Rocinante Mobile Malware

យុទ្ធនាការមេរោគថ្មីកំណត់គោលដៅអ្នកប្រើប្រាស់ទូរស័ព្ទចល័តនៅក្នុងប្រទេសប្រេស៊ីល ដោយដាក់ពង្រាយ Trojan ធនាគារ Android ហៅថា Rocinante ។ មេរោគនេះអាចកត់ត្រាការចុចគ្រាប់ចុចដោយទាញយកសេវាកម្មមធ្យោបាយងាយស្រួល និងប្រមូលព័ត៌មានអត្តសញ្ញាណផ្ទាល់ខ្លួន (PII) ពីជនរងគ្រោះតាមរយៈអេក្រង់បន្លំដែលធ្វើត្រាប់តាមធនាគារផ្សេងៗ។ លើសពីនេះ វាប្រើប្រាស់ទិន្នន័យដែលត្រូវបានលួច ដើម្បីកាន់កាប់ឧបករណ៍ ដោយប្រើប្រាស់សិទ្ធិនៃសេវាកម្មភាពងាយស្រួល ដើម្បីទទួលបានសិទ្ធិចូលប្រើពីចម្ងាយពេញលេញទៅកាន់ឧបករណ៍ដែលមានមេរោគ។

ការក្លែងបន្លំជាកម្មវិធីស្របច្បាប់

មេរោគនេះកំពុងកំណត់គោលដៅស្ថាប័នហិរញ្ញវត្ថុល្បីៗមួយចំនួន រួមទាំង Itaú Shop និង Santander ជាមួយនឹងកម្មវិធីក្លែងក្លាយដែលដាក់ឈ្មោះថា Bradesco Prime និង Correios Celular ក្នុងចំណោមកម្មវិធីផ្សេងទៀត៖

• Livelo Pontos (com.resgatelivelo.cash)
• Correios Recarga (com.correiosrecarga.android)
• Bratesco Prine (com.resgatelivelo.cash)
• Módulo de Segurança (com.viberotion1414.app)

ការវិភាគប្រភពកូដរបស់មេរោគបង្ហាញថា ប្រតិបត្តិករខាងក្នុងសំដៅលើ Rocinante ជា Pegasus ឬ PegasusSpy ។ ទោះជាយ៉ាងណាក៏ដោយ វាចាំបាច់ក្នុងការបញ្ជាក់ឱ្យច្បាស់ថា Pegasus នេះមិនមានទំនាក់ទំនងជាមួយ spyware ឆ្លងវេទិកាដែលបង្កើតឡើងដោយអ្នកលក់តាមដានពាណិជ្ជកម្ម NSO Group ទេ។

ការតភ្ជាប់ទៅគ្រួសារមេរោគផ្សេងទៀត។

Pegasus ត្រូវបានសន្មតថាជាតួអង្គគំរាមកំហែងដែលគេស្គាល់ថាជា DukeEugene ដែលបានបង្កើតមេរោគស្រដៀងគ្នាដូចជា ERMAC , BlackRock , Hook និង Loot នេះបើយោងតាមការវិភាគថ្មីៗនេះដោយ Silent Push ។

អ្នកស្រាវជ្រាវបានរកឃើញថា Rocinante រួមបញ្ចូលធាតុដែលមានឥទ្ធិពលដោយកំណែមុនរបស់ ERMAC ។ ការលេចធ្លាយ 2023 នៃកូដប្រភពរបស់ ERMAC ប្រហែលជាបានរួមចំណែកដល់ការអភិវឌ្ឍន៍នេះ។ នេះ​ជា​ករណី​ដំបូង​ដែល​គ្រួសារ​មេរោគ​ដើម​ទំនង​ជា​បាន​បញ្ចូល​ផ្នែក​នៃ​កូដ​ដែល​លេច​ធ្លាយ​ទៅ​ក្នុង​ខ្លួន​វា​។ វាក៏អាចទៅរួចដែល Rocinante និង ERMAC តំណាងឱ្យសាខាដាច់ដោយឡែកនៃគម្រោងដំបូងដូចគ្នា។

