Rocinante Mobile Malware
O nouă campanie de programe malware vizează utilizatorii de telefonie mobilă din Brazilia, implementând un troian bancar Android numit Rocinante. Acest malware poate înregistra apăsările de taste prin exploatarea Serviciului de accesibilitate și poate colecta informații personale de identificare (PII) de la victime prin ecrane de phishing care imită diferite bănci. În plus, utilizează datele furate pentru a prelua dispozitivul, utilizând privilegiile serviciului de accesibilitate pentru a obține acces complet de la distanță la dispozitivul infectat.
Cuprins
Mascarating ca aplicații legitime
Malware-ul vizează mai multe instituții financiare proeminente, inclusiv Itaú Shop și Santander, cu aplicații false care se prezintă drept Bradesco Prime și Correios Celular, printre altele:
- Livelo Pontos (com.resgatelivelo.cash)
- Correios Recarga (com.correiosrecarga.android)
- Bratesco Prine (com.resgatelivelo.cash)
- Modul de Segurança (com.viberotion1414.app)
Analiza codului sursă al malware-ului dezvăluie că operatorii se referă la Rocinante în mod intern ca Pegasus sau PegasusSpy. Cu toate acestea, este necesar să se clarifice faptul că acest Pegasus nu are nicio legătură cu programul spion multiplatform dezvoltat de furnizorul comercial de supraveghere NSO Group.
Conexiuni la alte familii de malware
Pegasus este atribuit unui actor de amenințare cunoscut sub numele de DukeEugene, care a dezvoltat și tulpini similare de malware, cum ar fi ERMAC , BlackRock , Hook and Loot, conform unei analize recente a Silent Push.
Cercetătorii au descoperit că Rocinante include elemente influențate de versiunile anterioare ale ERMAC. Scurgerea din 2023 a codului sursă al ERMAC poate să fi contribuit la această dezvoltare. Acesta este primul caz în care o familie originală de malware pare să fi încorporat părți ale codului scurs în propria lor. De asemenea, este posibil ca Rocinante și ERMAC să reprezinte ramuri separate ale aceluiași proiect inițial.
Troianul bancar Rocinante vizează date sensibile
Rocinante este răspândit în principal prin site-uri web de phishing concepute pentru a înșela utilizatorii să instaleze aplicații dropper contrafăcute. Odată instalate, aceste aplicații solicită privilegii de serviciu de accesibilitate pentru a monitoriza toate activitățile de pe dispozitivul infectat, a intercepta mesajele SMS și a afișa paginile de conectare pentru phishing.
Malware-ul se conectează, de asemenea, la un server Command-and-Control (C2) pentru a primi instrucțiuni de la distanță, inclusiv simularea evenimentelor de atingere și glisare. Informațiile personale colectate sunt trimise către un bot Telegram, care extrage date utile obținute prin paginile de autentificare false care uzurpă identitatea băncilor țintă. Aceste informații sunt apoi formatate și partajate într-un chat accesibil infractorilor.
Detaliile variază în funcție de pagina de conectare falsă utilizată și includ informații despre dispozitiv, cum ar fi modelul și numărul de telefon, numărul CPF, parola sau numărul de cont.
Actorii de amenințare exploatează vectori similari de infecție
Dezvoltarea troianului bancar Rocinante coincide cu cercetătorii în domeniul securității cibernetice care au descoperit o nouă campanie de malware bancar troian care vizează regiunile de limbă spaniolă și portugheză prin exploatarea domeniului secureserver.net.
Atacul în mai multe faze începe cu adrese URL amenințătoare care direcționează utilizatorii către o arhivă care conține un fișier .hta ofuscat. Acest fișier declanșează o sarcină utilă JavaScript care efectuează diverse verificări AntiVM și AntiAV înainte de a descărca încărcarea utilă AutoIT finală. Sarcina utilă AutoIT este apoi executată prin injectarea procesului, având ca scop colectarea informațiilor bancare și acreditările din sistemul victimei și exfiltrarea datelor pe un server Command-and-Control (C2).
