Rocinante Mobile'i pahavara
Uus pahavarakampaania sihib mobiilikasutajaid Brasiilias, juurutades Androidi pangandustrooja nimega Rocinante. See pahavara suudab klahvivajutused logida, kasutades juurdepääsetavuse teenust ja koguda ohvritelt isikut tuvastavat teavet (PII) andmepüügiekraanide kaudu, mis jäljendavad erinevaid panku. Lisaks kasutab see varastatud andmeid seadme ülevõtmiseks, kasutades hõlbustusteenuse privileege, et saada nakatunud seadmele täielik kaugjuurdepääs.
Sisukord
Õiguspärasteks rakendusteks maskeerumine
Pahavara on suunatud mitmele silmapaistvale finantsasutusele, sealhulgas Itaú Shopile ja Santanderile, võltsrakendustega, mis esinevad muu hulgas Bradesco Prime'i ja Correios Celularina:
- Livelo Pontos (com.resgatelivelo.cash)
- Correios Recarga (com.correiosrecarga.android)
- Bratesco Prine (com.resgatelivelo.cash)
- Módulo de Segurança (com.viberotion1414.app)
Pahavara lähtekoodi analüüs näitab, et operaatorid nimetavad Rocinantet sisemiselt Pegasuseks või PegasusSpyks. Siiski on vaja selgitada, et sellel Pegasusel pole sidet platvormideülese nuhkvaraga, mille on välja töötanud kommertsjärelevalve müüja NSO Group.
Ühendused teiste pahavaraperekondadega
Silent Pushi hiljutise analüüsi kohaselt omistatakse Pegasusele DukeEugene'i nime all tuntud ohutegija, kes on samuti välja töötanud sarnaseid pahavara tüvesid, nagu ERMAC , BlackRock , Hook ja Loot.
Teadlased on avastanud, et Rocinante sisaldab elemente, mida on mõjutanud ERMACi varasemad versioonid. Sellele arengule võis kaasa aidata 2023. aasta ERMACi lähtekoodi leke. See on esimene juhtum, kus algne pahavaraperekond näib olevat osa lekkinud koodist enda omadesse lisanud. Samuti on võimalik, et Rocinante ja ERMAC esindavad sama esialgse projekti eraldi harusid.
Rocinante Banking Trooja sihib tundlikke andmeid
Rocinante levib peamiselt andmepüügi veebisaitide kaudu, mille eesmärk on petta kasutajaid installima võltsitud tilgutirakendusi. Pärast installimist taotlevad need rakendused juurdepääsetavuse teenuse privileege, et jälgida kõiki nakatunud seadmes toimuvaid toiminguid, pealt kuulata SMS-sõnumeid ja kuvada andmepüügi sisselogimislehti.
Pahavara loob ühenduse ka Command-and-Control (C2) serveriga, et saada kaugjuhiseid, sealhulgas puute- ja pühkimissündmuste simuleerimiseks. Kogutud isikuandmed saadetakse Telegrami robotile, mis ekstraheerib kasulikke andmeid, mis on saadud sihtpankadeks esinevate võltsitud sisselogimislehtede kaudu. Seejärel vormindatakse see teave ja jagatakse kurjategijatele juurdepääsetavas vestluses.
Üksikasjad sõltuvad kasutatavast võltsitud sisselogimislehest ja hõlmavad seadme teavet, nagu mudel ja telefoninumber, CPF-number, parool või kontonumber.
Ohunäitlejad kasutavad ära sarnaseid nakkusvektoreid
Rocinante Banking Trooja arendus langeb kokku sellega, et küberjulgeoleku teadlased avastasid uue panganduse Trooja pahavarakampaania, mis sihib hispaania ja portugali keelt kõnelevaid piirkondi kasutades safeserver.net domeeni.
Mitmefaasiline rünnak algab ähvardavate URL-idega, mis suunavad kasutajad arhiivi, mis sisaldab hägustatud .hta-faili. See fail käivitab JavaScripti kasuliku koormuse, mis viib enne lõpliku AutoIT kasuliku koormuse allalaadimist läbi erinevaid AntiVM-i ja AntiAV-i kontrolle. Seejärel teostatakse AutoIT kasulik koormus protsessi süstimise teel, mille eesmärk on koguda ohvri süsteemist pangateave ja mandaadid ning eksfiltreerida andmed käsu- ja juhtimisserverisse (C2).
