Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κακόβουλο λογισμικό για κινητά Κακόβουλο λογισμικό Rocinante Mobile

Κακόβουλο λογισμικό Rocinante Mobile

Μέχρι το Mezo το Κακόβουλο λογισμικό για κινητά, Τραπεζικός Trojan
Μετάφραση σε:
Ελληνικά

Μια νέα καμπάνια κακόβουλου λογισμικού στοχεύει χρήστες κινητών στη Βραζιλία, αναπτύσσοντας έναν τραπεζικό Trojan Android που ονομάζεται Rocinante. Αυτό το κακόβουλο λογισμικό μπορεί να καταγράφει πατήματα πλήκτρων εκμεταλλευόμενη την Υπηρεσία Προσβασιμότητας και να συλλέγει Προσωπικές Πληροφορίες αναγνώρισης (PII) από τα θύματα μέσω οθονών ηλεκτρονικού ψαρέματος που μιμούνται διάφορες τράπεζες. Επιπλέον, χρησιμοποιεί τα κλεμμένα δεδομένα για να καταλάβει τη συσκευή, χρησιμοποιώντας τα προνόμια της υπηρεσίας προσβασιμότητας για να αποκτήσει πλήρη απομακρυσμένη πρόσβαση στη μολυσμένη συσκευή.

Μεταμφιέσεις ως Νόμιμες Εφαρμογές

Το κακόβουλο λογισμικό στοχεύει πολλά εξέχοντα χρηματοπιστωτικά ιδρύματα, συμπεριλαμβανομένων των Itaú Shop και Santander, με ψεύτικες εφαρμογές που παρουσιάζονται ως Bradesco Prime και Correios Celular, μεταξύ άλλων:

  • Livelo Pontos (com.resgatelivelo.cash)
  • Correios Recarga (com.correiosrecarga.android)
  • Bratesco Prine (com.resgatelivelo.cash)
  • Módulo de Segurança (com.viberotion1414.app)

Η ανάλυση του πηγαίου κώδικα του κακόβουλου λογισμικού αποκαλύπτει ότι οι χειριστές εσωτερικά αναφέρονται στο Rocinante ως Pegasus ή PegasusSpy. Ωστόσο, είναι απαραίτητο να διευκρινιστεί ότι αυτό το Pegasus δεν έχει καμία σύνδεση με το λογισμικό κατασκοπείας πολλαπλών πλατφορμών που αναπτύχθηκε από τον προμηθευτή εμπορικής επιτήρησης NSO Group.

Συνδέσεις με άλλες οικογένειες κακόβουλου λογισμικού

Ο Pegasus αποδίδεται σε έναν παράγοντα απειλών γνωστό ως DukeEugene, ο οποίος έχει επίσης αναπτύξει παρόμοια στελέχη κακόβουλου λογισμικού όπως ERMAC , BlackRock , Hook και Loot, σύμφωνα με πρόσφατη ανάλυση του Silent Push.

Οι ερευνητές ανακάλυψαν ότι το Rocinante περιλαμβάνει στοιχεία που επηρεάζονται από προηγούμενες εκδόσεις του ERMAC. Η διαρροή του πηγαίου κώδικα του ERMAC το 2023 μπορεί να συνέβαλε σε αυτήν την εξέλιξη. Αυτή είναι η πρώτη περίπτωση όπου μια αρχική οικογένεια κακόβουλου λογισμικού φαίνεται να έχει ενσωματώσει μέρη του κώδικα που διέρρευσε στο δικό της. Είναι επίσης πιθανό ότι οι Rocinante και ERMAC αντιπροσωπεύουν χωριστούς κλάδους του ίδιου αρχικού έργου.

Το Rocinante Banking Trojan στοχεύει ευαίσθητα δεδομένα

Το Rocinante διαδίδεται κυρίως μέσω ιστοτόπων ηλεκτρονικού ψαρέματος που έχουν σχεδιαστεί για να παραπλανούν τους χρήστες να εγκαταστήσουν πλαστές εφαρμογές σταγονόμετρου. Αφού εγκατασταθούν, αυτές οι εφαρμογές ζητούν προνόμια υπηρεσίας προσβασιμότητας για την παρακολούθηση όλων των δραστηριοτήτων στη μολυσμένη συσκευή, την υποκλοπή μηνυμάτων SMS και την εμφάνιση σελίδων σύνδεσης ηλεκτρονικού ψαρέματος (phishing).

