Perisian Hasad Mudah Alih Rocinante
Kempen perisian hasad baharu menyasarkan pengguna mudah alih di Brazil, menggunakan Trojan perbankan Android yang dipanggil Rocinante. Perisian hasad ini boleh mengelog ketukan kekunci dengan mengeksploitasi Perkhidmatan Kebolehcapaian dan menuai Maklumat Pengenalan Peribadi (PII) daripada mangsa melalui skrin pancingan data yang meniru pelbagai bank. Selain itu, ia menggunakan data yang dicuri untuk mengambil alih peranti, menggunakan keistimewaan perkhidmatan kebolehaksesan untuk mendapatkan akses jauh penuh kepada peranti yang dijangkiti.
Isi kandungan
Menyamar sebagai Permohonan yang Sah
Malware itu menyasarkan beberapa institusi kewangan terkemuka, termasuk Itaú Shop dan Santander, dengan aplikasi palsu yang menyamar sebagai Bradesco Prime dan Correios Celular, antara lain:
- Livelo Pontos (com.resgatelivelo.cash)
- Correios Recarga (com.correiosrecarga.android)
- Bratesco Prine (com.resgatelivelo.cash)
- Módulo de Segurança (com.viberotion1414.app)
Analisis kod sumber perisian hasad mendedahkan bahawa pengendali secara dalaman merujuk kepada Rocinante sebagai Pegasus atau PegasusSpy. Walau bagaimanapun, adalah perlu untuk menjelaskan bahawa Pegasus ini tidak mempunyai sambungan kepada perisian pengintip merentas platform yang dibangunkan oleh vendor pengawasan komersial NSO Group.
Sambungan kepada Keluarga Malware Lain
Pegasus dikaitkan dengan pelakon ancaman yang dikenali sebagai DukeEugene, yang juga telah membangunkan jenis perisian hasad yang serupa seperti ERMAC , BlackRock , Hook dan Loot, menurut analisis terbaru oleh Silent Push.
Penyelidik telah mendapati bahawa Rocinante termasuk unsur-unsur yang dipengaruhi oleh versi ERMAC yang lebih awal. Kebocoran 2023 kod sumber ERMAC mungkin telah menyumbang kepada perkembangan ini. Ini adalah contoh pertama di mana keluarga perisian hasad asal nampaknya telah memasukkan bahagian kod yang bocor ke dalam mereka sendiri. Mungkin juga Rocinante dan ERMAC mewakili cawangan berasingan bagi projek awal yang sama.
Trojan Perbankan Rocinante Menyasarkan Data Sensitif
Rocinante disebarkan terutamanya melalui tapak web pancingan data yang direka untuk memperdaya pengguna agar memasang aplikasi penitis palsu. Setelah dipasang, aplikasi ini meminta keistimewaan perkhidmatan kebolehaksesan untuk memantau semua aktiviti pada peranti yang dijangkiti, memintas mesej SMS dan memaparkan halaman log masuk pancingan data.
Perisian hasad juga bersambung ke pelayan Command-and-Control (C2) untuk menerima arahan jauh, termasuk mensimulasikan peristiwa sentuhan dan leret. Maklumat peribadi yang dikumpul dihantar ke bot Telegram, yang mengekstrak data berguna yang diperoleh melalui halaman log masuk palsu yang menyamar sebagai bank sasaran. Maklumat ini kemudiannya diformat dan dikongsi dalam sembang yang boleh diakses oleh penjenayah.
Butiran berbeza-beza bergantung pada halaman log masuk palsu yang digunakan dan termasuk maklumat peranti seperti model dan nombor telefon, nombor CPF, kata laluan atau nombor akaun.
Pelakon Ancaman Mengeksploitasi Vektor Jangkitan Serupa
Pembangunan Trojan Perbankan Rocinante bertepatan dengan penyelidik keselamatan siber mendedahkan kempen malware Trojan perbankan baharu yang menyasarkan wilayah berbahasa Sepanyol dan Portugis dengan mengeksploitasi domain secureserver.net.
Serangan berbilang fasa bermula dengan URL mengancam yang mengarahkan pengguna ke arkib yang mengandungi fail .hta yang dikelirukan. Fail ini mencetuskan muatan JavaScript yang menjalankan pelbagai pemeriksaan AntiVM dan AntiAV sebelum memuat turun muatan AutoIT akhir. Muatan AutoIT kemudiannya dilaksanakan melalui suntikan proses, bertujuan untuk mendapatkan maklumat perbankan dan bukti kelayakan daripada sistem mangsa dan mengeksfiltrasi data ke pelayan Perintah-dan-Kawalan (C2).
