Rocinante mobilni zlonamjerni softver
Nova kampanja zlonamjernog softvera cilja na korisnike mobilnih uređaja u Brazilu, postavljajući bankarski trojanac za Android nazvan Rocinante. Ovaj zlonamjerni softver može zabilježiti pritiske tipki iskorištavanjem usluge pristupačnosti i prikupiti osobne identifikacijske podatke (PII) od žrtava putem zaslona za krađu identiteta koji oponašaju razne banke. Osim toga, koristi ukradene podatke za preuzimanje uređaja, koristeći privilegije usluge pristupačnosti za dobivanje potpunog udaljenog pristupa zaraženom uređaju.
Sadržaj
Maskiranje kao legitimne aplikacije
Zlonamjerni softver cilja nekoliko istaknutih financijskih institucija, uključujući Itaú Shop i Santander, s lažnim aplikacijama koje se predstavljaju kao Bradesco Prime i Correios Celular, među ostalima:
- Livelo Pontos (com.resgatelivelo.cash)
- Correios Recarga (com.correiosrecarga.android)
- Bratesco Prine (com.resgatelivelo.cash)
- Módulo de Gurança (com.viberotion1414.app)
Analiza izvornog koda zlonamjernog softvera otkriva da operateri interno nazivaju Rocinante Pegasus ili PegasusSpy. Međutim, potrebno je pojasniti da ovaj Pegasus nema nikakve veze s međuplatformskim špijunskim softverom koji je razvio komercijalni dobavljač nadzora NSO Group.
Veze s drugim obiteljima zlonamjernog softvera
Pegasus se pripisuje akteru prijetnje poznatom kao DukeEugene, koji je također razvio slične vrste zlonamjernog softvera kao što su ERMAC , BlackRock , Hook and Loot, prema nedavnoj analizi Silent Pusha.
Istraživači su otkrili da Rocinante uključuje elemente na koje su utjecale ranije verzije ERMAC-a. Curenje ERMAC-ovog izvornog koda iz 2023. možda je pridonijelo ovom razvoju. Ovo je prvi slučaj u kojem se čini da je izvorna obitelj zlonamjernog softvera ugradila dijelove koda koji je procurio u svoj vlastiti. Također je moguće da Rocinante i ERMAC predstavljaju zasebne grane istog početnog projekta.
Bankarski trojanac Rocinante cilja na osjetljive podatke
Rocinante se primarno širi putem web-mjesta za krađu identiteta osmišljenih da prevare korisnike da instaliraju krivotvorene dropper aplikacije. Jednom instalirane, ove aplikacije zahtijevaju privilegije usluge pristupačnosti za praćenje svih aktivnosti na zaraženom uređaju, presretanje SMS poruka i prikaz stranica za prijavu za krađu identiteta.
Zlonamjerni se softver također povezuje s Command-and-Control (C2) poslužiteljem za primanje daljinskih uputa, uključujući simulaciju događaja dodira i prelaska. Prikupljeni osobni podaci šalju se Telegram botu, koji izvlači korisne podatke dobivene putem lažnih stranica za prijavu koje se lažno predstavljaju kao ciljne banke. Te se informacije zatim formatiraju i dijele u chatu koji je dostupan kriminalcima.
Pojedinosti se razlikuju ovisno o korištenoj lažnoj stranici za prijavu i uključuju informacije o uređaju kao što su model i telefonski broj, CPF broj, lozinka ili broj računa.
Akteri prijetnje iskorištavaju slične vektore infekcije
Razvoj bankarskog trojanca Rocinante poklapa se s istraživačima kibernetičke sigurnosti koji otkrivaju novu kampanju zlonamjernog softvera bankarskog trojanca koji cilja na regije španjolskog i portugalskog govornog područja iskorištavanjem domene secureserver.net.
Višefazni napad počinje s prijetećim URL-ovima koji usmjeravaju korisnike na arhivu koja sadrži maskiranu .hta datoteku. Ova datoteka pokreće JavaScript korisni sadržaj koji provodi razne AntiVM i AntiAV provjere prije preuzimanja konačnog AutoIT korisnog sadržaja. Korisni teret AutoIT-a zatim se izvršava putem ubrizgavanja procesa, s ciljem prikupljanja bankovnih informacija i vjerodajnica iz žrtvinog sustava i eksfiltriranja podataka na Command-and-Control (C2) poslužitelj.
