Rocinante Mobile Malware
En ny malware-kampagne retter sig mod mobilbrugere i Brasilien og implementerer en Android-banktrojaner kaldet Rocinante. Denne malware kan logge tastetryk ved at udnytte tilgængelighedstjenesten og høste personlig identificerbar information (PII) fra ofre gennem phishing-skærme, der efterligner forskellige banker. Derudover bruger den de stjålne data til at overtage enheden ved at bruge tilgængelighedstjenesteprivilegierne til at opnå fuld fjernadgang til den inficerede enhed.
Indholdsfortegnelse
Forklædt som legitime applikationer
Malwaren er rettet mod adskillige fremtrædende finansielle institutioner, herunder Itaú Shop og Santander, med falske applikationer, der blandt andet udgiver sig for at være Bradesco Prime og Correios Celular:
- Livelo Pontos (com.resgatelivelo.cash)
- Correios Recarga (com.correiosrecarga.android)
- Bratesco Prine (com.resgatelivelo.cash)
- Módulo de Segurança (com.viberotion1414.app)
Analyse af malwarens kildekode afslører, at operatørerne internt omtaler Rocinante som Pegasus eller PegasusSpy. Det er dog nødvendigt at præcisere, at denne Pegasus ikke har nogen forbindelse til den cross-platform spyware udviklet af den kommercielle overvågningsleverandør NSO Group.
Forbindelser til andre Malware-familier
Pegasus tilskrives en trusselsaktør kendt som DukeEugene, som også har udviklet lignende malware-stammer såsom ERMAC , BlackRock , Hook og Loot, ifølge en nylig analyse fra Silent Push.
Forskere har opdaget, at Rocinante indeholder elementer, der er påvirket af tidligere versioner af ERMAC. 2023-lækagen af ERMAC's kildekode kan have bidraget til denne udvikling. Dette er det første tilfælde, hvor en original malware-familie ser ud til at have inkorporeret dele af den lækkede kode i deres egen. Det er også muligt, at Rocinante og ERMAC repræsenterer separate grene af det samme indledende projekt.
Rocinante Banking Trojan målretter mod følsomme data
Rocinante spredes primært gennem phishing-websteder designet til at narre brugere til at installere falske dropper-applikationer. Når de er installeret, anmoder disse applikationer om tilgængelighedstjenesteprivilegier til at overvåge alle aktiviteter på den inficerede enhed, opsnappe SMS-beskeder og vise phishing-loginsider.
Malwaren forbinder også til en Command-and-Control-server (C2) for at modtage fjerninstruktioner, herunder simulering af berørings- og swipe-hændelser. Indsamlede personlige oplysninger sendes til en Telegram-bot, som udtrækker nyttige data opnået gennem de falske login-sider, der efterligner målbanker. Disse oplysninger formateres derefter og deles i en chat, der er tilgængelig for kriminelle.
Detaljerne varierer afhængigt af den anvendte falske login-side og inkluderer enhedsoplysninger såsom model og telefonnummer, CPF-nummer, adgangskode eller kontonummer.
Trusselsaktører udnytter lignende infektionsvektorer
Rocinante Banking Trojan-udviklingen falder sammen med cybersikkerhedsforskere, der afslører en ny trojansk malware-kampagne for banker, der retter sig mod spansk- og portugisisktalende regioner ved at udnytte domænet secureserver.net.
Flerfaseangrebet starter med truende URL'er, der leder brugerne til et arkiv, der indeholder en sløret .hta-fil. Denne fil udløser en JavaScript-nyttelast, der udfører forskellige AntiVM- og AntiAV-tjek, før den endelige AutoIT-nyttelast downloades. AutoIT-nyttelasten udføres derefter gennem procesinjektion med det formål at indsamle bankoplysninger og legitimationsoplysninger fra ofrets system og eksfiltrere dataene til en Command-and-Control-server (C2).
