Rocinante ਮੋਬਾਈਲ ਮਾਲਵੇਅਰ

ਇੱਕ ਨਵੀਂ ਮਾਲਵੇਅਰ ਮੁਹਿੰਮ ਬ੍ਰਾਜ਼ੀਲ ਵਿੱਚ ਮੋਬਾਈਲ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੀ ਹੈ, ਇੱਕ ਐਂਡਰੌਇਡ ਬੈਂਕਿੰਗ ਟਰੋਜਨ ਨੂੰ ਤੈਨਾਤ ਕਰਦੀ ਹੈ ਜਿਸਨੂੰ Rocinante ਕਿਹਾ ਜਾਂਦਾ ਹੈ। ਇਹ ਮਾਲਵੇਅਰ ਪਹੁੰਚਯੋਗਤਾ ਸੇਵਾ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਕੇ ਕੀਸਟ੍ਰੋਕ ਨੂੰ ਲੌਗ ਕਰ ਸਕਦਾ ਹੈ ਅਤੇ ਵੱਖ-ਵੱਖ ਬੈਂਕਾਂ ਦੀ ਨਕਲ ਕਰਨ ਵਾਲੀਆਂ ਫਿਸ਼ਿੰਗ ਸਕ੍ਰੀਨਾਂ ਰਾਹੀਂ ਪੀੜਤਾਂ ਤੋਂ ਨਿੱਜੀ ਪਛਾਣਯੋਗ ਜਾਣਕਾਰੀ (PII) ਪ੍ਰਾਪਤ ਕਰ ਸਕਦਾ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਇਹ ਸੰਕਰਮਿਤ ਡਿਵਾਈਸ ਤੱਕ ਪੂਰੀ ਰਿਮੋਟ ਐਕਸੈਸ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਪਹੁੰਚਯੋਗਤਾ ਸੇਵਾ ਦੇ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ, ਡਿਵਾਈਸ ਨੂੰ ਸੰਭਾਲਣ ਲਈ ਚੋਰੀ ਕੀਤੇ ਡੇਟਾ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ।

ਜਾਇਜ਼ ਐਪਲੀਕੇਸ਼ਨਾਂ ਦੇ ਤੌਰ 'ਤੇ ਮਾਸਕੇਰੇਡਿੰਗ

ਮਾਲਵੇਅਰ ਕਈ ਪ੍ਰਮੁੱਖ ਵਿੱਤੀ ਸੰਸਥਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾ ਰਿਹਾ ਹੈ, ਜਿਸ ਵਿੱਚ Itaú Shop ਅਤੇ Santander, Bradesco Prime ਅਤੇ Correios Celular ਦੇ ਰੂਪ ਵਿੱਚ ਜਾਅਲੀ ਐਪਲੀਕੇਸ਼ਨਾਂ ਸ਼ਾਮਲ ਹਨ, ਹੋਰਾਂ ਵਿੱਚ:

• Livelo Pontos (com.resgatelivelo.cash)
• Correios Recarga (com.correiosrecarga.android)
• ਬ੍ਰੈਟਸਕੋ ਪ੍ਰਾਈਨ (com.resgatelivelo.cash)
• Módulo de Segurança (com.viberotion1414.app)

ਮਾਲਵੇਅਰ ਦੇ ਸਰੋਤ ਕੋਡ ਦੇ ਵਿਸ਼ਲੇਸ਼ਣ ਤੋਂ ਪਤਾ ਲੱਗਦਾ ਹੈ ਕਿ ਓਪਰੇਟਰ ਅੰਦਰੂਨੀ ਤੌਰ 'ਤੇ ਰੋਸੀਨੈਂਟ ਨੂੰ ਪੇਗਾਸਸ ਜਾਂ ਪੈਗਾਸਸਸਪੀ ਕਹਿੰਦੇ ਹਨ। ਹਾਲਾਂਕਿ, ਇਹ ਸਪੱਸ਼ਟ ਕਰਨਾ ਜ਼ਰੂਰੀ ਹੈ ਕਿ ਇਸ ਪੇਗਾਸਸ ਦਾ ਵਪਾਰਕ ਨਿਗਰਾਨੀ ਵਿਕਰੇਤਾ NSO ਸਮੂਹ ਦੁਆਰਾ ਵਿਕਸਤ ਕਰਾਸ-ਪਲੇਟਫਾਰਮ ਸਪਾਈਵੇਅਰ ਨਾਲ ਕੋਈ ਸਬੰਧ ਨਹੀਂ ਹੈ।

