Rocinante Mobile Malware
Nowa kampania malware'u jest skierowana do użytkowników urządzeń mobilnych w Brazylii, wdrażając trojana bankowego Androida o nazwie Rocinante. To malware może rejestrować naciśnięcia klawiszy, wykorzystując usługę Accessibility Service i zbierać dane osobowe (PII) od ofiar za pomocą ekranów phishingowych, które naśladują różne banki. Ponadto wykorzystuje skradzione dane do przejęcia urządzenia, wykorzystując uprawnienia usługi Accessibility Service, aby uzyskać pełny zdalny dostęp do zainfekowanego urządzenia.
Spis treści
Podszywanie się pod legalne aplikacje
Złośliwe oprogramowanie atakuje kilka znanych instytucji finansowych, w tym Itaú Shop i Santander, a fałszywe aplikacje podszywają się pod Bradesco Prime i Correios Celular, między innymi:
- Livelo Pontos (com.resgatelivelo.cash)
- Correios Recarga (com.correiosrecarga.android)
- Bratesco Prine (com.resgatelivelo.cash)
- Modulo de Segurança (com.viberotion1414.app)
Analiza kodu źródłowego malware ujawnia, że operatorzy wewnętrznie odnoszą się do Rocinante jako Pegasus lub PegasusSpy. Należy jednak wyjaśnić, że ten Pegasus nie ma żadnego związku z wieloplatformowym oprogramowaniem szpiegującym opracowanym przez komercyjnego dostawcę monitoringu NSO Group.
Połączenia z innymi rodzinami złośliwego oprogramowania
Według niedawnej analizy Silent Push, za Pegasusa odpowiada aktor znany jako DukeEugene, który opracował również podobne odmiany złośliwego oprogramowania, takie jak ERMAC , BlackRock i Hook and Loot.
Badacze odkryli, że Rocinante zawiera elementy inspirowane wcześniejszymi wersjami ERMAC. Wyciek kodu źródłowego ERMAC w 2023 r. mógł przyczynić się do tego rozwoju. Jest to pierwszy przypadek, w którym oryginalna rodzina złośliwego oprogramowania wydaje się zawierać części wyciekłego kodu w swoim własnym. Możliwe jest również, że Rocinante i ERMAC stanowią oddzielne gałęzie tego samego początkowego projektu.
Trojan bankowy Rocinante atakuje poufne dane
Rocinante rozprzestrzenia się głównie za pośrednictwem witryn phishingowych, których celem jest oszukanie użytkowników i nakłonienie ich do zainstalowania fałszywych aplikacji typu dropper. Po zainstalowaniu aplikacje te żądają uprawnień dostępu do usług monitorowania wszystkich działań na zainfekowanym urządzeniu, przechwytywania wiadomości SMS i wyświetlania stron logowania phishingowych.
Malware łączy się również z serwerem Command-and-Control (C2), aby otrzymywać zdalne instrukcje, w tym symulować zdarzenia dotykania i przesuwania. Zebrane dane osobowe są wysyłane do bota Telegram, który wyodrębnia przydatne dane uzyskane za pośrednictwem fałszywych stron logowania podszywających się pod banki docelowe. Następnie informacje te są formatowane i udostępniane w czacie dostępnym dla przestępców.
Szczegóły różnią się w zależności od użytej fałszywej strony logowania i obejmują informacje o urządzeniu, takie jak model i numer telefonu, numer CPF, hasło lub numer konta.
Aktorzy zagrożeń wykorzystują podobne wektory infekcji
Powstanie trojana bankowego Rocinante zbiega się z odkryciem przez badaczy cyberbezpieczeństwa nowej kampanii złośliwego oprogramowania bankowego, skierowanej przeciwko regionom hiszpańskojęzycznym i portugalskojęzycznym, wykorzystującej domenę secureserver.net.
Atak wielofazowy rozpoczyna się od groźnych adresów URL, które kierują użytkowników do archiwum zawierającego zaciemniony plik .hta. Ten plik uruchamia ładunek JavaScript, który przeprowadza różne kontrole AntiVM i AntiAV przed pobraniem ostatecznego ładunku AutoIT. Ładunek AutoIT jest następnie wykonywany poprzez wstrzykiwanie procesu, którego celem jest zebranie informacji bankowych i poświadczeń z systemu ofiary i wyekstrahowanie danych do serwera Command-and-Control (C2).
