Rocinante Mobile Malware
Egy új rosszindulatú programkampány a brazíliai mobilfelhasználókat célozza meg, egy Rocinante nevű Android banki trójai program bevezetésével. Ez a rosszindulatú program az Accessibility Service kihasználásával képes naplózni a billentyűleütéseket, és különböző bankokat utánzó adathalász képernyőkön keresztül gyűjti be az áldozatoktól a személyes azonosításra alkalmas információkat (PII). Ezenkívül az ellopott adatok segítségével átveszi az eszközt, kihasználva az akadálymentesítési szolgáltatás jogosultságait, hogy teljes távoli hozzáférést kapjon a fertőzött eszközhöz.
Tartalomjegyzék
Legális alkalmazásnak álcázva
A rosszindulatú program több prominens pénzintézetet céloz meg, köztük az Itaú Shopot és a Santandert, hamis alkalmazásokkal, amelyek többek között Bradesco Prime-nak és Correios Celular-nak tűnnek:
- Livelo Pontos (com.resgatelivelo.cash)
- Correios Recarga (com.correiosrecarga.android)
- Bratesco Prine (com.resgatelivelo.cash)
- Módulo de Segurança (com.viberition1414.app)
A rosszindulatú program forráskódjának elemzése feltárja, hogy az operátorok belsőleg Pegasus vagy PegasusSpy néven hivatkoznak a Rocinantére. Tisztázni kell azonban, hogy ennek a Pegasusnak nincs kapcsolata a többplatformos kémprogramokkal, amelyeket az NSO Group kereskedelmi felügyeleti szolgáltató fejlesztett ki.
Kapcsolatok más rosszindulatú programcsaládokkal
A Silent Push friss elemzése szerint a Pegasus egy DukeEugene néven ismert fenyegetettség szereplőjének tulajdonítható, aki hasonló kártevő-törzseket is kifejlesztett, mint az ERMAC , a BlackRock , a Hook és a Loot.
A kutatók felfedezték, hogy a Rocinante olyan elemeket tartalmaz, amelyeket az ERMAC korábbi verziói befolyásoltak. Az ERMAC forráskódjának 2023-as kiszivárgása hozzájárulhatott ehhez a fejleményhez. Ez az első olyan eset, amikor úgy tűnik, hogy egy eredeti rosszindulatú programcsalád beépítette a kiszivárgott kód egyes részeit a sajátjába. Az is lehetséges, hogy a Rocinante és az ERMAC ugyanannak a kezdeti projektnek külön ágait képviselik.
A Rocinante Banking trójai érzékeny adatokat céloz meg
A Rocinante elsősorban adathalász webhelyeken keresztül terjed, amelyek célja a felhasználók megtévesztése, hogy hamisított cseppentő alkalmazásokat telepítsenek. A telepítést követően ezek az alkalmazások kisegítő lehetőségeket kérnek a fertőzött eszközön végzett összes tevékenység megfigyeléséhez, az SMS-ek lehallgatásához és az adathalász bejelentkezési oldalak megjelenítéséhez.
A rosszindulatú program egy Command-and-Control (C2) szerverhez is csatlakozik, hogy távoli utasításokat kapjon, beleértve az érintési és ellopási események szimulálását. Az összegyűjtött személyes adatokat egy Telegram botnak küldik el, amely a célbankokat megszemélyesítő hamis bejelentkezési oldalakon keresztül nyert hasznos adatokat nyeri ki. Ezt az információt ezután formázzák és megosztják egy csevegésben, amely a bűnözők számára elérhető.
A részletek a használt hamis bejelentkezési oldaltól függően változnak, és olyan eszközadatokat tartalmaznak, mint a modell és a telefonszám, a CPF-szám, a jelszó vagy a számlaszám.
A fenyegető szereplők hasonló fertőzési vektorokat használnak ki
A Rocinante Banking Trojan fejlesztése egybeesik azzal, hogy a kiberbiztonsági kutatók egy új banki trójai kártevő kampányt fedeztek fel, amely spanyol és portugál nyelvű régiókat céloz meg a secureserver.net tartomány kihasználásával.
A többfázisú támadás fenyegető URL-ekkel kezdődik, amelyek a felhasználókat egy obfuszkált .hta fájlt tartalmazó archívumba irányítják. Ez a fájl egy JavaScript hasznos adatot indít el, amely különféle AntiVM- és AntiAV-ellenőrzéseket hajt végre a végső AutoIT-adattartalom letöltése előtt. Az AutoIT hasznos adatot ezután folyamatinjektálás útján hajtják végre, amelynek célja a banki információk és hitelesítő adatok begyűjtése az áldozat rendszeréből, és az adatok kiszűrése egy Command-and-Control (C2) szerverre.
