маскиране като легитимни приложения
Зловреден софтуер е насочен към няколко видни финансови институции, включително Itaú Shop и Santander, с фалшиви приложения, представящи се като Bradesco Prime и Correios Celular, наред с други:
- Livelo Pontos (com.resgatelivelo.cash)
- Correios Recarga (com.correiosrecarga.android)
- Bratesco Prine (com.resgatelivelo.cash)
- Módulo de Gurança (com.viberotion1414.app)
Анализът на изходния код на зловреден софтуер разкрива, че операторите вътрешно наричат Rocinante Pegasus или PegasusSpy. Необходимо е обаче да се изясни, че този Pegasus няма връзка с крос-платформения шпионски софтуер, разработен от търговския доставчик на наблюдение NSO Group.
Връзки с други семейства зловреден софтуер
Pegasus се приписва на заплаха, известен като DukeEugene, който също е разработил подобни видове зловреден софтуер като ERMAC , BlackRock , Hook и Loot, според скорошен анализ от Silent Push.
Изследователите са открили, че Rocinante включва елементи, повлияни от по-ранни версии на ERMAC. Изтичането през 2023 г. на изходния код на ERMAC може да е допринесло за това развитие. Това е първият случай, при който оригинално семейство зловреден софтуер изглежда е включило части от изтеклия код в своя собствен. Възможно е също Rocinante и ERMAC да представляват отделни клонове на един и същи първоначален проект.
Банковият троян Rocinante е насочен към чувствителни данни
Rocinante се разпространява предимно чрез фишинг уебсайтове, предназначени да заблудят потребителите да инсталират фалшиви приложения за капкомер. Веднъж инсталирани, тези приложения изискват привилегии за услуги за достъпност, за да наблюдават всички дейности на заразеното устройство, да прихващат SMS съобщения и да показват фишинг страници за вход.
Зловреден софтуер също така се свързва със сървър за командване и управление (C2), за да получава отдалечени инструкции, включително симулиране на събития с докосване и плъзгане. Събраната лична информация се изпраща до бот на Telegram, който извлича полезни данни, получени чрез фалшивите страници за вход, представящи се за целеви банки. След това тази информация се форматира и споделя в чат, достъпен за престъпниците.
Подробностите варират в зависимост от използваната фалшива страница за вход и включват информация за устройството като модел и телефонен номер, CPF номер, парола или номер на акаунт.
Актьорите на заплахи използват подобни вектори на инфекция
Разработката на банковия троянски кон Rocinante съвпада с изследователите на киберсигурността, които разкриват нова кампания за злонамерен софтуер за банков троянски кон, която е насочена към испански и португалоговорящи региони чрез използване на домейна secureserver.net.
Многофазната атака започва със заплашителни URL адреси, които насочват потребителите към архив, съдържащ скрит .hta файл. Този файл задейства JavaScript полезен товар, който извършва различни AntiVM и AntiAV проверки, преди да изтегли окончателния AutoIT полезен товар. След това полезният товар на AutoIT се изпълнява чрез инжектиране на процес, с цел събиране на банкова информация и идентификационни данни от системата на жертвата и ексфилтриране на данните към сървър за командване и управление (C2).
