Banco de Dados de Ameaças Malware móvel Rocinante Mobile Malware

Rocinante Mobile Malware

Uma nova campanha de malware tem como alvo os usuários de celular do Brasil, implantando um Trojan bancário Android chamado Rocinante. Este malware pode registrar pressionamentos de tecla explorando o Serviço de Acessibilidade e coletar Informações Pessoais Identificáveis (PII) das vítimas por meio de telas de phishing que imitam vários bancos. Além disso, ele usa os dados roubados para assumir o controle do dispositivo, utilizando os privilégios do serviço de acessibilidade para obter acesso remoto completo ao dispositivo infectado.

Disfarçados como Aplicativos Legítimos

O malware tem como alvo diversas instituições financeiras importantes, incluindo o Itaú Shop e o Santander, com aplicativos falsos se passando pelo Bradesco Prime e pelos Correios Celular, entre outros:

  • Livelo Pontos (com.resgatelivelo.cash)
  • Correios Recarga (com.correiosrecarga.android)
  • Bratesco Prine (com.resgatelivelo.cash)
  • Módulo de Segurança (com.viberotion1414.app)

A análise do código-fonte do malware revela que os operadores internamente se referem ao Rocinante como Pegasus ou PegasusSpy. No entanto, é necessário esclarecer que este Pegasus não tem conexão com o spyware multiplataforma desenvolvido pelo fornecedor de vigilância comercial NSO Group.

Conexões com Outras Famílias de Malware

O Pegasus é atribuído a um agente de ameaça conhecido como DukeEugene, que também desenvolveu cepas de malware semelhantes, como ERMAC, BlackRock, Hook and Loot, de acordo com uma análise recente da Silent Push.

Os pesquisadores descobriram que o Rocinante inclui elementos influenciados por versões anteriores do ERMAC. O vazamento de 2023 do código-fonte do ERMAC pode ter contribuído para esse desenvolvimento. Esta é a primeira vez em que uma família de malware original parece ter incorporado partes do código vazado ao seu próprio. Também é possível que o Rocinante e o ERMAC representem ramificações separadas do mesmo projeto inicial.

O Trojan Bancário Rocinante Tem como Alvo Dados Confidenciais

O Rocinante é espalhado principalmente por meio de sites de phishing projetados para enganar os usuários e fazê-los instalar aplicativos dropper falsificados. Uma vez instalados, esses aplicativos solicitam privilégios de serviço de acessibilidade para monitorar todas as atividades no dispositivo infectado, interceptar mensagens SMS e exibir páginas de login de phishing.

O malware também se conecta a um servidor de Comando e Controle (C2) para receber instruções remotas, incluindo simulação de eventos de toque e deslizamento. As informações pessoais coletadas são enviadas para um bot do Telegram, que extrai dados úteis obtidos por meio de páginas de login falsas que se passam por bancos-alvo. Essas informações são então formatadas e compartilhadas em um chat acessível aos criminosos.

Os detalhes variam dependendo da página de login falsa usada e incluem informações do dispositivo, como modelo e número de telefone, número de CPF, senha ou número de conta.

Os Autores de Ameaças Exploram Vetores de Infecção Semelhantes

O desenvolvimento do Trojan bancário Rocinante coincide com a descoberta de uma nova campanha de malware Trojan bancário que tem como alvo regiões de língua espanhola e portuguesa, explorando o domínio secureserver.net por pesquisadores de segurança cibernética.

O ataque multifásico começa com URLs ameaçadoras que direcionam os usuários para um arquivo contendo um arquivo .hta ofuscado. Este arquivo aciona um payload JavaScript que conduz várias verificações AntiVM e AntiAV antes de baixar o payload AutoIT final. O payload AutoIT é então executado por meio de injeção de processo, visando coletar informações bancárias e credenciais do sistema da vítima e exfiltrar os dados para um servidor Command-and-Control (C2).

Tendendo

Mais visto

Carregando...