Rocinante Banking Trojan កំណត់គោលដៅទិន្នន័យរសើប

Rocinante ត្រូវបានផ្សព្វផ្សាយជាចម្បងតាមរយៈគេហទំព័របន្លំដែលត្រូវបានរចនាឡើងដើម្បីបញ្ឆោតអ្នកប្រើប្រាស់ឱ្យដំឡើងកម្មវិធីក្លែងក្លាយ។ នៅពេលដំឡើងរួច កម្មវិធីទាំងនេះស្នើសុំសិទ្ធិសេវាកម្មលទ្ធភាពប្រើប្រាស់ ដើម្បីតាមដានសកម្មភាពទាំងអស់នៅលើឧបករណ៍ដែលមានមេរោគ ស្ទាក់ចាប់សារ SMS និងបង្ហាញទំព័រចូលលួចបន្លំ។

មេរោគនេះក៏ភ្ជាប់ទៅម៉ាស៊ីនមេ Command-and-Control (C2) ដើម្បីទទួលបានការណែនាំពីចម្ងាយ រួមទាំងការក្លែងធ្វើព្រឹត្តិការណ៍ប៉ះ និងអូសផងដែរ។ ព័ត៌មានផ្ទាល់ខ្លួនដែលប្រមូលបានត្រូវបានផ្ញើទៅកាន់ Telegram bot ដែលទាញយកទិន្នន័យមានប្រយោជន៍ដែលទទួលបានតាមរយៈទំព័រចូលក្លែងក្លាយដែលក្លែងបន្លំជាធនាគារគោលដៅ។ បន្ទាប់មកព័ត៌មាននេះត្រូវបានធ្វើទ្រង់ទ្រាយ និងចែករំលែកនៅក្នុងការជជែកដែលអាចចូលទៅដល់ឧក្រិដ្ឋជន។

ព័ត៌មានលម្អិតប្រែប្រួលអាស្រ័យលើទំព័រចូលក្លែងក្លាយដែលបានប្រើ និងរួមបញ្ចូលព័ត៌មានឧបករណ៍ដូចជា ម៉ូដែល និងលេខទូរស័ព្ទ លេខ CPF លេខសម្ងាត់ ឬលេខគណនី។

តួអង្គគំរាមកំហែងកេងប្រវ័ញ្ចមេរោគឆ្លងស្រដៀងគ្នា

ការអភិវឌ្ឍន៍ Rocinante Banking Trojan ស្របគ្នាជាមួយអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតដែលរកឃើញយុទ្ធនាការមេរោគ Trojan ធនាគារថ្មីមួយដែលកំណត់គោលដៅតំបន់ដែលនិយាយភាសាអេស្ប៉ាញ និងព័រទុយហ្គាល់ដោយការកេងប្រវ័ញ្ចលើដែន secureserver.net ។

ការវាយប្រហារច្រើនដំណាក់កាលចាប់ផ្តើមជាមួយនឹង URLs គំរាមកំហែងដែលនាំអ្នកប្រើប្រាស់ទៅកាន់បណ្ណសារដែលមានឯកសារ .hta ដែលមិនច្បាស់លាស់។ ឯកសារនេះចាប់ផ្តើមដំណើរការ JavaScript payload ដែលធ្វើការត្រួតពិនិត្យ AntiVM និង AntiAV ផ្សេងៗ មុនពេលទាញយក AutoIT payload ចុងក្រោយ។ បន្ទាប់មក AutoIT payload ត្រូវបានប្រតិបត្តិតាមរយៈការបញ្ចូលដំណើរការ គោលបំណងប្រមូលព័ត៌មានធនាគារ និងលិខិតសម្គាល់ពីប្រព័ន្ធជនរងគ្រោះ ហើយបញ្ចូនទិន្នន័យទៅកាន់ម៉ាស៊ីនមេ Command-and-Control (C2)។