रोसिनांटे मोबाइल मैलवेयर
एक नया मैलवेयर अभियान ब्राज़ील में मोबाइल उपयोगकर्ताओं को लक्षित करता है, जिसमें रोसिनांटे नामक एक एंड्रॉइड बैंकिंग ट्रोजन तैनात किया जाता है। यह मैलवेयर एक्सेसिबिलिटी सर्विस का फायदा उठाकर कीस्ट्रोक्स को लॉग कर सकता है और विभिन्न बैंकों की नकल करने वाली फ़िशिंग स्क्रीन के माध्यम से पीड़ितों से व्यक्तिगत पहचान योग्य जानकारी (PII) प्राप्त कर सकता है। इसके अतिरिक्त, यह चुराए गए डेटा का उपयोग डिवाइस पर कब्ज़ा करने के लिए करता है, संक्रमित डिवाइस तक पूर्ण रिमोट एक्सेस प्राप्त करने के लिए एक्सेसिबिलिटी सर्विस विशेषाधिकारों का उपयोग करता है।
विषयसूची
वैध आवेदनों का दिखावा
यह मैलवेयर कई प्रमुख वित्तीय संस्थानों को निशाना बना रहा है, जिनमें इटाउ शॉप और सेंटेंडर शामिल हैं, तथा ब्रैडेस्को प्राइम और कोरियोस सेल्यूलर जैसे नकली एप्लीकेशन भी शामिल हैं:
- लिवेलो पोंटोस (com.resgatelivelo.cash)
- कोरीयोस रेकार्गा (com.correiosrecarga.android)
- ब्रेटस्को प्राइन (com.resgatelivelo.cash)
- मॉड्यूलो डी सेगुरान्का (com.viberotion1414.app)
मैलवेयर के सोर्स कोड के विश्लेषण से पता चलता है कि ऑपरेटर आंतरिक रूप से रोसिनांटे को पेगासस या पेगाससस्पाई के रूप में संदर्भित करते हैं। हालाँकि, यह स्पष्ट करना आवश्यक है कि इस पेगासस का वाणिज्यिक निगरानी विक्रेता NSO समूह द्वारा विकसित क्रॉस-प्लेटफ़ॉर्म स्पाइवेयर से कोई संबंध नहीं है।
अन्य मैलवेयर परिवारों से कनेक्शन
साइलेंट पुश द्वारा हाल ही में किए गए विश्लेषण के अनुसार, पेगासस का निर्माण ड्यूक यूजीन नामक एक खतरनाक व्यक्ति द्वारा किया गया है, जिसने ईआरएमएसी , ब्लैकरॉक , हुक और लूट जैसे मैलवेयर भी विकसित किए हैं।
शोधकर्ताओं ने पाया है कि रोसिनांटे में ERMAC के पुराने संस्करणों से प्रभावित तत्व शामिल हैं। ERMAC के स्रोत कोड के 2023 लीक ने इस विकास में योगदान दिया हो सकता है। यह पहला उदाहरण है जहाँ एक मूल मैलवेयर परिवार ने लीक हुए कोड के कुछ हिस्सों को अपने में शामिल किया है। यह भी संभव है कि रोसिनांटे और ERMAC एक ही प्रारंभिक परियोजना की अलग-अलग शाखाएँ हों।
रोसिनांटे बैंकिंग ट्रोजन संवेदनशील डेटा को निशाना बनाता है
रोसिनांटे मुख्य रूप से फ़िशिंग वेबसाइटों के माध्यम से फैलता है, जो उपयोगकर्ताओं को नकली ड्रॉपर एप्लिकेशन इंस्टॉल करने के लिए धोखा देने के लिए डिज़ाइन किए गए हैं। एक बार इंस्टॉल हो जाने के बाद, ये एप्लिकेशन संक्रमित डिवाइस पर सभी गतिविधियों की निगरानी करने, एसएमएस संदेशों को रोकने और फ़िशिंग लॉगिन पेज प्रदर्शित करने के लिए एक्सेसिबिलिटी सेवा विशेषाधिकारों का अनुरोध करते हैं।
मैलवेयर रिमोट निर्देश प्राप्त करने के लिए कमांड-एंड-कंट्रोल (C2) सर्वर से भी जुड़ता है, जिसमें स्पर्श और स्वाइप इवेंट का अनुकरण करना शामिल है। एकत्रित व्यक्तिगत जानकारी एक टेलीग्राम बॉट को भेजी जाती है, जो लक्षित बैंकों का प्रतिरूपण करने वाले नकली लॉगिन पृष्ठों के माध्यम से प्राप्त उपयोगी डेटा निकालता है। फिर इस जानकारी को स्वरूपित किया जाता है और अपराधियों के लिए सुलभ चैट में साझा किया जाता है।
विवरण प्रयुक्त फर्जी लॉगिन पृष्ठ के आधार पर भिन्न होते हैं और इसमें डिवाइस की जानकारी, जैसे मॉडल और फोन नंबर, सीपीएफ नंबर, पासवर्ड या खाता संख्या शामिल होती है।
ख़तरा पैदा करने वाले तत्व समान संक्रमण वैक्टर का फ़ायदा उठाते हैं
रोसिनांटे बैंकिंग ट्रोजन का विकास साइबर सुरक्षा शोधकर्ताओं द्वारा एक नए बैंकिंग ट्रोजन मैलवेयर अभियान का पता लगाने के साथ मेल खाता है, जो secureserver.net डोमेन का शोषण करके स्पेनिश और पुर्तगाली भाषी क्षेत्रों को लक्षित करता है।
बहु-चरणीय हमला धमकी भरे URL से शुरू होता है जो उपयोगकर्ताओं को एक अस्पष्ट .hta फ़ाइल वाले संग्रह पर ले जाता है। यह फ़ाइल एक जावास्क्रिप्ट पेलोड को ट्रिगर करती है जो अंतिम AutoIT पेलोड को डाउनलोड करने से पहले विभिन्न AntiVM और AntiAV जाँच करती है। फिर AutoIT पेलोड को प्रक्रिया इंजेक्शन के माध्यम से निष्पादित किया जाता है, जिसका उद्देश्य पीड़ित के सिस्टम से बैंकिंग जानकारी और क्रेडेंशियल्स को इकट्ठा करना और डेटा को कमांड-एंड-कंट्रोल (C2) सर्वर पर भेजना होता है।
