로시난테 모바일 맬웨어
새로운 맬웨어 캠페인이 브라질의 모바일 사용자를 대상으로 하며, Rocinante라는 안드로이드 뱅킹 트로이 목마를 배포합니다. 이 맬웨어는 접근성 서비스를 악용하여 키 입력을 기록하고 다양한 은행을 모방한 피싱 화면을 통해 피해자의 개인 식별 정보(PII)를 수집할 수 있습니다. 또한, 훔친 데이터를 사용하여 기기를 인수하고 접근성 서비스 권한을 사용하여 감염된 기기에 대한 전체 원격 액세스를 얻습니다.
목차
합법적인 애플리케이션으로 위장
이 맬웨어는 Itaú Shop과 Santander를 포함한 몇몇 유명 금융 기관을 표적으로 삼고 있으며, Bradesco Prime과 Correios Celular 등을 가장한 가짜 애플리케이션을 사용하고 있습니다.
- Livelo Pontos (com.resgatelivelo.cash)
- Correios Recarga (com.correiosrecarga.android)
- 브라테스코 프린(com.resgatelivelo.cash)
- Segurança 모듈(com.viberotion1414.app)
맬웨어 소스 코드 분석 결과, 운영자는 내부적으로 Rocinante를 Pegasus 또는 PegasusSpy라고 부릅니다. 그러나 이 Pegasus가 상업적 감시 공급업체 NSO Group이 개발한 크로스 플랫폼 스파이웨어와 관련이 없다는 점을 명확히 해야 합니다.
다른 맬웨어 패밀리와의 연결
Silent Push의 최근 분석에 따르면, 페가수스는 DukeEugene이라는 위협 행위자에게 기인한 것으로 보이며, 그는 ERMAC , BlackRock , Hook, Loot과 같은 유사한 맬웨어 종류도 개발한 바 있습니다.
연구자들은 Rocinante에 ERMAC의 이전 버전에서 영향을 받은 요소가 포함되어 있다는 것을 발견했습니다. 2023년 ERMAC 소스 코드 유출이 이러한 개발에 기여했을 수 있습니다. 이는 원래 맬웨어 패밀리가 유출된 코드의 일부를 자체 코드에 통합한 것으로 보이는 첫 번째 사례입니다. Rocinante와 ERMAC이 동일한 초기 프로젝트의 별도의 분기를 나타낼 가능성도 있습니다.
Rocinante Banking Trojan은 민감한 데이터를 표적으로 삼습니다.
Rocinante는 주로 사용자를 속여 위조된 드로퍼 애플리케이션을 설치하도록 설계된 피싱 웹사이트를 통해 확산됩니다. 이러한 애플리케이션은 설치되면 감염된 기기의 모든 활동을 모니터링하고 SMS 메시지를 가로채고 피싱 로그인 페이지를 표시하기 위해 접근성 서비스 권한을 요청합니다.
이 맬웨어는 또한 원격 명령을 수신하기 위해 C2(Command-and-Control) 서버에 연결하는데, 여기에는 터치 및 스와이프 이벤트 시뮬레이션이 포함됩니다. 수집된 개인 정보는 Telegram 봇으로 전송되고, 이 봇은 대상 은행을 사칭하는 가짜 로그인 페이지를 통해 얻은 유용한 데이터를 추출합니다. 그런 다음 이 정보는 포맷되어 범죄자가 접근할 수 있는 채팅에서 공유됩니다.
세부 정보는 사용된 가짜 로그인 페이지에 따라 다르며 모델 및 전화번호, CPF 번호, 비밀번호 또는 계좌 번호와 같은 기기 정보가 포함됩니다.
위협 행위자는 유사한 감염 벡터를 악용합니다.
로시난테 뱅킹 트로이 목마의 개발은 사이버보안 연구원들이 secureserver.net 도메인을 악용하여 스페인어와 포르투갈어 사용 지역을 표적으로 삼는 새로운 뱅킹 트로이 목마 맬웨어 캠페인을 발견한 것과 일치합니다.
다단계 공격은 사용자를 난독화된 .hta 파일이 포함된 아카이브로 안내하는 위협적인 URL로 시작합니다. 이 파일은 최종 AutoIT 페이로드를 다운로드하기 전에 다양한 AntiVM 및 AntiAV 검사를 수행하는 JavaScript 페이로드를 트리거합니다. 그런 다음 AutoIT 페이로드는 프로세스 주입을 통해 실행되어 피해자의 시스템에서 은행 정보와 자격 증명을 수집하고 데이터를 명령 및 제어(C2) 서버로 빼내는 것을 목표로 합니다.
