Rocinante mobiele malware
Een nieuwe malwarecampagne richt zich op mobiele gebruikers in Brazilië en implementeert een Android banking-Trojan genaamd Rocinante. Deze malware kan toetsaanslagen registreren door de Accessibility Service te misbruiken en persoonlijke identificeerbare informatie (PII) van slachtoffers te verzamelen via phishingschermen die verschillende banken nabootsen. Daarnaast gebruikt het de gestolen gegevens om het apparaat over te nemen, waarbij de privileges van de Accessibility Service worden gebruikt om volledige externe toegang tot het geïnfecteerde apparaat te verkrijgen.
Inhoudsopgave
Vermomd als legitieme applicaties
De malware is gericht op verschillende vooraanstaande financiële instellingen, waaronder Itaú Shop en Santander, met nep-applicaties die zich voordoen als onder andere Bradesco Prime en Correios Celular:
- Livelo Pontos (com.resgatelivelo.cash)
- Correios Recarga (com.correiosrecarga.android)
- Bratesco Prine (com.resgatelivelo.cash)
- Segurança-module (com.viberotion1414.app)
Analyse van de broncode van de malware onthult dat de operators intern verwijzen naar Rocinante als Pegasus of PegasusSpy. Het is echter noodzakelijk om te verduidelijken dat deze Pegasus geen connectie heeft met de cross-platform spyware die is ontwikkeld door de commerciële surveillanceleverancier NSO Group.
Verbindingen met andere malwarefamilies
Volgens een recente analyse van Silent Push wordt Pegasus toegeschreven aan een kwaadwillende actor die bekendstaat als DukeEugene, die ook soortgelijke malware-stammen heeft ontwikkeld, zoals ERMAC , BlackRock , Hook en Loot.
Onderzoekers hebben ontdekt dat Rocinante elementen bevat die zijn beïnvloed door eerdere versies van ERMAC. Het lekken van de broncode van ERMAC in 2023 heeft mogelijk bijgedragen aan deze ontwikkeling. Dit is het eerste geval waarin een originele malwarefamilie delen van de gelekte code in hun eigen code lijkt te hebben opgenomen. Het is ook mogelijk dat Rocinante en ERMAC afzonderlijke takken van hetzelfde oorspronkelijke project vertegenwoordigen.
De Rocinante Banking Trojan richt zich op gevoelige gegevens
Rocinante wordt voornamelijk verspreid via phishingwebsites die zijn ontworpen om gebruikers te misleiden om namaak dropper-applicaties te installeren. Na installatie vragen deze applicaties om privileges voor toegankelijkheidsservices om alle activiteiten op het geïnfecteerde apparaat te monitoren, sms-berichten te onderscheppen en phishing-inlogpagina's weer te geven.
De malware maakt ook verbinding met een Command-and-Control (C2) server om externe instructies te ontvangen, inclusief het simuleren van touch- en swipe-gebeurtenissen. Verzamelde persoonlijke informatie wordt naar een Telegram-bot gestuurd, die nuttige gegevens extraheert die zijn verkregen via de nep-inlogpagina's die zich voordoen als doelbanken. Deze informatie wordt vervolgens geformatteerd en gedeeld in een chat die toegankelijk is voor criminelen.
De details variëren afhankelijk van de gebruikte nep-inlogpagina en omvatten apparaatgegevens zoals model en telefoonnummer, CPF-nummer, wachtwoord of accountnummer.
Bedreigingsactoren maken gebruik van soortgelijke infectievectoren
De ontwikkeling van de Rocinante Banking Trojan valt samen met de ontdekking door cybersecurity-onderzoekers van een nieuwe banking Trojan-malwarecampagne die zich richt op Spaans- en Portugeestalige regio's door het domein secureserver.net te misbruiken.
De multi-fase aanval begint met bedreigende URL's die gebruikers naar een archief leiden dat een verhuld .hta-bestand bevat. Dit bestand activeert een JavaScript-payload die verschillende AntiVM- en AntiAV-controles uitvoert voordat de uiteindelijke AutoIT-payload wordt gedownload. De AutoIT-payload wordt vervolgens uitgevoerd via procesinjectie, met als doel bankgegevens en inloggegevens van het systeem van het slachtoffer te verzamelen en de gegevens te exfiltreren naar een Command-and-Control (C2)-server.
