Мобильное вредоносное ПО Rocinante
Новая вредоносная кампания нацелена на мобильных пользователей в Бразилии, внедряя банковский троян Android под названием Rocinante. Эта вредоносная программа может регистрировать нажатия клавиш, используя Accessibility Service, и собирать личную идентификационную информацию (PII) жертв через фишинговые экраны, имитирующие различные банки. Кроме того, она использует украденные данные для захвата устройства, используя привилегии Accessibility Service для получения полного удаленного доступа к зараженному устройству.
Оглавление
Маскировка под законные приложения
Вредоносное ПО нацелено на несколько известных финансовых учреждений, включая Itaú Shop и Santander, с помощью поддельных приложений, выдающих себя за Bradesco Prime и Correios Celular, среди прочих:
- Ливело Понтос (com.resgatelivelo.cash)
- Коррейос Рекарга (com.correiosrecarga.android)
- Братеско Прайн (com.resgatelivelo.cash)
- Модуль безопасности (com.viberotion1414.app)
Анализ исходного кода вредоносного ПО показывает, что операторы внутри компании называют Rocinante Pegasus или PegasusSpy. Однако необходимо уточнить, что этот Pegasus не имеет никакого отношения к кроссплатформенному шпионскому ПО, разработанному поставщиком коммерческого слежения NSO Group.
Связи с другими семействами вредоносных программ
Согласно недавнему анализу Silent Push, Pegasus приписывается злоумышленнику, известному как DukeEugene, который также разработал похожие штаммы вредоносного ПО, такие как ERMAC , BlackRock , Hook and Loot.
Исследователи обнаружили, что Rocinante включает элементы, на которые повлияли более ранние версии ERMAC. Утечка исходного кода ERMAC в 2023 году могла способствовать этому развитию. Это первый случай, когда оригинальное семейство вредоносных программ, по-видимому, включило части утекшего кода в свой собственный. Также возможно, что Rocinante и ERMAC представляют собой отдельные ветви одного и того же первоначального проекта.
Банковский троян Rocinante нацелен на конфиденциальные данные
Rocinante в основном распространяется через фишинговые веб-сайты, предназначенные для обмана пользователей с целью установки поддельных приложений-дропперов. После установки эти приложения запрашивают привилегии службы доступности для мониторинга всех действий на зараженном устройстве, перехвата SMS-сообщений и отображения фишинговых страниц входа.
Вредоносная программа также подключается к серверу Command-and-Control (C2) для получения удаленных инструкций, включая имитацию событий касания и смахивания. Собранная личная информация отправляется в Telegram-бот, который извлекает полезные данные, полученные через поддельные страницы входа, выдающие себя за целевые банки. Затем эта информация форматируется и передается в чате, доступном преступникам.
Данные различаются в зависимости от используемой поддельной страницы входа и включают в себя информацию об устройстве, такую как модель и номер телефона, номер CPF, пароль или номер учетной записи.
Злоумышленники используют схожие векторы заражения
Разработка банковского трояна Rocinante совпала с обнаружением исследователями по кибербезопасности новой вредоносной кампании банковского трояна, нацеленной на испано- и португалоязычные регионы путем эксплуатации домена secureserver.net.
Многофазная атака начинается с угрожающих URL-адресов, которые направляют пользователей в архив, содержащий запутанный файл .hta. Этот файл запускает полезную нагрузку JavaScript, которая проводит различные проверки AntiVM и AntiAV перед загрузкой окончательной полезной нагрузки AutoIT. Затем полезная нагрузка AutoIT выполняется посредством внедрения процесса, направленного на сбор банковской информации и учетных данных из системы жертвы и выгрузку данных на сервер Command-and-Control (C2).
