بدافزار موبایل Rocinante

یک کمپین بدافزار جدید، کاربران موبایل در برزیل را هدف قرار می دهد و یک تروجان بانکی اندروید به نام Rocinante را به کار می گیرد. این بدافزار می‌تواند ضربه‌های کلید را با بهره‌برداری از سرویس دسترسی و جمع‌آوری اطلاعات شناسایی شخصی (PII) از قربانیان از طریق صفحه‌های فیشینگ که بانک‌های مختلف را تقلید می‌کنند، ثبت کند. علاوه بر این، از داده های دزدیده شده برای کنترل دستگاه استفاده می کند و از امتیازات سرویس دسترسی برای دسترسی کامل از راه دور به دستگاه آلوده استفاده می کند.

جلوه دادن به عنوان برنامه های مشروع

این بدافزار چندین مؤسسه مالی برجسته از جمله Itaú Shop و Santander را با برنامه‌های جعلی با نام Bradesco Prime و Correios Celular هدف قرار داده است:

• Livelo Pontos (com.resgatelivelo.cash)
• Correios Recarga (com.correiosrecarga.android)
• Bratesco Prine (com.resgatelivelo.cash)
• Módulo de Segurança (com.viberotion1414.app)

تجزیه و تحلیل کد منبع بدافزار نشان می دهد که اپراتورها به طور داخلی Rocinante را Pegasus یا PegasusSpy می نامند. با این حال، لازم به توضیح است که این Pegasus هیچ ارتباطی با نرم افزار جاسوسی چند پلتفرمی توسعه یافته توسط فروشنده نظارت تجاری NSO Group ندارد.

اتصال به سایر خانواده‌های بدافزار

بر اساس تجزیه و تحلیل اخیر Silent Push، Pegasus به یک بازیگر تهدید معروف به DukeEugene نسبت داده می شود که همچنین گونه های بدافزار مشابهی مانند ERMAC ، BlackRock ، Hook و Loot را توسعه داده است.

محققان کشف کرده‌اند که Rocinante شامل عناصری است که تحت تأثیر نسخه‌های قبلی ERMAC قرار گرفته‌اند. لو رفتن کد منبع ERMAC در سال 2023 ممکن است به این توسعه کمک کرده باشد. این اولین موردی است که به نظر می‌رسد یک خانواده بدافزار اصلی بخش‌هایی از کد فاش شده را در خود گنجانده است. همچنین این امکان وجود دارد که Rocinante و ERMAC شاخه های جداگانه ای از یک پروژه اولیه را نشان دهند.

تروجان بانکی Rocinante داده های حساس را هدف قرار می دهد

Rocinante عمدتاً از طریق وب‌سایت‌های فیشینگ که برای فریب کاربران در نصب برنامه‌های قطره‌کن تقلبی طراحی شده‌اند، پخش می‌شود. پس از نصب، این برنامه‌ها برای نظارت بر تمام فعالیت‌ها در دستگاه آلوده، رهگیری پیام‌های SMS و نمایش صفحات ورود به سیستم فیشینگ، امتیازات سرویس دسترسی را درخواست می‌کنند.

این بدافزار همچنین به یک سرور Command-and-Control (C2) متصل می‌شود تا دستورالعمل‌های راه دور، از جمله شبیه‌سازی رویدادهای لمس و کشیدن انگشت را دریافت کند. اطلاعات شخصی جمع آوری شده به یک ربات تلگرام ارسال می شود که داده های مفیدی را که از طریق صفحات ورود جعلی جعل هویت بانک های هدف به دست آمده استخراج می کند. سپس این اطلاعات قالب بندی شده و در یک چت در دسترس مجرمان به اشتراک گذاشته می شود.

جزئیات بسته به صفحه ورود جعلی استفاده شده متفاوت است و شامل اطلاعات دستگاه مانند مدل و شماره تلفن، شماره CPF، رمز عبور یا شماره حساب است.

بازیگران تهدید از ناقلین عفونت مشابه سوء استفاده می کنند

توسعه تروجان بانکی Rocinante همزمان با محققان امنیت سایبری است که یک کمپین بدافزار تروجان بانکی جدید را کشف کردند که مناطق اسپانیایی و پرتغالی زبان را با سوء استفاده از دامنه safeserver.net هدف قرار می دهد.

حمله چند مرحله ای با URL های تهدیدآمیز شروع می شود که کاربران را به یک آرشیو حاوی یک فایل .hta مبهم هدایت می کند. این فایل یک بار جاوا اسکریپت را راه‌اندازی می‌کند که بررسی‌های مختلف AntiVM و AntiAV را قبل از دانلود بار نهایی AutoIT انجام می‌دهد. سپس محموله AutoIT از طریق تزریق فرآیند اجرا می‌شود، با هدف جمع‌آوری اطلاعات بانکی و اعتبار از سیستم قربانی و استخراج داده‌ها به یک سرور Command-and-Control (C2).