ਹੋਰ ਮਾਲਵੇਅਰ ਪਰਿਵਾਰਾਂ ਨਾਲ ਕਨੈਕਸ਼ਨ

ਸਾਈਲੈਂਟ ਪੁਸ਼ ਦੁਆਰਾ ਹਾਲ ਹੀ ਦੇ ਇੱਕ ਵਿਸ਼ਲੇਸ਼ਣ ਦੇ ਅਨੁਸਾਰ, ਪੈਗਾਸਸ ਨੂੰ ਡਿਊਕਯੂਜੀਨ ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਇੱਕ ਖ਼ਤਰੇ ਦੇ ਅਭਿਨੇਤਾ ਨੂੰ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ, ਜਿਸਨੇ ERMAC , BlackRock , Hook ਅਤੇ Loot ਵਰਗੇ ਸਮਾਨ ਮਾਲਵੇਅਰ ਤਣਾਅ ਵੀ ਵਿਕਸਤ ਕੀਤੇ ਹਨ।

ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਖੋਜ ਕੀਤੀ ਹੈ ਕਿ Rocinante ਵਿੱਚ ERMAC ਦੇ ਪੁਰਾਣੇ ਸੰਸਕਰਣਾਂ ਦੁਆਰਾ ਪ੍ਰਭਾਵਿਤ ਤੱਤ ਸ਼ਾਮਲ ਹਨ। ERMAC ਦੇ ਸਰੋਤ ਕੋਡ ਦੇ 2023 ਲੀਕ ਨੇ ਇਸ ਵਿਕਾਸ ਵਿੱਚ ਯੋਗਦਾਨ ਪਾਇਆ ਹੋ ਸਕਦਾ ਹੈ। ਇਹ ਪਹਿਲੀ ਘਟਨਾ ਹੈ ਜਿੱਥੇ ਇੱਕ ਅਸਲੀ ਮਾਲਵੇਅਰ ਪਰਿਵਾਰ ਨੇ ਲੀਕ ਕੀਤੇ ਕੋਡ ਦੇ ਭਾਗਾਂ ਨੂੰ ਆਪਣੇ ਵਿੱਚ ਸ਼ਾਮਲ ਕੀਤਾ ਜਾਪਦਾ ਹੈ। ਇਹ ਵੀ ਸੰਭਵ ਹੈ ਕਿ Rocinante ਅਤੇ ERMAC ਇੱਕੋ ਸ਼ੁਰੂਆਤੀ ਪ੍ਰੋਜੈਕਟ ਦੀਆਂ ਵੱਖਰੀਆਂ ਸ਼ਾਖਾਵਾਂ ਨੂੰ ਦਰਸਾਉਂਦੇ ਹਨ।

Rocinante ਬੈਂਕਿੰਗ ਟਰੋਜਨ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ

Rocinante ਮੁੱਖ ਤੌਰ 'ਤੇ ਨਕਲੀ ਡਰਾਪਰ ਐਪਲੀਕੇਸ਼ਨਾਂ ਨੂੰ ਸਥਾਪਿਤ ਕਰਨ ਲਈ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਧੋਖਾ ਦੇਣ ਲਈ ਤਿਆਰ ਕੀਤੀਆਂ ਗਈਆਂ ਫਿਸ਼ਿੰਗ ਵੈਬਸਾਈਟਾਂ ਦੁਆਰਾ ਫੈਲਾਇਆ ਜਾਂਦਾ ਹੈ। ਇੱਕ ਵਾਰ ਸਥਾਪਿਤ ਹੋ ਜਾਣ 'ਤੇ, ਇਹ ਐਪਲੀਕੇਸ਼ਨਾਂ ਸੰਕਰਮਿਤ ਡਿਵਾਈਸ 'ਤੇ ਸਾਰੀਆਂ ਗਤੀਵਿਧੀਆਂ ਦੀ ਨਿਗਰਾਨੀ ਕਰਨ, SMS ਸੁਨੇਹਿਆਂ ਨੂੰ ਰੋਕਣ, ਅਤੇ ਫਿਸ਼ਿੰਗ ਲੌਗਇਨ ਪੰਨਿਆਂ ਨੂੰ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਨ ਲਈ ਪਹੁੰਚਯੋਗਤਾ ਸੇਵਾ ਅਧਿਕਾਰਾਂ ਦੀ ਬੇਨਤੀ ਕਰਦੀਆਂ ਹਨ।

