Rocinante mobil skadelig programvare
En ny malware-kampanje retter seg mot mobile brukere i Brasil, og distribuerer en Android-banktrojaner kalt Rocinante. Denne skadelige programvaren kan logge tastetrykk ved å utnytte tilgjengelighetstjenesten og høste personlig identifiserbar informasjon (PII) fra ofre gjennom phishing-skjermer som etterligner ulike banker. I tillegg bruker den de stjålne dataene til å overta enheten, og bruker tilgangstjenesteprivilegiene for å få full ekstern tilgang til den infiserte enheten.
Innholdsfortegnelse
Maskert som legitime applikasjoner
Skadevaren er rettet mot flere fremtredende finansinstitusjoner, inkludert Itaú Shop og Santander, med falske applikasjoner som utgir seg for å være Bradesco Prime og Correios Celular, blant andre:
- Livelo Pontos (com.resgatelivelo.cash)
- Correios Recarga (com.correiosrecarga.android)
- Bratesco Prine (com.resgatelivelo.cash)
- Módulo de Segurança (com.viberotion1414.app)
Analyse av skadevarens kildekode avslører at operatørene internt refererer til Rocinante som Pegasus eller PegasusSpy. Det er imidlertid nødvendig å presisere at denne Pegasus ikke har noen tilknytning til spionprogramvare på tvers av plattformer utviklet av den kommersielle overvåkingsleverandøren NSO Group.
Tilkoblinger til andre skadevarefamilier
Pegasus tilskrives en trusselaktør kjent som DukeEugene, som også har utviklet lignende skadevarestammer som ERMAC , BlackRock , Hook og Loot, ifølge en fersk analyse av Silent Push.
Forskere har oppdaget at Rocinante inkluderer elementer påvirket av tidligere versjoner av ERMAC. 2023-lekkasjen av ERMACs kildekode kan ha bidratt til denne utviklingen. Dette er det første tilfellet der en original malware-familie ser ut til å ha inkorporert deler av den lekkede koden i sin egen. Det er også mulig at Rocinante og ERMAC representerer separate grener av det samme innledende prosjektet.
Rocinante Banking Trojan retter seg mot sensitive data
Rocinante spres først og fremst gjennom phishing-nettsteder designet for å lure brukere til å installere falske dropper-applikasjoner. Når de er installert, ber disse applikasjonene om tilgangstjenesteprivilegier for å overvåke alle aktiviteter på den infiserte enheten, fange opp SMS-meldinger og vise phishing-påloggingssider.
Skadevaren kobles også til en Command-and-Control-server (C2) for å motta eksterne instruksjoner, inkludert simulering av berørings- og sveipehendelser. Innsamlet personlig informasjon sendes til en Telegram-bot, som trekker ut nyttige data innhentet gjennom de falske påloggingssidene som utgir seg for å være målbanker. Denne informasjonen blir deretter formatert og delt i en chat som er tilgjengelig for kriminelle.
Detaljene varierer avhengig av den falske påloggingssiden som brukes og inkluderer enhetsinformasjon som modell og telefonnummer, CPF-nummer, passord eller kontonummer.
Trusselaktører utnytter lignende infeksjonsvektorer
Rocinante Banking Trojan-utviklingen faller sammen med cybersikkerhetsforskere som avdekker en ny bank Trojan malware-kampanje som retter seg mot spansk- og portugisisktalende regioner ved å utnytte secureserver.net-domenet.
Flerfaseangrepet starter med truende URL-er som leder brukere til et arkiv som inneholder en skjult .hta-fil. Denne filen utløser en JavaScript-nyttelast som utfører ulike AntiVM- og AntiAV-kontroller før den laster ned den endelige AutoIT-nyttelasten. AutoIT-nyttelasten utføres deretter gjennom prosessinjeksjon, med sikte på å hente bankinformasjon og legitimasjon fra offerets system og eksfiltrere dataene til en Command-and-Control-server (C2).
