Mobilný malvér Rocinante
Nová kampaň proti malvéru sa zameriava na mobilných používateľov v Brazílii a nasadzuje trójskeho koňa Android banking s názvom Rocinante. Tento malvér môže zaznamenávať stlačenia klávesov využívaním služby dostupnosti a získavať osobné identifikačné informácie (PII) od obetí prostredníctvom phishingových obrazoviek, ktoré napodobňujú rôzne banky. Okrem toho používa ukradnuté údaje na prevzatie zariadenia, pričom využíva privilégiá služby dostupnosti na získanie úplného vzdialeného prístupu k infikovanému zariadeniu.
Obsah
Masquerading ako legitímne aplikácie
Malvér sa zameriava na niekoľko významných finančných inštitúcií vrátane Itaú Shop a Santander, pričom falošné aplikácie sa okrem iného vydávajú za Bradesco Prime a Correios Celular:
- Livelo Pontos (com.resgatelivelo.cash)
- Correios Recarga (com.correiosrecarga.android)
- Bratesco Prine (com.resgatelivelo.cash)
- Módulo de Segurança (com.viberotion1414.app)
Analýza zdrojového kódu malvéru ukazuje, že operátori interne označujú Rocinante ako Pegasus alebo PegasusSpy. Je však potrebné objasniť, že tento Pegasus nemá žiadne spojenie s multiplatformovým spywarom vyvinutým komerčným dodávateľom dohľadu NSO Group.
Pripojenie k iným rodinám malvéru
Podľa nedávnej analýzy spoločnosti Silent Push sa Pegasus pripisuje aktérovi hrozieb známemu ako DukeEugene, ktorý tiež vyvinul podobné kmene malvéru ako ERMAC , BlackRock , Hook a Loot.
Výskumníci zistili, že Rocinante obsahuje prvky ovplyvnené staršími verziami ERMAC. K tomuto vývoju mohol prispieť únik zdrojového kódu ERMAC v roku 2023. Toto je prvý prípad, keď sa zdá, že pôvodná rodina škodlivého softvéru začlenila časti uniknutého kódu do svojho vlastného. Je tiež možné, že Rocinante a ERMAC predstavujú samostatné pobočky toho istého počiatočného projektu.
Bankový trójsky kôň Rocinante sa zameriava na citlivé údaje
Rocinante sa šíri predovšetkým prostredníctvom phishingových webových stránok, ktorých cieľom je oklamať používateľov, aby si nainštalovali falošné aplikácie typu dropper. Po nainštalovaní si tieto aplikácie vyžiadajú privilégiá služby prístupnosti na sledovanie všetkých aktivít na infikovanom zariadení, zachytávanie SMS správ a zobrazovanie prihlasovacích stránok na phishing.
Malvér sa tiež pripája k serveru Command-and-Control (C2) a prijíma vzdialené pokyny vrátane simulácie udalostí dotyku a potiahnutia prstom. Zhromaždené osobné údaje sa odosielajú robotovi Telegram, ktorý extrahuje užitočné údaje získané prostredníctvom falošných prihlasovacích stránok vydávajúcich sa za cieľové banky. Tieto informácie sú potom naformátované a zdieľané v chate prístupnom zločincom.
Podrobnosti sa líšia v závislosti od použitej falošnej prihlasovacej stránky a zahŕňajú informácie o zariadení, ako je model a telefónne číslo, číslo CPF, heslo alebo číslo účtu.
Aktéri hrozieb využívajú podobné vektory infekcií
Vývoj bankového trójskeho koňa Rocinante sa zhoduje s výskumníkmi v oblasti kybernetickej bezpečnosti, ktorí odhaľujú novú kampaň proti malvéru s trójskymi koňmi, ktorá sa zameriava na španielsky a portugalsky hovoriace regióny využívaním domény secureserver.net.
Viacfázový útok začína hrozivými adresami URL, ktoré používateľov nasmerujú do archívu obsahujúceho zahmlený súbor .hta. Tento súbor spúšťa užitočné zaťaženie JavaScriptu, ktoré vykonáva rôzne kontroly AntiVM a AntiAV pred stiahnutím konečného obsahu AutoIT. Užitočné zaťaženie AutoIT sa potom vykonáva prostredníctvom vstrekovania procesu, ktorého cieľom je zozbierať bankové informácie a poverenia zo systému obete a exfiltrovať údaje na server Command-and-Control (C2).
