Rocinante Mobile -haittaohjelma
Uusi haittaohjelmakampanja on suunnattu mobiilikäyttäjille Brasiliassa, ja se ottaa käyttöön Rocinante-nimisen Android-pankkitroijalaisen. Tämä haittaohjelma voi kirjata näppäinpainalluksia hyödyntämällä Accessibility Service -palvelua ja kerätä henkilökohtaisia tunnistetietoja (PII) uhreilta eri pankkeja jäljittelevien tietojenkalasteluruutujen kautta. Lisäksi se käyttää varastettuja tietoja laitteen hallintaan ja käyttää esteettömyyspalvelun oikeuksia saadakseen täyden etäkäytön tartunnan saaneeseen laitteeseen.
Sisällysluettelo
Naamioituminen laillisiksi sovelluksiksi
Haittaohjelma kohdistuu useisiin merkittäviin rahoituslaitoksiin, mukaan lukien Itaú Shop ja Santander, väärennetyillä sovelluksilla, jotka esiintyvät muun muassa Bradesco Primena ja Correios Celularina:
- Livelo Pontos (com.resgatelivelo.cash)
- Correios Recarga (com.correiosrecarga.android)
- Bratesco Prine (com.resgatelivelo.cash)
- Módulo de Segurança (com.viberotion1414.app)
Haittaohjelman lähdekoodin analyysi paljastaa, että operaattorit viittaavat sisäisesti Rocinanteen nimellä Pegasus tai PegasusSpy. On kuitenkin tarpeen selventää, että tällä Pegasuksella ei ole yhteyttä kaupallisen valvonnan toimittajan NSO Groupin kehittämiin useiden alustojen vakoiluohjelmiin.
Yhteydet muihin haittaohjelmaperheisiin
Silent Pushin tuoreen analyysin mukaan Pegasuksen syynä on DukeEugene-niminen uhkatekijä, joka on myös kehittänyt samanlaisia haittaohjelmakantoja, kuten ERMAC , BlackRock , Hook ja Loot.
Tutkijat ovat havainneet, että Rocinante sisältää elementtejä, joihin vaikuttivat ERMAC:n aiemmat versiot. Vuoden 2023 ERMACin lähdekoodin vuoto on saattanut myötävaikuttaa tähän kehitykseen. Tämä on ensimmäinen tapaus, jossa alkuperäinen haittaohjelmaperhe näyttää sisällyttäneen osia vuotaneesta koodista omaansa. On myös mahdollista, että Rocinante ja ERMAC edustavat saman alkuperäisen projektin erillisiä haaroja.
Rocinante Banking Troijalainen kohdistaa arkaluonteisiin tietoihin
Rocinante leviää pääasiassa tietojenkalastelusivustojen kautta, jotka on suunniteltu huijaamaan käyttäjiä asentamaan väärennettyjä tippasovelluksia. Asennuksen jälkeen nämä sovellukset pyytävät esteettömyyspalvelun oikeuksia valvoakseen kaikkia toimintoja tartunnan saaneessa laitteessa, siepatakseen tekstiviestejä ja näyttääkseen tietojenkalastelun kirjautumissivuja.
Haittaohjelma muodostaa myös yhteyden Command-and-Control (C2) -palvelimeen vastaanottaakseen etäohjeita, mukaan lukien kosketus- ja pyyhkäisytapahtumien simulointi. Kerätyt henkilötiedot lähetetään Telegram-botille, joka poimii hyödyllisiä tietoja, jotka on saatu kohdepankeja esiintyviltä väärennetyiltä kirjautumissivuilta. Nämä tiedot muotoillaan ja jaetaan chatissa, joka on rikollisten käytettävissä.
Tiedot vaihtelevat käytetyn väärennetyn kirjautumissivun mukaan ja sisältävät laitteen tiedot, kuten mallin ja puhelinnumeron, CPF-numeron, salasanan tai tilinumeron.
Uhkatoimijat käyttävät hyväkseen samanlaisia infektiovektoreita
Rocinante Banking Trojan -kehitys tapahtuu samaan aikaan, kun kyberturvallisuustutkijat paljastivat uuden pankkitoiminnan troijalaisen haittaohjelmakampanjan, joka kohdistuu espanjan ja portugalinkielisille alueille hyödyntämällä safeserver.net-verkkotunnusta.
Monivaiheinen hyökkäys alkaa uhkaavilla URL-osoitteilla, jotka ohjaavat käyttäjät arkistoon, joka sisältää hämärän .hta-tiedoston. Tämä tiedosto käynnistää JavaScript-hyötykuorman, joka suorittaa erilaisia AntiVM- ja AntiAV-tarkistuksia ennen lopullisen AutoIT-hyötykuorman lataamista. AutoIT-hyötykuorma suoritetaan sitten prosessiinjektiolla, jonka tavoitteena on kerätä pankkitiedot ja tunnistetiedot uhrin järjestelmästä ja suodata tiedot Command-and-Control (C2) -palvelimelle.
