Zlonamerna programska oprema za mobilne naprave Rocinante
Nova kampanja zlonamerne programske opreme cilja na mobilne uporabnike v Braziliji in uporablja bančnega trojanca Android, imenovanega Rocinante. Ta zlonamerna programska oprema lahko beleži pritiske na tipke z izkoriščanjem storitve Accessibility Service in pridobiva osebne identifikacijske podatke (PII) od žrtev prek zaslonov za lažno predstavljanje, ki posnemajo različne banke. Poleg tega uporablja ukradene podatke za prevzem naprave, pri čemer uporablja privilegije storitve dostopnosti za pridobitev popolnega oddaljenega dostopa do okužene naprave.
Kazalo
Prekrivanje kot zakonite aplikacije
Zlonamerna programska oprema cilja na več uglednih finančnih ustanov, vključno z Itaú Shop in Santander, z lažnimi aplikacijami, ki se med drugim predstavljajo kot Bradesco Prime in Correios Celular:
- Livelo Pontos (com.resgatelivelo.cash)
- Correios Recarga (com.correiosrecarga.android)
- Bratesco Prine (com.resgatelivelo.cash)
- Módulo de Gurança (com.viberotion1414.app)
Analiza izvorne kode zlonamerne programske opreme razkriva, da operaterji Rocinante interno imenujejo Pegasus ali PegasusSpy. Vendar je treba pojasniti, da ta Pegasus nima povezave z vohunsko programsko opremo za več platform, ki jo je razvil komercialni prodajalec nadzora NSO Group.
Povezave z drugimi družinami zlonamerne programske opreme
Po nedavni analizi podjetja Silent Push je Pegasus pripisan akterju grožnje, znanemu kot DukeEugene, ki je prav tako razvil podobne vrste zlonamerne programske opreme, kot so ERMAC , BlackRock , Hook and Loot.
Raziskovalci so odkrili, da Rocinante vključuje elemente, na katere so vplivale prejšnje različice ERMAC. K temu razvoju je morda prispevalo uhajanje izvorne kode ERMAC leta 2023. To je prvi primer, ko se zdi, da je izvirna družina zlonamerne programske opreme vključila dele razkrite kode v svojo. Možno je tudi, da Rocinante in ERMAC predstavljata ločeni veji istega začetnega projekta.
Bančni trojanec Rocinante cilja na občutljive podatke
Rocinante se širi predvsem prek lažnih spletnih mest, namenjenih zavajanju uporabnikov, da namestijo ponarejene aplikacije dropper. Ko so nameščene, te aplikacije zahtevajo privilegije storitve dostopnosti za spremljanje vseh dejavnosti na okuženi napravi, prestrezanje sporočil SMS in prikaz lažnih prijavnih strani.
Zlonamerna programska oprema se prav tako poveže s strežnikom Command-and-Control (C2), da prejme navodila na daljavo, vključno s simulacijo dogodkov dotika in vlečenja. Zbrani osebni podatki se pošljejo robotu Telegram, ki izvleče uporabne podatke, pridobljene prek lažnih prijavnih strani, ki se predstavljajo kot ciljne banke. Te informacije se nato oblikujejo in delijo v klepetu, ki je dostopen kriminalcem.
Podrobnosti se razlikujejo glede na uporabljeno lažno stran za prijavo in vključujejo informacije o napravi, kot so model in telefonska številka, številka CPF, geslo ali številka računa.
Akterji groženj izkoriščajo podobne vektorje okužbe
Razvoj bančnega trojanca Rocinante sovpada z raziskovalci kibernetske varnosti, ki so odkrili novo kampanjo zlonamerne programske opreme bančnega trojanca, ki cilja na špansko in portugalsko govoreče regije z izkoriščanjem domene secureserver.net.
Večfazni napad se začne z grozečimi URL-ji, ki uporabnike usmerijo na arhiv, ki vsebuje zakrito datoteko .hta. Ta datoteka sproži obremenitev JavaScript, ki izvede različna preverjanja AntiVM in AntiAV, preden prenese končno obremenitev AutoIT. Koristni tovor AutoIT se nato izvede z vbrizgavanjem procesa, katerega namen je pridobiti bančne informacije in poverilnice iz sistema žrtve ter izločiti podatke v strežnik za upravljanje in nadzor (C2).
