Malware mobile Rocinante
Una nuova campagna malware prende di mira gli utenti mobili in Brasile, distribuendo un trojan bancario Android chiamato Rocinante. Questo malware può registrare le sequenze di tasti sfruttando il servizio di accessibilità e raccogliere informazioni personali identificabili (PII) dalle vittime tramite schermate di phishing che imitano varie banche. Inoltre, utilizza i dati rubati per impossessarsi del dispositivo, utilizzando i privilegi del servizio di accessibilità per ottenere l'accesso remoto completo al dispositivo infetto.
Sommario
Mascherate da applicazioni legittime
Il malware prende di mira diversi importanti istituti finanziari, tra cui Itaú Shop e Santander, con applicazioni false che si spacciano per Bradesco Prime e Correios Celular, tra gli altri:
- Livelo Pontos (com.resgatelivelo.cash)
- Correios Recarga (com.correiosrecarga.android)
- Bratesco Prine (com.resgatelivelo.cash)
- Modulo di sicurezza (com.viberotion1414.app)
L'analisi del codice sorgente del malware rivela che gli operatori si riferiscono internamente a Rocinante come Pegasus o PegasusSpy. Tuttavia, è necessario chiarire che questo Pegasus non ha alcuna connessione con lo spyware multipiattaforma sviluppato dal fornitore di sorveglianza commerciale NSO Group.
Collegamenti ad altre famiglie di malware
Secondo una recente analisi di Silent Push, Pegasus è attribuito a un autore di minacce noto come DukeEugene, che ha sviluppato anche ceppi di malware simili, come ERMAC , BlackRock , Hook and Loot.
I ricercatori hanno scoperto che Rocinante include elementi influenzati da versioni precedenti di ERMAC. La fuga di notizie del 2023 del codice sorgente di ERMAC potrebbe aver contribuito a questo sviluppo. Questo è il primo caso in cui una famiglia di malware originale sembra aver incorporato parti del codice trapelato nel proprio. È anche possibile che Rocinante ed ERMAC rappresentino rami separati dello stesso progetto iniziale.
Il trojan bancario Rocinante prende di mira i dati sensibili
Rocinante si diffonde principalmente tramite siti Web di phishing progettati per ingannare gli utenti e indurli a installare applicazioni dropper contraffatte. Una volta installate, queste applicazioni richiedono privilegi di servizio di accessibilità per monitorare tutte le attività sul dispositivo infetto, intercettare messaggi SMS e visualizzare pagine di accesso di phishing.
Il malware si collega anche a un server Command-and-Control (C2) per ricevere istruzioni remote, tra cui la simulazione di eventi touch e swipe. Le informazioni personali raccolte vengono inviate a un bot di Telegram, che estrae dati utili ottenuti tramite le false pagine di login che impersonano le banche target. Queste informazioni vengono quindi formattate e condivise in una chat accessibile ai criminali.
I dettagli variano a seconda della pagina di accesso falsa utilizzata e includono informazioni sul dispositivo come modello e numero di telefono, numero CPF, password o numero di conto.
Gli attori della minaccia sfruttano vettori di infezione simili
Lo sviluppo del trojan bancario Rocinante coincide con la scoperta da parte dei ricercatori di sicurezza informatica di una nuova campagna malware trojan bancario che prende di mira le regioni di lingua spagnola e portoghese sfruttando il dominio secureserver.net.
L'attacco multifase inizia con URL minacciosi che indirizzano gli utenti a un archivio contenente un file .hta offuscato. Questo file attiva un payload JavaScript che esegue vari controlli AntiVM e AntiAV prima di scaricare il payload AutoIT finale. Il payload AutoIT viene quindi eseguito tramite iniezione di processo, con l'obiettivo di raccogliere informazioni bancarie e credenziali dal sistema della vittima ed esfiltrare i dati in un server Command-and-Control (C2).
