Rocinante Mobile kenkėjiška programa
Nauja kenkėjiškų programų kampanija skirta mobiliųjų įrenginių naudotojams Brazilijoje, įdiegiant Android bankininkystės Trojos arklys, pavadintas Rocinante. Ši kenkėjiška programa gali registruoti klavišų paspaudimus naudodama pritaikymo neįgaliesiems paslaugą ir surinkti asmeninę identifikavimo informaciją (PII) iš aukų per sukčiavimo ekranus, kurie imituoja įvairius bankus. Be to, jis naudoja pavogtus duomenis įrenginiui perimti, naudodamasis pritaikymo neįgaliesiems paslaugų privilegijomis, kad gautų visišką nuotolinę prieigą prie užkrėsto įrenginio.
Turinys
Apsimeta teisėtais prašymais
Kenkėjiška programa nukreipta į keletą žinomų finansinių institucijų, įskaitant Itaú Shop ir Santander, su netikromis programomis, kurios, be kita ko, yra Bradesco Prime ir Correios Celular:
- Livelo Pontos (com.resgatelivelo.cash)
- „Correios Recarga“ (com.correiosrecarga.android)
- „Bratesco Prine“ (com.resgatelivelo.cash)
- Módulo de Segurança (com.viberotion1414.app)
Kenkėjiškos programos šaltinio kodo analizė atskleidžia, kad operatoriai Rocinante viduje vadina Pegasus arba PegasusSpy. Tačiau būtina paaiškinti, kad šis „Pegasus“ neturi ryšio su kelių platformų šnipinėjimo programomis, kurias sukūrė komercinio stebėjimo pardavėjas „NSO Group“.
Ryšiai su kitomis kenkėjiškų programų šeimomis
Remiantis naujausia „Silent Push“ analize, „Pegasus“ priskiriamas grėsmių veikėjui, žinomam kaip DukeEugene, kuris taip pat sukūrė panašias kenkėjiškų programų padermes, tokias kaip ERMAC , BlackRock , Hook ir Loot.
Tyrėjai išsiaiškino, kad Rocinante apima elementus, kuriems įtakos turėjo ankstesnės ERMAC versijos. 2023 m. ERMAC šaltinio kodo nutekėjimas galėjo prisidėti prie šios plėtros. Tai pirmas atvejis, kai atrodo, kad originali kenkėjiškų programų šeima įtraukė nutekėjusio kodo dalis į savo. Taip pat gali būti, kad Rocinante ir ERMAC yra atskiros to paties pradinio projekto šakos.
Rocinante Banking Trojos arklys taikosi į jautrius duomenis
„Rocinante“ pirmiausia plinta per sukčiavimo svetaines, skirtas suklaidinti vartotojus, kad jie įdiegtų padirbtų lašintuvų programas. Įdiegtos šios programos prašo pritaikymo neįgaliesiems paslaugų privilegijų, kad galėtų stebėti visą veiklą užkrėstame įrenginyje, perimti SMS žinutes ir rodyti sukčiavimo prisijungimo puslapius.
Kenkėjiška programa taip pat prisijungia prie komandų ir valdymo (C2) serverio, kad gautų nuotolines instrukcijas, įskaitant lietimo ir braukimo įvykių imitavimą. Surinkta asmeninė informacija siunčiama į „Telegram“ robotą, kuris išgauna naudingus duomenis, gautus per netikrus prisijungimo puslapius, apsimetinančius tiksliniais bankais. Tada ši informacija suformatuojama ir bendrinama nusikaltėliams prieinamame pokalbyje.
Išsami informacija skiriasi priklausomai nuo naudojamo netikro prisijungimo puslapio ir apima įrenginio informaciją, pvz., modelį ir telefono numerį, CPF numerį, slaptažodį arba sąskaitos numerį.
Grėsmės veikėjai išnaudoja panašius infekcijos vektorius
Rocinante Banking Trojan plėtra sutampa su kibernetinio saugumo tyrėjais, kurie atskleidžia naują bankininkystės Trojos kenkėjų kampaniją, kuri yra skirta ispaniškai ir portugališkai kalbantiems regionams, naudojant safeserver.net domeną.
Kelių fazių ataka prasideda nuo grėsmingų URL, kurie nukreipia vartotojus į archyvą, kuriame yra užmaskuotas .hta failas. Šis failas suaktyvina „JavaScript“ naudingą apkrovą, kuri atlieka įvairius „AntiVM“ ir „AntiAV“ patikrinimus prieš atsisiunčiant galutinę „AutoIT“ naudingąją apkrovą. Tada „AutoIT“ naudingoji apkrova vykdoma įvedant procesą, siekiant surinkti banko informaciją ir kredencialus iš aukos sistemos ir išfiltruoti duomenis į komandų ir valdymo (C2) serverį.
