Rocinante मोबाइल मालवेयर
एउटा नयाँ मालवेयर अभियानले ब्राजिलमा मोबाइल प्रयोगकर्ताहरूलाई लक्षित गर्दै, रोसिनेन्टे भनिने एन्ड्रोइड बैंकिङ ट्रोजन प्रयोग गर्दै। यस मालवेयरले पहुँच सेवाको शोषण गरेर किस्ट्रोकहरू लग गर्न सक्छ र विभिन्न बैंकहरूको नक्कल गर्ने फिसिङ स्क्रिनहरू मार्फत पीडितहरूबाट व्यक्तिगत पहिचान योग्य जानकारी (PII) काट्न सक्छ। थप रूपमा, यसले संक्रमित यन्त्रमा पूर्ण रिमोट पहुँच प्राप्त गर्न पहुँच सेवा विशेषाधिकारहरू प्रयोग गर्दै, उपकरण कब्जा गर्न चोरी डाटा प्रयोग गर्दछ।
सामग्रीको तालिका
वैध अनुप्रयोगहरूको रूपमा मुखौटा गर्दै
मालवेयरले इटाउ शप र सान्टान्डर लगायतका धेरै प्रमुख वित्तीय संस्थाहरूलाई लक्षित गर्दैछ, जसमा ब्राडेस्को प्राइम र कोरियोस सेलुलर जस्ता नक्कली अनुप्रयोगहरू छन्:
- Livelo Pontos (com.resgatelivelo.cash)
- Correios Recarga (com.correiosrecarga.android)
- Bratesco Prine (com.resgatelivelo.cash)
- Módulo de Segurança (com.viberotion1414.app)
मालवेयरको स्रोत कोडको विश्लेषणले पत्ता लगाउँछ कि अपरेटरहरूले आन्तरिक रूपमा Rocinante लाई Pegasus वा PegasusSpy भनिन्छ। यद्यपि, यो स्पष्ट गर्न आवश्यक छ कि यस पेगाससको व्यावसायिक निगरानी विक्रेता NSO समूह द्वारा विकसित क्रस-प्लेटफर्म स्पाइवेयरसँग कुनै सम्बन्ध छैन।
अन्य मालवेयर परिवारहरूमा जडानहरू
पेगाससलाई ड्यूकयुजीन भनेर चिनिने खतरा अभिनेतालाई श्रेय दिइएको छ, जसले ERMAC , BlackRock , Hook र Loot जस्ता समान मालवेयर स्ट्रेनहरू पनि विकास गरेको छ, साइलेन्ट पुश द्वारा हालैको विश्लेषण अनुसार।
अन्वेषकहरूले पत्ता लगाएका छन् कि Rocinante मा ERMAC को अघिल्लो संस्करणहरू द्वारा प्रभावित तत्वहरू समावेश छन्। ERMAC को स्रोत कोडको 2023 चुहावटले यस विकासमा योगदान गरेको हुन सक्छ। यो पहिलो उदाहरण हो जहाँ एक मौलिक मालवेयर परिवारले लीक गरिएको कोडको अंशहरू आफ्नैमा समावेश गरेको देखिन्छ। यो पनि सम्भव छ कि Rocinante र ERMAC एउटै प्रारम्भिक परियोजना को अलग शाखा को प्रतिनिधित्व गर्दछ।
Rocinante बैंकिङ ट्रोजन संवेदनशील डाटा लक्षित गर्दछ
Rocinante मुख्यतया नक्कली ड्रपर अनुप्रयोगहरू स्थापना गर्न प्रयोगकर्ताहरूलाई धोका दिन डिजाइन गरिएको फिसिङ वेबसाइटहरू मार्फत फैलिएको छ। एक पटक स्थापना भएपछि, यी अनुप्रयोगहरूले संक्रमित यन्त्रमा सबै गतिविधिहरू निगरानी गर्न, SMS सन्देशहरू रोक्न, र फिसिङ लगइन पृष्ठहरू प्रदर्शन गर्न पहुँच सेवा विशेषाधिकारहरू अनुरोध गर्छन्।
मालवेयरले कमाण्ड-एण्ड-कन्ट्रोल (C2) सर्भरमा पनि टच र स्वाइप घटनाहरूको अनुकरण सहित रिमोट निर्देशनहरू प्राप्त गर्न जडान गर्दछ। संकलित व्यक्तिगत जानकारी टेलीग्राम बोटमा पठाइन्छ, जसले लक्षित बैंकहरूको नक्कल गर्ने नक्कली लगइन पृष्ठहरू मार्फत प्राप्त उपयोगी डाटा निकाल्छ। यो जानकारी त्यसपछि ढाँचा बनाइन्छ र अपराधीहरूलाई पहुँचयोग्य च्याटमा साझेदारी गरिन्छ।
विवरणहरू प्रयोग गरिएको नक्कली लगइन पृष्ठमा निर्भर गर्दछ र मोडेल र फोन नम्बर, CPF नम्बर, पासवर्ड वा खाता नम्बर जस्ता उपकरण जानकारी समावेश गर्दछ।
थ्रेट अभिनेताहरूले समान संक्रमण भेक्टरहरूको शोषण गर्छन्
Rocinante बैंकिङ ट्रोजन विकास साइबरसेक्युरिटी अनुसन्धानकर्ताहरूसँग मिल्दोजुल्दो छ जसले securityserver.net डोमेनको शोषण गरेर स्पेनिश र पोर्तुगाली भाषा बोल्ने क्षेत्रहरूलाई लक्षित गर्ने नयाँ बैंकिङ ट्रोजन मालवेयर अभियानको पर्दाफास गर्दछ।
बहु-चरण आक्रमण डरलाग्दो URL बाट सुरु हुन्छ जसले प्रयोगकर्ताहरूलाई अस्पष्ट .hta फाइल भएको अभिलेखमा निर्देशित गर्दछ। यो फाइलले जाभास्क्रिप्ट पेलोड ट्रिगर गर्दछ जसले अन्तिम AutoIT पेलोड डाउनलोड गर्नु अघि विभिन्न AntiVM र AntiAV जाँचहरू सञ्चालन गर्दछ। अटोआईटी पेलोड त्यसपछि प्रक्रिया इन्जेक्सन मार्फत निष्पादित गरिन्छ, पीडितको प्रणालीबाट बैंकिङ जानकारी र प्रमाणहरू सङ्कलन गर्ने र डाटालाई कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरमा निकाल्ने लक्ष्य राख्दै।