ਮਾਲਵੇਅਰ ਰਿਮੋਟ ਹਦਾਇਤਾਂ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਨਾਲ ਵੀ ਜੁੜਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਟਚ ਅਤੇ ਸਵਾਈਪ ਇਵੈਂਟਾਂ ਦੀ ਨਕਲ ਸ਼ਾਮਲ ਹੈ। ਇਕੱਠੀ ਕੀਤੀ ਨਿੱਜੀ ਜਾਣਕਾਰੀ ਇੱਕ ਟੈਲੀਗ੍ਰਾਮ ਬੋਟ ਨੂੰ ਭੇਜੀ ਜਾਂਦੀ ਹੈ, ਜੋ ਨਿਸ਼ਾਨਾ ਬੈਂਕਾਂ ਦੀ ਨਕਲ ਕਰਨ ਵਾਲੇ ਜਾਅਲੀ ਲੌਗਇਨ ਪੰਨਿਆਂ ਦੁਆਰਾ ਪ੍ਰਾਪਤ ਕੀਤੇ ਉਪਯੋਗੀ ਡੇਟਾ ਨੂੰ ਐਕਸਟਰੈਕਟ ਕਰਦਾ ਹੈ। ਇਹ ਜਾਣਕਾਰੀ ਫਿਰ ਫਾਰਮੈਟ ਕੀਤੀ ਜਾਂਦੀ ਹੈ ਅਤੇ ਅਪਰਾਧੀਆਂ ਲਈ ਪਹੁੰਚਯੋਗ ਗੱਲਬਾਤ ਵਿੱਚ ਸਾਂਝੀ ਕੀਤੀ ਜਾਂਦੀ ਹੈ।

ਵੇਰਵੇ ਵਰਤੇ ਗਏ ਜਾਅਲੀ ਲੌਗਇਨ ਪੰਨੇ 'ਤੇ ਨਿਰਭਰ ਕਰਦੇ ਹੋਏ ਵੱਖ-ਵੱਖ ਹੁੰਦੇ ਹਨ ਅਤੇ ਇਸ ਵਿੱਚ ਡਿਵਾਈਸ ਜਾਣਕਾਰੀ ਸ਼ਾਮਲ ਹੁੰਦੀ ਹੈ ਜਿਵੇਂ ਕਿ ਮਾਡਲ ਅਤੇ ਫ਼ੋਨ ਨੰਬਰ, CPF ਨੰਬਰ, ਪਾਸਵਰਡ ਜਾਂ ਖਾਤਾ ਨੰਬਰ।

ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਐਕਟਰ ਮਿਲਦੇ-ਜੁਲਦੇ ਇਨਫੈਕਸ਼ਨ ਵੈਕਟਰਾਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦੇ ਹਨ

Rocinante ਬੈਂਕਿੰਗ ਟਰੋਜਨ ਵਿਕਾਸ ਇੱਕ ਨਵੀਂ ਬੈਂਕਿੰਗ ਟਰੋਜਨ ਮਾਲਵੇਅਰ ਮੁਹਿੰਮ ਦਾ ਪਰਦਾਫਾਸ਼ ਕਰਨ ਵਾਲੇ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨਾਲ ਮੇਲ ਖਾਂਦਾ ਹੈ ਜੋ safeserver.net ਡੋਮੇਨ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਕੇ ਸਪੈਨਿਸ਼ ਅਤੇ ਪੁਰਤਗਾਲੀ ਬੋਲਣ ਵਾਲੇ ਖੇਤਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ।

ਮਲਟੀ-ਫੇਜ਼ ਹਮਲੇ ਦੀ ਸ਼ੁਰੂਆਤ ਧਮਕੀ ਭਰੇ URLs ਨਾਲ ਹੁੰਦੀ ਹੈ ਜੋ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਇੱਕ ਅਸ਼ਲੀਲ .hta ਫਾਈਲ ਵਾਲੇ ਆਰਕਾਈਵ ਵਿੱਚ ਭੇਜਦੇ ਹਨ। ਇਹ ਫ਼ਾਈਲ ਇੱਕ JavaScript ਪੇਲੋਡ ਨੂੰ ਚਾਲੂ ਕਰਦੀ ਹੈ ਜੋ ਅੰਤਿਮ AutoIT ਪੇਲੋਡ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ ਵੱਖ-ਵੱਖ AntiVM ਅਤੇ AntiAV ਜਾਂਚਾਂ ਕਰਦੀ ਹੈ। ਆਟੋਆਈਟੀ ਪੇਲੋਡ ਨੂੰ ਫਿਰ ਪ੍ਰੋਸੈਸ ਇੰਜੈਕਸ਼ਨ ਦੁਆਰਾ ਚਲਾਇਆ ਜਾਂਦਾ ਹੈ, ਜਿਸਦਾ ਉਦੇਸ਼ ਪੀੜਤ ਦੇ ਸਿਸਟਮ ਤੋਂ ਬੈਂਕਿੰਗ ਜਾਣਕਾਰੀ ਅਤੇ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦੀ ਕਟਾਈ ਕਰਨਾ ਹੈ ਅਤੇ ਡੇਟਾ ਨੂੰ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਵਿੱਚ ਐਕਸਫਿਲਟਰ ਕਰਨਾ ਹੈ।