Rocinante Mobile ļaunprātīga programmatūra
Jauna ļaunprātīgas programmatūras kampaņa ir paredzēta mobilo sakaru lietotājiem Brazīlijā, izvietojot Android bankas Trojas zirgu Rocinante. Šī ļaunprātīgā programmatūra var reģistrēt taustiņsitienus, izmantojot pieejamības pakalpojumu, un ievākt personu identificējošu informāciju (PII) no upuriem, izmantojot pikšķerēšanas ekrānus, kas atdarina dažādas bankas. Turklāt tas izmanto nozagtos datus, lai pārņemtu ierīci, izmantojot pieejamības pakalpojuma privilēģijas, lai iegūtu pilnu attālo piekļuvi inficētajai ierīcei.
Satura rādītājs
Maskaties par likumīgiem pieteikumiem
Ļaunprātīga programmatūra ir vērsta uz vairākām ievērojamām finanšu iestādēm, tostarp Itaú Shop un Santander, ar viltotām lietojumprogrammām, kas cita starpā tiek izmantotas kā Bradesco Prime un Correios Celular:
- Livelo Pontos (com.resgatelivelo.cash)
- Correios Recarga (com.correiosrecarga.android)
- Bratesco Prine (com.resgatelivelo.cash)
- Módulo de Segurança (com.viberotion1414.app)
Ļaunprātīgas programmatūras pirmkoda analīze atklāj, ka operatori Rocinante iekšēji dēvē par Pegasus vai PegasusSpy. Tomēr ir jāprecizē, ka šim Pegasus nav savienojuma ar starpplatformu spiegprogrammatūru, ko izstrādājis komerciālās uzraudzības pārdevējs NSO Group.
Savienojumi ar citām ļaunprātīgas programmatūras ģimenēm
Saskaņā ar jaunāko Silent Push analīzi, Pegasus ir saistīts ar apdraudējumu, kas pazīstams ar nosaukumu DukeEugene, kurš arī ir izstrādājis līdzīgus ļaunprātīgas programmatūras celmus, piemēram, ERMAC , BlackRock , Hook un Loot.
Pētnieki ir atklājuši, ka Rocinante ietver elementus, kurus ietekmējušas iepriekšējās ERMAC versijas. Iespējams, šo attīstību veicināja 2023. gada ERMAC pirmkoda noplūde. Šis ir pirmais gadījums, kad šķiet, ka oriģināla ļaunprātīgas programmatūras saime ir iekļāvusi daļu no nopludinātā koda savā. Ir arī iespējams, ka Rocinante un ERMAC ir viena un tā paša sākotnējā projekta atsevišķas filiāles.
Rocinante Banking Trojas zirgs ir paredzēts sensitīviem datiem
Rocinante galvenokārt tiek izplatīts, izmantojot pikšķerēšanas vietnes, kas paredzētas, lai maldinātu lietotājus, lai tie instalētu viltotu pilinātāju lietojumprogrammas. Pēc instalēšanas šīs lietojumprogrammas pieprasa pieejamības pakalpojuma privilēģijas, lai pārraudzītu visas darbības inficētajā ierīcē, pārtvertu īsziņas un parādītu pikšķerēšanas pieteikšanās lapas.
Ļaunprātīga programmatūra arī izveido savienojumu ar Command-and-Control (C2) serveri, lai saņemtu attālās instrukcijas, tostarp pieskāriena un vilkšanas notikumu simulāciju. Apkopotā personiskā informācija tiek nosūtīta uz Telegram robotu, kas iegūst noderīgus datus, kas iegūti, izmantojot viltotas pieteikšanās lapas, kas uzdodas par mērķa bankām. Pēc tam šī informācija tiek formatēta un kopīgota noziedzniekiem pieejamā tērzēšanā.
Detalizēta informācija atšķiras atkarībā no izmantotās viltus pieteikšanās lapas un ietver informāciju par ierīci, piemēram, modeli un tālruņa numuru, CPF numuru, paroli vai konta numuru.
Draudu aktieri izmanto līdzīgus infekcijas vektorus
Rocinante Banking Trojas zirgu izstrāde sakrīt ar kiberdrošības pētniekiem, kuri atklāj jaunu banku Trojas ļaunprātīgas programmatūras kampaņu, kuras mērķauditorija ir spāņu un portugāļu valodā runājošie reģioni, izmantojot domēnu secureserver.net.
Vairāku fāžu uzbrukums sākas ar draudošiem vietrāžiem URL, kas novirza lietotājus uz arhīvu, kurā ir apslēpts .hta fails. Šis fails aktivizē JavaScript lietderīgo slodzi, kas veic dažādas AntiVM un AntiAV pārbaudes pirms galīgās AutoIT derīgās slodzes lejupielādes. Pēc tam AutoIT lietderīgā slodze tiek izpildīta, izmantojot procesa injekciju, kuras mērķis ir iegūt bankas informāciju un akreditācijas datus no upura sistēmas un izfiltrēt datus Command-and-Control (C2) serverī.
