Mobilní malware Rocinante
Nová malwarová kampaň se zaměřuje na mobilní uživatele v Brazílii a nasazuje trojského koně pro Android bankovnictví s názvem Rocinante. Tento malware může zaznamenávat stisknuté klávesy pomocí služby usnadnění přístupu a získávat osobní identifikační údaje (PII) od obětí prostřednictvím phishingových obrazovek, které napodobují různé banky. Kromě toho používá ukradená data k převzetí zařízení a využívá oprávnění služby usnadnění k získání úplného vzdáleného přístupu k infikovanému zařízení.
Obsah
Masquerading jako legitimní aplikace
Malware se zaměřuje na několik předních finančních institucí, včetně Itaú Shop a Santander, s falešnými aplikacemi vydávajícími se mimo jiné za Bradesco Prime a Correios Celular:
- Livelo Pontos (com.resgatelivelo.cash)
- Correios Recarga (com.correiosrecarga.android)
- Bratesco Prine (com.resgatelivelo.cash)
- Módulo de Segurança (com.viberotion1414.app)
Analýza zdrojového kódu malwaru ukazuje, že operátoři interně označují Rocinante jako Pegasus nebo PegasusSpy. Je však nutné objasnit, že tento Pegasus nemá žádné spojení s multiplatformním spywarem vyvinutým komerčním dodavatelem dohledu NSO Group.
Spojení s jinými rodinami malwaru
Podle nedávné analýzy společnosti Silent Push je Pegasus připisován aktérovi hrozeb známému jako DukeEugene, který také vyvinul podobné kmeny malwaru, jako je ERMAC , BlackRock , Hook a Loot.
Výzkumníci zjistili, že Rocinante obsahuje prvky ovlivněné dřívějšími verzemi ERMAC. K tomuto vývoji mohl přispět únik zdrojového kódu ERMAC v roce 2023. Toto je první případ, kdy se zdá, že původní rodina malwaru začlenila části uniklého kódu do svého vlastního. Je také možné, že Rocinante a ERMAC představují samostatné větve stejného počátečního projektu.
Bankovní trojan Rocinante se zaměřuje na citlivá data
Rocinante se primárně šíří prostřednictvím phishingových webů navržených tak, aby přiměly uživatele k instalaci padělaných kapátkových aplikací. Po instalaci tyto aplikace požadují oprávnění služby usnadnění pro sledování všech aktivit na infikovaném zařízení, zachycování zpráv SMS a zobrazování přihlašovacích stránek pro phishing.
Malware se také připojuje k serveru Command-and-Control (C2) a přijímá vzdálené pokyny, včetně simulace událostí dotyku a přejetí. Shromážděné osobní údaje jsou odesílány robotovi Telegram, který získává užitečná data získaná prostřednictvím falešných přihlašovacích stránek vydávajících se za cílové banky. Tyto informace jsou poté formátovány a sdíleny v chatu přístupném zločincům.
Podrobnosti se liší v závislosti na použité falešné přihlašovací stránce a zahrnují informace o zařízení, jako je model a telefonní číslo, číslo CPF, heslo nebo číslo účtu.
Aktéři hrozeb využívají podobné infekční vektory
Vývoj bankovního trojského koně Rocinante se shoduje s výzkumníky v oblasti kybernetické bezpečnosti, kteří odhalili novou kampaň s bankovním trojským malwarem, která se zaměřuje na španělsky a portugalsky mluvící regiony využíváním domény secureserver.net.
Vícefázový útok začíná výhružnými adresami URL, které uživatele nasměrují do archivu obsahujícího obfuskovaný soubor .hta. Tento soubor spouští užitečné zatížení JavaScriptu, které provádí různé kontroly AntiVM a AntiAV před stažením konečného obsahu AutoIT. Užitná zátěž AutoIT je pak spuštěna prostřednictvím procesu vkládání, jehož cílem je shromáždit bankovní informace a přihlašovací údaje ze systému oběti a exfiltrovat data na server Command-and-Control (C2).