Το κακόβουλο λογισμικό συνδέεται επίσης με έναν διακομιστή Command-and-Control (C2) για λήψη απομακρυσμένων οδηγιών, συμπεριλαμβανομένης της προσομοίωσης συμβάντων αφής και ολίσθησης. Οι συλλεγόμενες προσωπικές πληροφορίες αποστέλλονται σε ένα bot Telegram, το οποίο εξάγει χρήσιμα δεδομένα που λαμβάνονται μέσω των πλαστών σελίδων σύνδεσης που υποδύονται τις τράπεζες-στόχους. Στη συνέχεια, αυτές οι πληροφορίες μορφοποιούνται και μοιράζονται σε μια συνομιλία προσβάσιμη σε εγκληματίες.

Οι λεπτομέρειες ποικίλλουν ανάλογα με την ψεύτικη σελίδα σύνδεσης που χρησιμοποιείται και περιλαμβάνουν πληροφορίες συσκευής όπως μοντέλο και αριθμό τηλεφώνου, αριθμό CPF, κωδικό πρόσβασης ή αριθμό λογαριασμού.

Οι ηθοποιοί απειλών εκμεταλλεύονται παρόμοιους φορείς μόλυνσης

Η ανάπτυξη του Rocinante Banking Trojan συμπίπτει με τους ερευνητές της κυβερνοασφάλειας που αποκαλύπτουν μια νέα τραπεζική εκστρατεία κακόβουλου λογισμικού Trojan που στοχεύει ισπανόφωνες και πορτογαλόφωνες περιοχές, εκμεταλλευόμενος τον τομέα safeserver.net.

Η επίθεση πολλαπλών φάσεων ξεκινά με απειλητικές διευθύνσεις URL που κατευθύνουν τους χρήστες σε ένα αρχείο που περιέχει ένα ασαφές αρχείο .hta. Αυτό το αρχείο ενεργοποιεί ένα ωφέλιμο φορτίο JavaScript που πραγματοποιεί διάφορους ελέγχους AntiVM και AntiAV πριν από τη λήψη του τελικού ωφέλιμου φορτίου AutoIT. Στη συνέχεια, το ωφέλιμο φορτίο AutoIT εκτελείται μέσω διεργασίας ένεσης, με στόχο τη συλλογή τραπεζικών πληροφοριών και διαπιστευτηρίων από το σύστημα του θύματος και τη διοχέτευση των δεδομένων σε έναν διακομιστή Command-and-Control (C2).

Τάσεις

Περισσότερες εμφανίσεις

Απάτη ηλεκτρονικού ταχυδρομείου «Geek Squad».

Phishing, Ανεπιθύμητη αλληλογραφία
37,897
Το Geek Squad, ένας δημοφιλής πάροχος τεχνικής υποστήριξης, έχει πέσει θύμα μιας απάτης ηλεκτρονικού ψαρέματος που ονομάζεται Geek Squad Email Scam. Αυτή η απάτη τεχνικής υποστήριξης χρησιμοποιεί πλαστά μηνύματα ηλεκτρονικού ταχυδρομείου που εξαπατούν τους ανθρώπους να δώσουν τα προσωπικά τους στοιχεία, όπως στοιχεία πιστωτικών καρτών, διευθύνσεις email, ακόμη και αριθμούς κοινωνικής ασφάλισης....

Αναδυόμενα παράθυρα "Εάν είστε 18, πατήστε...

Ψεύτικα προειδοποιητικά μηνύματα
29,598
Τα αναδυόμενα παράθυρα «Εάν είστε 18 ετών Πατήστε Επιτρέψτε» είναι ένας τύπος αναδυόμενης διαφήμισης που εμφανίζεται στην οθόνη ενός χρήστη κατά την περιήγηση στο Διαδίκτυο. Αυτά τα αναδυόμενα παράθυρα μπορεί να είναι αρκετά ανησυχητικά για τους χρήστες, καθώς τους προτρέπουν να κάνουν κλικ στο κουμπί "να επιτρέπεται" για να συνεχίσουν να χρησιμοποιούν τον ιστότοπο στον οποίο βρίσκονται αυτήν...
Φόρτωση...